使用 Amazon CLI 控制对维护时段的访问权限 - Amazon Systems Manager
任务 1:以 JSON 格式创建信任策略和客户管理型策略任务 2:使用 Amazon CLI 为维护时段创建和验证自定义服务角色任务 3:使用 Amazon CLI 向注册维护时段任务的特定用户授予权限任务 4:使用 Amazon CLI 阻止指定用户注册维护时段任务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon CLI 控制对维护时段的访问权限

以下过程介绍如何使用 Amazon Command Line Interface(Amazon CLI)为 Amazon Systems Manager 的功能 Maintenance Windows 创建所需的权限和角色。

任务 1:以 JSON 格式创建信任策略和客户管理型策略

维护时段任务需要一个 IAM 角色才能提供在目标资源上运行所需的权限。通过附加到角色的 IAM 策略提供权限。您运行的任务类型和其他操作要求决定了此策略的内容。我们提供了一个基本策略,您可以根据需要进行调整。根据维护时段运行的任务和任务类型,您可能不需要此策略中的所有权限,并且可能需要包含额外的权限。

在此任务中,您可以在一对 JSON 文件中指定自定义维护时段角色所需的权限。您需要将此策略附加到您稍后在任务 2:使用 Amazon CLI 为维护时段创建和验证自定义服务角色中创建的角色。

要创建信任策略和客户管理型策略文件

  1. 将以下信任策略复制并粘贴到文本文件中。使用以下名称和文件扩展名保存此文件:mw-role-trust-policy.json

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. 将以下 JSON 策略复制并粘贴到另一个文本文件中。在您创建第一个文件的同一目录中,使用以下名称和文件扩展名保存此文件:mw-role-custom-policy.json

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:CancelCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
                "ssm:GetCommandInvocation",
                "ssm:GetAutomationExecution",
                "ssm:StartAutomationExecution",
                "ssm:ListTagsForResource",
                "ssm:GetParameters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "states:DescribeExecution",
                "states:StartExecution"
            ],
            "Resource": [
                "arn:aws:states:*:*:execution:*:*",
                "arn:aws:states:*:*:stateMachine:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "resource-groups:ListGroups",
                "resource-groups:ListGroupResources"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  3. 根据需要为您在账户中运行的维护任务修改 mw-role-custom-policy.json 的内容。您做出的更改是特定于所计划操作的。

    例如:

    • 您可以提供特定功能和状态机的 Amazon 资源名称(ARN),而不是使用通配符(*)。

    • 如果您不计划运行 Amazon Step Functions 任务,则可以移除 states 权限和 ARN。

    • 如果您不计划运行 Amazon Lambda 任务,则可以移除 lambda 权限和 ARN。

    • 如果您不计划运行自动化任务,则可以移除 ssm:GetAutomationExecutionssm:StartAutomationExecution 权限。

    • 添加要运行的任务可能需要的其他权限。例如,一些 自动化 操作使用 Amazon CloudFormation 堆栈。因此,权限 cloudformation:CreateStackcloudformation:DescribeStackscloudformation:DeleteStack 是必需的。

      另一个示例:自动化运行手册 AWS-CopySnapshot 需要权限来创建 Amazon Elastic Block Store(Amazon EBS)快照,因此,服务角色需要权限 ec2:CreateSnapshot

      有关自动化运行手册所需角色权限的信息,请参阅Amazon Systems Manager 自动化运行手册参考中的运行手册描述。

    进行任何需要的更改后,请再次保存该文件。

任务 2:使用 Amazon CLI 为维护时段创建和验证自定义服务角色

您在上一个任务中创建的策略将附加到您在此任务中创建的维护时段服务角色。当用户注册维护时段任务时,他们需要在任务配置中指定此 IAM 角色。此角色中的权限将允许 Systems Manager 代表您运行维护时段中的任务。

重要

以前,Systems Manager 控制台允许您选择 Amazon 托管式 IAM 服务相关角色 AWSServiceRoleForAmazonSSM,以用作任务的维护角色。现在不再建议将此角色及其相关策略 AmazonSSMServiceRolePolicy 用于维护时段任务。如果您目前在将此角色用于维护时段任务,我们建议您停止使用它。而应创建您自己的 IAM 角色,以便您的维护时段任务运行时在 Systems Manager 与其他 Amazon Web Services 服务之间进行通信。

在此任务中,您将运行 CLI 命令来创建维护窗口服务角色,以添加您创建的 JSON 文件中的策略内容。

使用 Amazon CLI 为维护时段创建自定义服务角色

  1. 打开 Amazon CLI 并在放置 mw-role-custom-policy.jsonmw-role-trust-policy.json 文件的目录中运行以下命令。该命令创建一个名为 my-maintenance-window-role 的维护时段服务角色,并将信任策略附加到该角色上。

