方法 1:使用Amazon CloudFormation为 Automation 配置服务角色 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

方法 1:使用Amazon CloudFormation为 Automation 配置服务角色

您可以为 Automation 创建一个服务角色,即Amazon Web Services Systems Manager,来自Amazon CloudFormation模板。创建服务角色后,可以使用参数在 Runbook 中指定服务角色。AutomationAssumeRole。有关如何使用 Automation 服务角色运行自动化的信息,请参阅使用 IAM 服务角色运行 Automation

使用 Amazon CloudFormation 创建服务角色

使用,通过以下过程为 Systems Manager Automation 创建所需的 AWS Identity Access Management (IAM) 角色。Amazon CloudFormation。

创建所需的 IAM 角色

  1. 下载AWS-SystemsManager-AutomationServiceRole.zipfolder。此文件夹包含 AWS-SystemsManager-AutomationServiceRole.yaml Amazon CloudFormation 模板文件。

  2. 打开 Amazon CloudFormation 控制台,地址:https://console.aws.amazon.com/cloudformation

  3. 选择创建堆栈

  4. Specify template (指定模板) 部分,选择 Upload a template file (上传模板文件)

  5. 选择 Browse (浏览),然后选择 AWS-SystemsManager-AutomationServiceRole.yaml Amazon CloudFormation 模板文件。

  6. 选择 Next

  7. Specify stack details (指定堆栈详细信息) 页面的 Stack name (堆栈名称) 字段中,输入名称。

  8. Configure stack options (配置堆栈选项) 页面上,您无需进行任何选择。选择 Next

  9. 审核页面上,向下滚动并选择我确认,Amazon CloudFormation 可能创建 IAM 资源选项。

  10. 选择创建

CloudFormation 显示正在创建正在进行状态大约三分钟左右。创建堆栈并且您的角色准备好使用之后,状态会变为 CREATE_COMPLETE

重要

如果您运行使用 AWS Identity and Access Management (IAM) 服务角色调用其他服务的自动化工作流程,请注意必须使用权限将该服务角色配置为调用这些服务。该要求适用于所有AmazonAutomation 运行手册 (AWS-*运行手册),例如AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackup, 和AWS-RestartEC2Instance运行手册,仅举几个例子。对于您创建的所有自定义自动化运行簿,如果这些运行手册调用其他Amazon服务,通过使用调用其他服务的操作。例如,如果您使用aws:executeAwsApiaws:createStack,或者aws:copyImage操作,则您必须配置具有权限的服务角色来调用这些服务。您可以启用对其他Amazon服务,方法是将 IAM 内联策略添加到该角色。有关更多信息,请参阅 (可选)添加 Automation 内联策略来调用其他Amazon服务

复制 Automation 的角色信息

使用以下过程从 Amazon CloudFormation 控制台复制关于 Automation 服务角色的信息。当您使用 Runbook 时,必须指定这些角色。

注意

如果您运行AWS-UpdateLinuxAmi或者AWS-UpdateWindowsAmi运行手册。这些 Runbook 已将必需角色指定为默认值。这些运行手册中指定的角色使用 IAM 托管策略。

复制角色名称

  1. 打开 Amazon CloudFormation 控制台,地址:https://console.aws.amazon.com/cloudformation

  2. 选择您在前一个过程中创建的 Automation Stack name (堆栈名称)

  3. 选择 Resources 选项卡。

  4. 选择实体 ID对于的链接AutomationServiceRole。IAM 控制台将打开并显示 Automation 服务角色的摘要。

  5. 复制角色 ARN 旁边的 Amazon 资源名称 (ARN)。该 ARN 类似于以下这样:arn:aws:iam::12345678:role/AutomationServiceRole

  6. 将 ARN 粘贴到文本文件供以后使用。

您已完成了为 Automation 配置服务角色。现在,您可在 Runbook 中使用 Automation 服务角色 ARN。