为 Systems Manager Explorer 配角角色和权限 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Systems Manager Explorer 配角角色和权限

集成设置自动创建和配置以下的 AWS Identity and Access Management (IAM) 角色:Amazon Web Services Systems ManagerExplorer 和Amazon Web Services Systems ManagerOpsCenter. 如果您完成了集成设置,则不需要执行任何其他任务以便为 Explorer 配置角色和权限。不过,您必须为 OpsCenter 配置权限,如本主题后面所述。

关于集成设置创建的角色

集成设置创建和配置以下角色以使用 Explorer 和 OpsCenter。

  • AWSServiceRoleForAmazonSSM:提供对Amazon由 Systems Manager 管理或使用的资源。

  • OPSITM-CWE 的角色:支持 CloudWatch 事件和 EventBridge 以创建 OpsItems 以响应常见事件。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery:使 Systems Manager 能够调用其他Amazon查找的服务Amazon Web Services 账户同步数据时的信息。有关该角色的更多信息,请参阅关于AWSServiceRoleForAmazonSSM_AccountDiscovery角色

  • AmazonSSMExplorerExport:允许 Explorer 将 OpsData 导出到逗号分隔值 (CSV) 文件。

关于AWSServiceRoleForAmazonSSM_AccountDiscovery角色

如果您配置资源管理器以显示多个账户和区域中的数据,使用Amazon Organizations和资源数据同步,则 Systems Manager 创建服务相关角色。Systems Manager 使用此角色获取有关Amazon Web Services 账户在Amazon Organizations。该角色使用以下权限策略。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }

有关的更多信息AWSServiceRoleForAmazonSSM_AccountDiscovery角色,请参阅使用角色收集Amazon Web Services 账户Systems Manager 资源管理器的信息:AWSServiceRoleForAmazonSSM_AccountDiscovery

配置 Systems Manager OpsCenter 的权限

在完成集成设置后,您必须配置 IAM 用户、组或角色权限,以便用户在 OpsCenter 中执行操作。

开始前的准备工作

OpsItems 只能在用于创建的账户中查看或编辑它。您无 OpsItems 跨Amazon Web Services 账户。为此,我们建议您在Amazon Web Services 账户,用于运行Amazon工作负载。然后,您可以在该账户中创建 IAM 用户或组。这样一来,多个运营工程师或 IT 专业人员便能在同一个Amazon Web Services 账户。

Explorer 和 OpsCenter 使用以下 API 操作。如果您的 IAM 用户、组或角色具有这些操作的访问权限,您可以使用 Explorer 和 OpsCenter 的所有功能。您还可以创建更严格的访问权限,如本节后面所述。

以下过程介绍了如何向 IAM 用户添加完全访问内联策略。如果您愿意,您可以通过将以下内联策略分配到用户的账户、组或角色来指定只读权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }

有关创建和编辑 IAM 策略的更多信息,请参阅创建 IAM 策略中的IAM 用户指南。有关如何将此策略分配到 IAM 组的信息,请参阅将策略附加到 IAM 组

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users

  3. 在列表中,选择一个名称。

  4. 选择 Permissions 选项卡。

  5. 在页面右侧,在 Permission policies (权限策略) 下,选择 Add inline policy (添加内联策略)

  6. 选择 JSON 选项卡。

  7. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
  8. 选择查看策略

  9. 查看策略页面上,对于名称,输入内联策略的名称。例如:OpsCenter-Access-Full

  10. 选择创建策略

通过使用标签限制对 OpsItems 的访问权限

您还可以通过使用指定标签的内联 IAM 策略来限制对 OpsItems 的访问。该策略使用以下格式。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "One_or_more_OpsItem_API_actions" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/tag_key": "tag_value" } } } ] }

以下是一个指定 Department 标签键和 Finance 标签值的示例。使用此策略,用户只能调用GetOpsItemAPI 操作以查看之前已用键 Deplorer 和值 Finance 标记的 OpsItems。用户无法查看任何其他 OpsItems。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }

下面的示例指定了用于查看和更新 OpsItems 的 API 操作。此策略还指定了两组标签键/值对:部门-财务和项目-团结.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }

有关向 OpsItem 添加标签的更多信息,请参阅手动创建 OpsItems