设置 Maintenance Windows - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Maintenance Windows

您的 Amazon Web Services 账户 中的用户必须先获得必要权限,然后才能使用 Amazon Systems Manager 的功能 Maintenance Windows 创建和计划维护时段任务。

开始前的准备工作

要完成这部分中的任务,您需要事先设置以下一个或两个资源:

  • 已向 IAM 实体(如用户或组)分配权限。这些用户或组应该已经拥有使用维护时段的常规权限。为此,请将 IAM policy AmazonSSMFullAccess 分配给用户或组,或者分配另一个 IAM policy,它可为处理维护时段任务的 Systems Manager 提供一组较小的访问权限集。

  • (可选)对于运行 Run Command 任务的维护时段,您可以选择发送 Amazon Simple Notification Service(Amazon SNS)状态通知。Run Command 是 Systems Manager 的一项功能。如果要使用此选项,请首先配置 Amazon SNS 主题,然后再完成这些设置任务。有关为 Systems Manager 配置 Amazon SNS 通知的信息,包括有关创建用于发送 SNS 通知的 IAM 角色的信息,请参阅 使用 Amazon SNS 通知监控 Systems Manager 状态更改

设置任务概述

要授予用户注册维护时段所需的权限,管理员需要完成以下任务。(完整的说明详见使用控制台配置维护时段权限)。

任务 1:创建一个策略以与自定义维护时段角色结合使用

维护时段任务需要一个 IAM 角色才能提供在目标资源上运行所需的权限。您运行的任务类型和其他操作要求决定了此策略的内容。

我们提供了一个基本策略,您可以在主题任务 1:为自定义维护时段服务角色创建策略中进行调整。

任务 2:为维护时段任务创建自定义服务角色

您在任务 1 中创建的策略将附加到您在任务 2 中创建的维护时段角色。当用户注册维护时段任务时,他们需要在任务配置中指定此自定义服务角色。此角色中的权限将允许 Systems Manager 代表您运行维护时段中的任务。

重要

以前,Systems Manager 控制台允许您选择 Amazon 托管式 IAM 服务相关角色 AWSServiceRoleForAmazonSSM,以用作任务的维护角色。现在不再建议将此角色及其相关策略 AmazonSSMServiceRolePolicy 用于维护时段任务。如果您目前在将此角色用于维护时段任务,我们建议您停止使用它。而应创建您自己的 IAM 角色,以便您的维护时段任务运行时在 Systems Manager 与其他 Amazon Web Services之间进行通信。

任务 3:向注册维护时段任务的用户授予使用服务角色的权限

为用户提供访问自定义维护时段角色的权限,使他们可以将该角色用于维护时段任务。这是您已经向他们授予的权限的补充,以便与适用于 Maintenance Windows 的 Systems Manager API 命令结合使用。此角色传递了运行维护时段任务所需的权限。因此,如果无法传递这些 IAM 权限,用户将无法使用您的自定义服务角色向维护时段分配任务。

任务 4:(可选)向未获准注册维护时段任务的用户显式拒绝权限

对于您的 Amazon Web Services 账户中您不希望其将任务注册到维护时段的用户,您可以拒绝向其授予 ssm:RegisterTaskWithMaintenanceWindow 权限。这将提供额外的防护,从而阻止不应注册维护时段任务的用户。