设置自动化 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

设置自动化

要设置自动化(Amazon Systems Manager),您必须确保用户对自动化服务具有访问权限并按情景配置角色,以便服务可在您的资源上执行操作。我们还建议您在 Automation 首选项中选择使用自适应并发模式。自适应并发会自动扩展您的自动化配额以满足您的需求。有关更多信息,请参阅允许 Automation 适应您的并发需求

为确保正确访问 Amazon Systems Manager 自动化,请查看以下用户和服务角色要求。

验证用户的运行手册访问权限

确认您有权使用运行手册。如果已为 Amazon Identity and Access Management (IAM) 用户账户、组或角色分配管理员权限,则可以访问 Systems Manager 自动化。如果您没有管理员权限,则管理员必须通过向您的 IAM 账户、组或角色分配 AmazonSSMFullAccess 托管式策略或提供类似权限的策略来向您授予权限。

重要

IAM 策略 AmazonSSMFullAccess 授予对 Systems Manager 进行操作的权限。但是,某些运行手册需要其他服务的权限,例如运行手册 AWS-ReleaseElasticIP,它需要 ec2:ReleaseAddress 的 IAM 权限。因此,您必须查看运行手册中采取的操作,以确保为您的 IAM 用户账户、组或角色分配了执行运行手册包含的操作所需的权限。

为自动化配置服务角色(担任角色)访问权限

自动化可以在服务角色(或代入角色)的上下文下启动。这样服务就能够代表您执行操作。如果未指定担任角色,则自动化将使用调用了自动化的用户的上下文。

不过,以下情况需要您为自动化指定服务角色:

  • 当您想限制用户对资源的权限,但希望用户运行需要提升权限的自动化时。在这种情况下,您可以创建具有提升权限的服务角色并允许用户运行自动化。

  • 创建 Systems Manager State Manager 关联,运行一个运行手册。

  • 您有运行时长预计将超过 12 小时的操作时。

  • 在运行不归 Amazon 所有并使用 aws:executeScript 操作调用 Amazon API 操作或对 Amazon 资源执行操作的运行手册时。有关信息,请参阅 使用运行手册的权限

如果您需要为自动化创建一个服务角色,可以使用以下方法之一。