设置 Automation - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Automation

要设置 “自动化”,可以使用Amazon Web Services Systems Manager,您必须确保用户对 Automation 服务具有访问权限并按情景配置角色,以便服务可在您的资源上执行操作。为确保正确访问 Amazon Web Services Systems Manager Automation,请查看以下用户和服务角色要求。

验证用户的运行手册访问权限

确认您具有使用 Runbook 的权限。如果已为您的 AWS Identity and Access Management (IAM) 用户账户、组或角色分配管理员权限,则您可以访问 Systems Manager Automation。如果您没有管理员权限,则管理员必须通过指定AmazonSSMFullAccess托管策略或向您的 IAM 账户、组或角色提供类似权限的策略。

重要

IAM IAM 策略AmazonSSMFullAccess授予 Systems Manager 操作的权限。但是,某些 Runbook 需要其他服务的权限,例如 RunbookAWS-ReleaseElasticIP,这需要ec2:ReleaseAddress。因此,您必须查看 Runbook 中采取的操作,以确保为您的 IAM 用户账户、组或角色分配了执行 Runbook 包含的操作所需的权限。

为 Automation 配置服务角色(代入角色)访问权限

Automation 可以在服务角色(或承角色)。这样可允许服务代表您执行操作。如果未指定代入角色,则 Automation 将使用调用自动化的用户的上下文。

不过,以下情况需要您为 Automation 指定服务角色:

  • 当您想限制用户对资源的权限,但希望用户运行需要提升权限的自动化时。在这种情况下,您可以创建具有提升权限的服务角色并允许用户运行自动化。

  • 创建运行 Runbook 的 Systems Manager 状态管理器关联时。

  • 您有运行时长预计将超过 12 小时的操作时。

  • 当您运行的是非亚马逊拥有的运行簿时,它使用aws:executeScript操作来调用AmazonAPI 操作或对Amazon资源的费用。有关信息,请参阅 使用运行手册的权限

如果您需要为 Automation 创建一个服务角色,可以使用以下方法之一。