为 Systems Manager Explorer 配置角色和权限 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Systems Manager Explorer 配置角色和权限

集成设置自动为 Systems Manager Explorer 和 OpsCenter 创建和配置 IAM 角色。如果您完成了集成设置,则不需要执行任何其他任务以便为 Explorer 配置角色和权限。不过,您必须为 OpsCenter 配置权限,如本主题后面所述。

关于集成设置创建的角色

集成设置创建和配置以下角色以使用 Explorer 和 OpsCenter。

  • AWSServiceRoleForAmazonSSM:提供对由 Systems Manager 管理或使用的 AWS 资源的访问权限。

  • OpsItem-CWE-Role:允许 CloudWatch Events 和 EventBridge 创建 OpsItems 以响应常见事件。

  • _AccountDiscoveryAWSServiceRoleForAmazonSSM:允许 Systems Manager 调用其他 AWS 服务以在同步数据时发现 AWS 账户信息。有关该角色的更多信息,请参阅关于 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色

  • AmazonSSMExplorerExport:允许 Explorer 将 OpsData 导出到逗号分隔值 (CSV) 文件。

关于 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色

如果将 Explorer 配置为使用 AWS Organizations 和资源数据同步显示多个账户和区域中的数据,则 Systems Manager 创建一个服务相关角色。Systems Manager 使用该角色获取有关 AWS Organizations 中的 AWS 账户的信息。该角色使用以下权限策略。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }

有关 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色的更多信息,请参阅使用角色收集 Systems Manager 资源管理器的 AWS 账户信息

为 Systems Manager OpsCenter 配置权限

在完成集成设置后,您必须配置 IAM 用户、组或角色权限,以便用户在 OpsCenter 中执行操作。

开始前的准备工作

只能在用于创建 OpsItems 的账户中查看或编辑它。您无法跨 AWS 账户共享或传输 OpsItems。因此,我们建议您在用于运行 AWS 工作负载的 AWS 账户中为 OpsCenter 配置权限。然后,您可以在该账户中创建 IAM 用户或组。这样一来,多个运营工程师或 IT 专业人员便能在同一个 AWS 账户中创建、查看和编辑 OpsItems。

Explorer 和 OpsCenter 使用以下 API 操作。如果您的 IAM 用户、组或角色具有这些操作的访问权限,您可以使用 Explorer 和 OpsCenter 的所有功能。您还可以创建更严格的访问权限,如本节后面所述。

以下过程介绍了如何将完全访问内联策略添加到 IAM 用户。如果您愿意,您可以通过将以下内联策略分配到用户的账户、组或角色来指定只读权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems" ], "Resource": "*" } ] }

有关创建和编辑 IAM 策略的更多信息,请参阅 中的IAM创建 策略。IAM 用户指南有关如何将此策略分配到 IAM 组的信息,请参阅将策略附加到 IAM 组

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Users

  3. 在列表中,选择一个名称。

  4. 选择 Permissions 选项卡。

  5. 在页面右侧,在 Permission policies (权限策略) 下,选择 Add inline policy (添加内联策略)

  6. 选择 JSON 选项卡。

  7. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
  8. 选择查看策略

  9. 查看策略页面上,对于名称,输入内联策略的名称。例如:OpsCenter-Access-Full

  10. 选择创建策略

通过使用标签限制对 OpsItems 的访问

您还可以通过使用指定标签的内联 IAM 策略来限制对 OpsItems 的访问。该策略使用以下格式。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "One_or_more_OpsItem_API_actions" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/tag_key": "tag_value" } } } ] }

以下是一个指定 Department 标签键和 Finance 标签值的示例。使用此策略,用户只能调用 GetOpsItem API 操作来查看以前使用键=部门和值=Finance 标记的 OpsItems。用户无法查看任何其他 OpsItems。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }

以下是一个指定用于查看和更新 OpsItems 的 API 操作的示例。此策略还指定了两组标签键值对:部门 Finance 和 Project-Unity。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }

有关向 OpsItem 添加标签的更多信息,请参阅手动创建 OpsItems