AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

方法 1:使用 AWS CloudFormation 为 Automation 配置角色

您可以通过 AWS CloudFormation 模板为 Automation 创建一个 IAM 实例配置文件角色和一个服务角色。

在您创建实例配置文件角色之后,必须将其分配到计划使用 Automation 配置的实例。有关如何将角色分配到现有实例的信息,请参阅 Amazon EC2 用户指南中的将 IAM 角色附加到实例。有关如何在创建新实例时分配角色的信息,请参阅Attach an IAM Instance Profile to an Amazon EC2 Instance

注意

您还可以在 Automation 文档中使用这些角色及其 Amazon 资源名称 (ARN),例如 AWS-UpdateLinuxAmi 文档。在 Automation 文档中使用这些角色或其 ARN,可以让 Automation 在您的托管实例上执行操作、启动新实例以及代表您执行操作。

使用 AWS CloudFormation 创建实例配置文件角色和服务角色

使用 AWS CloudFormation,通过以下过程为 Systems Manager Automation 创建所需的 IAM 角色。

创建所需的 IAM 角色

  1. 选择 Launch Stack (启动堆栈) 按钮。这会打开 AWS CloudFormation 控制台并用 Systems Manager Automation 模板的 URL 填充 Specify an Amazon S3 template URL (指定 Amazon S3 模板 URL) 字段。

    注意

    选择 View (查看) 可以查看模板。

    查看 启动

    查看

  2. 选择 Next

  3. Specify Details 页面上的 Stack Name 字段中,选择保留默认值或指定您自己的值。选择 Next

  4. Options 页面上,您无需进行任何选择。选择 Next

  5. 审核页面上,向下滚动并选择我确认,AWS CloudFormation 可能创建 IAM 资源选项。

  6. 选择 Create

大约三分钟左右,AWS CloudFormation 会显示 CREATE_IN_PROGRESS 状态。创建堆栈并且您的角色准备好使用之后,状态会变为 CREATE_COMPLETE

重要

如果您执行使用 AWS Identity and Access Management (IAM) 服务角色调用其他 AWS 服务的自动化,请注意必须使用权限将该服务角色配置为调用这些服务。此要求适用于所有 AWS Automation 文档(AWS-* 文档),如 AWS-ConfigureS3BucketLogging、AWS-CreateDynamoDBBackup 和 AWS-RestartEC2Instance 文档,等等。此要求还适用于您创建的使用调用其他服务的操作调用其他 AWS 服务的所有自定义 Automation 文档。例如,如果您使用 aws:executeAwsApi、aws:CreateStack 或 aws:copyImage 操作等等,那么您必须配置具有权限的服务角色来调用这些服务。您可以通过将 IAM 内联策略添加到角色来启用其他 AWS 服务的权限。有关更多信息,请参阅(可选)添加 Automation 内联策略来调用其他 AWS 服务

复制 Automation 的角色信息

使用以下过程从 AWS CloudFormation 控制台复制关于实例配置文件角色和 Automation 服务角色的信息。当您运行 Automation 文档时,必须指定这些角色。

注意

如果您运行 AWS-UpdateLinuxAmiAWS-UpdateWindowsAmi 文档,则无需使用此过程来复制角色信息。这些文档已将必需角色指定为默认值。这些文档中指定的角色使用 IAM 托管策略。

复制角色名称

  1. Open the AWS CloudFormation console at https://console.amazonaws.cn/cloudformation.

  2. 选中您在上一个过程中创建的 Automation 堆栈旁的复选框。

  3. 选择 Resources 选项卡。

  4. Resources 表在 Logical ID 列中包括三个项:AutomationServiceRoleManagedInstanceProfileManagedInstanceRole

  5. 复制 ManagedInstanceProfilePhysical ID。实体 ID 类似于 Automation-ManagedInstanceProfile-1a2b3c4。这是您的实例配置文件角色的名称。

  6. 在文本文件中粘贴实例配置文件角色以供以后使用。

  7. AutomationServiceRole 选择 Physical ID 链接。IAM 控制台将打开并显示 Automation 服务角色的摘要。

  8. 复制角色 ARN 旁边的 Amazon 资源名称 (ARN)。ARN 类似于:arn:aws:iam::12345678:role/Automation-AutomationServiceRole-1A2B3C4D5E

  9. 将 ARN 粘贴到文本文件供以后使用。

您已完成了为 Automation 配置所需的角色。现在,您可在 Automation 文档中使用实例配置文件角色和 Automation 服务角色 ARN。