为 Systems Manager Explorer 配置角色和权限 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为 Systems Manager Explorer 配置角色和权限

集成设置可自动为 Amazon Systems Manager Explorer 和 Amazon Systems Manager OpsCenter 创建及配置 Amazon Identity and Access Management(IAM)角色。如果您完成了集成设置,则不需要执行任何其他任务以便为 Explorer 配置角色和权限。不过,您必须为 OpsCenter 配置权限,如本主题后面所述。

关于集成设置创建的角色

集成设置创建和配置以下角色以使用 Explorer 和 OpsCenter。

  • AWSServiceRoleForAmazonSSM:提供对由 Systems Manager 管理或使用的 Amazon 资源的访问权限。

  • OpsItem-CWE-Role:允许 CloudWatch Events 和 EventBridge 创建 OpsItems 以响应常见事件。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery:允许 Systems Manager 调用其他 Amazon Web Services,以便在同步数据时发现 Amazon Web Services 账户 信息。有关该角色的更多信息,请参阅 关于 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色

  • AmazonSSMExplorerExport:允许 Explorer 将 OpsData 导出到逗号分隔值 (CSV) 文件。

关于 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色

如果将 Explorer 配置为使用 Amazon Organizations 和资源数据同步显示多个账户和区域中的数据,则 Systems Manager 将创建一个服务相关角色。Systems Manager 使用此角色在 Amazon Organizations 中获取有关 Amazon Web Services 账户 的信息。该角色使用以下权限策略。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }

有关 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色的更多信息,请参阅 使用角色为 Systems Manager Explorer 收集 Amazon Web Services 账户信息:AWSServiceRoleForAmazonSSM_AccountDiscovery

为 Systems Manager OpsCenter 配置权限

在完成集成设置后,您必须配置 IAM 用户、组或角色权限,以便用户能在 OpsCenter 中执行操作。

开始前的准备工作

只能在用于创建 OpsItems 的账户中查看或编辑它。您无法跨 Amazon Web Services 账户共享或传输 OpsItems。因此,我们建议您在用于运行 Amazon 工作负载的 Amazon Web Services 账户中为 OpsCenter 配置权限。然后,您可以在该账户中创建 IAM 用户或组。这样一来,多个运营工程师或 IT 专业人员便能在同一个 Amazon Web Services 账户中创建、查看和编辑 OpsItems。

Explorer 和 OpsCenter 使用以下 API 操作。如果您的 IAM 用户、组或角色拥有这些操作的访问权限,您可以使用 Explorer 和 OpsCenter 的所有功能。您还可以创建更严格的访问权限,如本节后面所述。

以下过程介绍了如何将完全访问内联策略添加到 IAM 用户。如果您愿意,您可以通过将以下内联策略分配到用户的账户、组或角色来指定只读权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }

有关创建和编辑 IAM policy的更多信息,请参阅《IAM 用户指南》中的创建 IAM policy。有关如何将此策略分配给 IAM 组的信息,请参阅将策略附加到 IAM 组

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 在列表中,选择一个名称。

  4. 选择权限项卡。

  5. 选择 Add inline policy (添加内联策略)

  6. 请选择 JSON 选项卡。

  7. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
  8. 选择 Review policy (审核策略)

  9. Review policy (审核策略) 页面上,对于 Name (名称),输入内联策略的名称。例如:OpsCenter-Access-Full

  10. 选择 Create policy(创建策略)

通过使用标签限制对 OpsItems 的访问

您还可以通过使用指定标签的内联 IAM policy 来限制对 OpsItems 的访问。以下是一个指定 Department 标签键和 Finance 标签值的示例。利用此策略,用户只能调用 GetOpsItem API 操作,来查看之前已用键 Department 和值 Finance 标记的 OpsItems。用户无法查看任何其他 OpsItems。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }

以下是一个指定用于查看和更新 OpsItems 的 API 操作的示例。此策略还指定了两组标签键/值对:Department-Finance 和 Project-Unity。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }

有关向 OpsItem 添加标签的更多信息,请参阅 手动创建 OpsItems