    Linux & macOS
    aws iam create-role \
    --role-name "my-maintenance-window-role" \
    --assume-role-policy-document file://mw-role-trust-policy.json
    Windows
    aws iam create-role ^
    --role-name "my-maintenance-window-role" ^
    --assume-role-policy-document file://mw-role-trust-policy.json

    系统返回类似于以下内容的信息。

    {
    "Role": {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "ssm.amazonaws.com"
                    }
                }
            ]
        },
        "RoleId": "AROAIIZKPBKS2LEXAMPLE",
        "CreateDate": "2024-08-19T03:40:17.373Z",
        "RoleName": "my-maintenance-window-role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role"
    }
}
    注意

    记下 RoleNameArn 值。您将在下一命令中包含这些值。

  2. 运行以下命令以将客户管理型策略附加到角色。请将 account-id 占位符替换为您自己的 Amazon Web Services 账户 ID

    Linux & macOS
    aws iam attach-role-policy \
    --role-name "my-maintenance-window-role" \
    --policy-arn "arn:aws:iam::account-id:policy/mw-role-custom-policy.json"
    Windows
    aws iam attach-role-policy ^
    --role-name "my-maintenance-window-role" ^
    --policy-arn "arn:aws:iam::account-id:policy/mw-role-custom-policy.json"

  3. 运行以下命令验证您的角色是否已创建,且已附加信任策略。

    aws iam get-role --role-name my-maintenance-window-role

    命令返回类似于下文的信息:

    {
    "Role": {
        "Path": "/",
        "RoleName": "my-maintenance-window-role",
        "RoleId": "AROA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role",
        "CreateDate": "2024-08-19T14:13:32+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "ssm.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "MaxSessionDuration": 3600,
        "RoleLastUsed": {
            "LastUsedDate": "2024-08-19T14:30:44+00:00",
            "Region": "us-east-2"
        }
    }
}

  4. 运行以下命令以验证客户管理型策略是否已附加到角色。

    aws iam list-attached-role-policies --role-name my-maintenance-window-role

    命令返回类似于下文的信息:

    {
    "AttachedPolicies": [
        {
            "PolicyName": "mw-role-custom-policy",
            "PolicyArn": "arn:aws:iam::123456789012:policy/mw-role-custom-policy"
        }
    ]
}

任务 3:使用 Amazon CLI 向注册维护时段任务的特定用户授予权限

为用户提供访问自定义维护时段服务角色的权限,使他们可以将该角色用于维护时段任务。这是您已经向他们授予的权限的补充,以便与适用于 Maintenance Windows 功能的 Systems Manager API 命令结合使用。此 IAM 角色传递了运行维护时段任务所需的权限。因此,如果无法传递这些 IAM 权限,用户将无法使用您的自定义服务角色向维护时段注册任务。

在将任务注册到维护时段时,您可以指定自定义服务角色来运行实际任务操作。这是代表您运行任务时服务要代入的角色。在此之前,要注册任务本身,请将 IAM PassRole 策略分配给 IAM 实体(如用户或组)。这将允许 IAM 实体指定运行任务时应使用的角色,作为将这些任务注册到维护时段的一部分。有关更多信息,请参阅《IAM 用户指南》中的向用户授予将角色传递给 Amazon Web Services 服务 的权限

使用 Amazon CLI 为已获允许注册维护时段任务的用户配置权限

  1. 将以下 Amazon Identity and Access Management IAM 策略复制并粘贴到文本编辑器中,然后使用以下名称和文件扩展名保存:mw-passrole-policy.json

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/"
        }
    ]
}

    my-maintenance-window-role 替换为您之前创建的自定义维护时段角色的名称。

    account-id 替换为 Amazon Web Services 账户 的 ID。为资源 arn:aws:iam::account-id:role/ 添加此权限允许组中的用户在创建维护时段任务时在控制台中查看和选择客户角色。为 arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/ 添加此权限允许组中的用户在创建维护时段任务时在控制台中选择 Systems Manager 服务相关角色。

  2. 打开 Amazon CLI。

  3. 根据您是否要将权限分配到 IAM 实体(用户或组),运行以下命令之一。

    • 对于 IAM 实体:

      Linux & macOS
      aws iam put-user-policy \
    --user-name "user-name" \
    --policy-name "policy-name" \
    --policy-document file://path-to-document
      Windows
      aws iam put-user-policy ^
    --user-name "user-name" ^
    --policy-name "policy-name" ^
    --policy-document file://path-to-document

