AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

方法 1:使用 AWS CloudFormation 为 Automation 配置服务角色

您可以通过 AWS CloudFormation 模板为 Automation 创建一个服务角色。创建服务角色后,可以使用参数 AutomationAssumeRole 在 Automation 工作流程中指定服务角色。有关如何使用 Automation 服务角色运行 Automation 工作流程的信息,请参阅 通过使用 IAM 服务角色运行 Automation 工作流程

使用 AWS CloudFormation 创建服务角色

使用 AWS CloudFormation,通过以下过程为 Systems Manager Automation 创建所需的 IAM 角色。

创建所需的 IAM 角色

  1. 下载 AWS-SystemsManager-AutomationServiceRole.zip 文件夹。此文件夹包含 AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 模板文件。

  2. Open the AWS CloudFormation console at https://console.amazonaws.cn/cloudformation.

  3. 选择创建堆栈

  4. 选择一个模板部分中,选择将模板上传到 Amazon S3

  5. 选择 Browse (浏览),然后选择 AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 模板文件。

  6. 选择 Next

  7. 指定详细信息页面的堆栈名称字段中,输入一个名称。

  8. Options 页面上,您无需进行任何选择。选择 Next

  9. 审核页面上,向下滚动并选择我确认,AWS CloudFormation 可能创建 IAM 资源选项。

  10. 选择 Create

大约三分钟左右,AWS CloudFormation 会显示 CREATE_IN_PROGRESS 状态。创建堆栈并且您的角色准备好使用之后,状态会变为 CREATE_COMPLETE

重要

如果您运行使用 AWS Identity and Access Management (IAM) 服务角色调用其他服务的自动化,请注意必须使用权限将该服务角色配置为调用这些服务。此要求适用于所有 AWS Automation 文档(AWS-* 文档),例如 AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance 文档。对于您创建的所有自定义自动化文档,如果这些文档使用调用其他服务的操作调用其他 AWS 服务,此要求同样适用。例如,如果您使用 aws:executeAwsApiaws:CreateStackaws:copyImage 操作等,则您必须配置具有权限的服务角色来调用这些服务。您可以通过将 IAM 内联策略添加到角色来启用其他 AWS 服务的权限。有关更多信息,请参阅(可选)添加 Automation 内联策略来调用其他 AWS 服务

复制 Automation 的角色信息

使用以下过程从 AWS CloudFormation 控制台复制关于 Automation 服务角色的信息。当您运行 Automation 文档时,必须指定这些角色。

注意

如果您运行 AWS-UpdateLinuxAmiAWS-UpdateWindowsAmi 文档,则无需使用此过程来复制角色信息。这些文档已将必需角色指定为默认值。这些文档中指定的角色使用 IAM 托管策略。

复制角色名称

  1. Open the AWS CloudFormation console at https://console.amazonaws.cn/cloudformation.

  2. 选中您在上一个过程中创建的 Automation 堆栈旁的复选框。

  3. 选择 Resources 选项卡。

  4. AutomationServiceRole 选择 Physical ID 链接。IAM 控制台将打开并显示 Automation 服务角色的摘要。

  5. 复制角色 ARN 旁边的 Amazon 资源名称 (ARN)。该 ARN 类似于以下这样:arn:aws:iam::12345678:role/AutomationServiceRole

  6. 将 ARN 粘贴到文本文件供以后使用。

您已完成了为 Automation 配置服务角色。现在,您可在 Automation 文档中使用 Automation 服务角色 ARN。