设置自动化
要设置自动化(Amazon Systems Manager),您必须确保用户对自动化服务具有访问权限并按情景配置角色,以便服务可在您的资源上执行操作。我们还建议您在 Automation 首选项中选择使用自适应并发模式。自适应并发会自动扩展您的自动化配额以满足您的需求。有关更多信息,请参阅 允许 Automation 适应您的并发需求。
为确保正确访问 Amazon Systems Manager 自动化,请查看以下用户和服务角色要求。
验证用户的运行手册访问权限
确认您有权使用运行手册。如果已为您的用户、组或角色分配了管理员权限,则您有权访问 Systems Manager 自动化。如果您没有管理员权限,则管理员必须通过向您的用户、组或角色分配 AmazonSSMFullAccess
托管策略或提供类似权限的策略,来向您授予权限。
重要
IAM policy AmazonSSMFullAccess
授予对 Systems Manager 进行操作的权限。但是,某些运行手册需要其他服务的权限,例如运行手册 AWS-ReleaseElasticIP
,它需要 ec2:ReleaseAddress
的 IAM 权限。因此,您必须查看运行手册中采取的操作,以确保为您的用户、组或角色分配了执行运行手册包括的操作所需的权限。
为自动化配置服务角色(担任角色)访问权限
自动化可以在服务角色(或代入角色)的上下文下启动。这样服务就能够代表您执行操作。如果未指定担任角色,则自动化将使用调用了自动化的用户的上下文。
不过,以下情况需要您为自动化指定服务角色:
-
当您想限制用户对资源的权限,但希望用户运行需要提升权限的自动化时。在这种情况下,您可以创建具有提升权限的服务角色并允许用户运行自动化。
-
创建 Systems Manager State Manager 关联,运行一个运行手册。
-
您有运行时长预计将超过 12 小时的操作时。
-
在运行不归 Amazon 所有并使用
aws:executeScript
操作调用 Amazon API 操作或对 Amazon 资源执行操作的运行手册时。有关信息,请参阅使用运行手册的权限。
如果您需要为自动化创建一个服务角色,可以使用以下方法之一。