      对于 user-name,请指定将向维护时段分配任务的用户。对于 policy-name,请指定要用于标识策略的名称,如 my-iam-passrole-policy。对于 path-to-document,请指定步骤 1 中保存文件的路径。例如:file://C:\Temp\mw-passrole-policy.json

      注意

      要授予用户使用 Systems Manager 控制台为维护时段注册任务的访问权限,您还必须将 AmazonSSMFullAccess 策略分配给您的用户(或为涵盖维护时段任务的 Systems Manager 提供较小访问权限集的 IAM 策略)。运行以下命令将 AmazonSSMFullAccess 策略分配给您的用户。

      Linux & macOS
      aws iam attach-user-policy \
    --policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
    --user-name "user-name"
      Windows
      aws iam attach-user-policy ^
    --policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
    --user-name "user-name"

    • 对于 IAM 组

      Linux & macOS
      aws iam put-group-policy \
    --group-name "group-name" \
    --policy-name "policy-name" \
    --policy-document file://path-to-document
      Windows
      aws iam put-group-policy ^
    --group-name "group-name" ^
    --policy-name "policy-name" ^
    --policy-document file://path-to-document

      对于 group-name,指定其成员将向维护时段分配任务的组。对于 policy-name,请指定要用于标识策略的名称,如 my-iam-passrole-policy。对于 path-to-document,请指定步骤 1 中保存文件的路径。例如:file://C:\Temp\mw-passrole-policy.json

      注意

      要授予组成员使用 Systems Manager 控制台为维护时段注册任务的访问权限,还必须将 AmazonSSMFullAccess 策略分配给组。运行以下命令将此策略分配给您的组。

      Linux & macOS
      aws iam attach-group-policy \
    --policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
    --group-name "group-name"
      Windows
      aws iam attach-group-policy ^
    --policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
    --group-name "group-name"

  4. 运行以下命令验证策略是否已分配给该组。

    Linux & macOS
    aws iam list-group-policies \
    --group-name "group-name"
    Windows
    aws iam list-group-policies ^
    --group-name "group-name"

任务 4:使用 Amazon CLI 阻止指定用户注册维护时段任务

对于您的 Amazon Web Services 账户中您不希望其将任务注册到维护时段的用户,您可以拒绝向其授予 ssm:RegisterTaskWithMaintenanceWindow 权限。这将提供额外的防护,从而阻止不应注册维护时段任务的用户。

根据您是拒绝向单个用户还是组授予 ssm:RegisterTaskWithMaintenanceWindow 权限,使用以下过程之一,阻止用户将任务注册到维护时段。

要使用 Amazon CLI 为不允许注册维护时段任务的用户配置权限

  1. 将以下 IAM 策略复制并粘贴到文本编辑器中,然后使用以下名称和文件扩展名保存:deny-mw-tasks-policy.json

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:RegisterTaskWithMaintenanceWindow",
            "Resource": "*"
        }
    ]
}

  2. 打开 Amazon CLI。

  3. 根据您是否要将权限分配到 IAM 实体(用户或组),运行以下命令之一。

    • 对于用户:

      Linux & macOS
      aws iam put-user-policy \
    --user-name "user-name" \
    --policy-name "policy-name" \
    --policy-document file://path-to-document
      Windows
      aws iam put-user-policy ^
    --user-name "user-name" ^
    --policy-name "policy-name" ^
    --policy-document file://path-to-document

      对于 user-name,请指定要阻止其向维护时段分配任务的用户。对于 policy-name,请指定要用于标识策略的名称,如 my-deny-mw-tasks-policy。对于 path-to-document,请指定步骤 1 中保存文件的路径。例如:file://C:\Temp\deny-mw-tasks-policy.json

    • 对于组:

      Linux & macOS
      aws iam put-group-policy \
    --group-name "group-name" \
    --policy-name "policy-name" \
    --policy-document file://path-to-document
      Windows
      aws iam put-group-policy ^
    --group-name "group-name" ^
    --policy-name "policy-name" ^
    --policy-document file://path-to-document

      对于 group-name,请指定要阻止其成员向维护时段分配任务的组。对于 policy-name,请指定要用于标识策略的名称,如 my-deny-mw-tasks-policy。对于 path-to-document,请指定步骤 1 中保存文件的路径。例如:file://C:\Temp\deny-mw-tasks-policy.json

  4. 运行以下命令验证策略是否已分配给该组。

    Linux & macOS
    aws iam list-group-policies \
    --group-name "group-name"
    Windows
    aws iam list-group-policies ^
    --group-name "group-name"