AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

控制对Maintenance Windows的访问

您的账户中的用户必须先获得必要权限,然后才能创建和计划 Maintenance Window 任务。授予这些权限的过程包含两个任务:

  1. 任务 1:向 Maintenance Window 服务提供在实例上运行 Maintenance Window 任务所需的 AWS Identity and Access Management (IAM) 权限。您需要执行以下操作之一:

    • 为Maintenance Window任务创建自定义服务角色

    • 为 Systems Manager 创建服务相关角色

    您可以在创建Maintenance Window任务时指定其中一个角色作为配置的一部分。这将允许 Systems Manager 代表您运行Maintenance Windows中的任务。

    注意

    Systems Manager 的服务相关角色可能已在您的账户中创建。目前,该服务相关角色还提供了有关 Inventory 功能的权限。

    要帮助您决定是使用自定义服务角色还是 Systems Manager 服务相关角色来运行 Maintenance Window 任务,请参阅我应该使用服务相关角色还是自定义服务角色来运行Maintenance Window任务?

  2. 任务 2:向您账户中将任务分配给Maintenance Windows的用户授予 iam:PassRole 权限。这允许这些用户将该角色传递到Maintenance Window服务。如果没有明确授予此权限,用户将无法向 Maintenance Window 分配任务。

我应该使用服务相关角色还是自定义服务角色来运行Maintenance Window任务?

要在目标实例上运行维护任务,Maintenance Window服务必须具有在您的实例上访问并运行任务的权限。您可以通过指定 Systems Manager 服务相关角色或自定义服务角色作为任务配置的一部分来提供此权限。

应选择的角色类型取决于两个因素:

自定义服务角色:在以下情况下对Maintenance Window任务使用自定义服务角色:

  • 如果要使用 Amazon Simple Notification Service (Amazon SNS) 发送与通过 Run Command 运行的Maintenance Window任务相关的通知。您可以在创建Maintenance Window任务时启用 SNS 通知。

  • 如果要使用比由服务相关角色提供的权限更严格的一组权限。服务相关角色支持非常有限的资源级约束。例如,假如您希望允许Maintenance Window任务在一组有限的实例上运行,或者希望仅允许特定 SSM 文档在您的目标实例上运行。在这些情况下,您可以的自定义服务角色中指定更严格的权限。

Systems Manager 服务相关角色:我们建议您在所有其他情况下使用 Systems Manager 服务相关角色。

有关 Systems Manager 服务相关角色的更多信息,请参阅用于 Systems Manager 的服务相关角色权限