AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Automation 入门

要设置 Automation,您必须确保用户对 Automation 服务具有访问权限并按情景配置角色,以便服务可在您的资源上执行操作。为确保正确访问 Systems Manager Automation,请查看以下用户和服务角色要求。

验证用户访问权限

确认您有权运行 Automation 工作流。如果已为 AWS Identity and Access Management (IAM) 用户账户、组或角色分配管理员权限,则可以访问 Systems Manager Automation。如果您没有管理员权限,则管理员必须通过向您的 IAM 账户、组或角色分配 AmazonSSMFullAccess 托管策略或提供类似权限的策略来向您授予权限。

重要

IAM 策略 AmazonSSMFullAccess 向 Systems Manager 操作授予权限。但是,某些 Automation 文档需要其他服务的权限,例如文档 AWS-ReleaseElasticIP,它需要 ec2:ReleaseAddress 的 IAM 权限。因此,您必须查看 Automation 文档中采取的操作,以确保为您的 IAM 用户账户、组或角色分配了执行文档包含的操作所需的权限。

配置服务角色访问权限(情景)

Automation 工作流可以在服务角色(或代入角色)的上下文下启动。这样可允许服务代表您执行操作。如果未指定代入角色,则 Automation 将使用调用了执行的用户的上下文。

不过,以下情况需要您为 Automation 指定服务角色:

  • 当您想限制用户对资源的权限,但希望用户运行需要提升权限的 Automation 工作流程时。在此方案中,您可以创建具有提升权限的服务角色并允许用户运行此工作流程。

  • 创建 State Manager 关联以运行 Automation 工作流程时。

  • 您有运行时长预计将超过 12 小时的操作时。

如果您需要为 Automation 创建一个服务角色,可以使用以下方法之一。