• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 使用 Amazon CLI 控制对维护时段的访问权限
以下过程介绍如何使用 Amazon Command Line Interface(Amazon CLI)为 Maintenance Windows(Amazon Systems Manager 中的一项工具)创建所需的角色和权限。
**Topics**
+ [任务 1:以 JSON 格式创建信任策略和客户管理型策略](#create-custom-policy-json-files-cli)
+ [任务 2:使用 Amazon CLI 为维护时段创建和验证自定义服务角色](#create-custom-role-cli)
+ [任务 3:使用 Amazon CLI 向注册维护时段任务的特定用户授予权限](#allow-maintenance-window-access-cli)
+ [任务 4:使用 Amazon CLI 阻止指定用户注册维护时段任务](#deny-maintenance-window-access-cli)
## 任务 1:以 JSON 格式创建信任策略和客户管理型策略
维护时段任务需要一个 IAM 角色才能提供在目标资源上运行所需的权限。通过附加到角色的 IAM 策略提供权限。您运行的任务类型和其他操作要求决定了此策略的内容。我们提供了一个基本策略,您可以根据需要进行调整。根据维护时段运行的任务和任务类型,您可能不需要此策略中的所有权限,并且可能需要包含额外的权限。
在此任务中,您可以在一对 JSON 文件中指定自定义维护时段角色所需的权限。您需要将此策略附加到您稍后在[任务 2:使用 Amazon CLI 为维护时段创建和验证自定义服务角色](#create-custom-role-cli)中创建的角色。
**要创建信任策略和客户管理型策略文件**
1. 将以下信任策略复制并粘贴到文本文件中。使用以下名称和文件扩展名保存此文件:**mw-role-trust-policy.json**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 将以下 JSON 策略复制并粘贴到另一个文本文件中。在您创建第一个文件的同一目录中,使用以下名称和文件扩展名保存此文件:**mw-role-custom-policy.json**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation",
"ssm:GetAutomationExecution",
"ssm:StartAutomationExecution",
"ssm:ListTagsForResource",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"states:DescribeExecution",
"states:StartExecution"
],
"Resource": [
"arn:aws:states:*:*:execution:*:*",
"arn:aws:states:*:*:stateMachine:*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*"
]
},
{
"Effect": "Allow",
"Action": [
"resource-groups:ListGroups",
"resource-groups:ListGroupResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/{{maintenance-window-role-name}}",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
1. 根据需要为您在账户中运行的维护任务修改 `mw-role-custom-policy.json` 的内容。您做出的更改是特定于所计划操作的。
例如:
+ 您可以提供特定功能和状态机的 Amazon 资源名称(ARN),而不是使用通配符(\*)。
+ 如果您不计划运行 Amazon Step Functions 任务,则可以移除 `states` 权限和 ARN。
+ 如果您不计划运行 Amazon Lambda 任务,则可以移除 `lambda` 权限和 ARN。
+ 如果您不计划运行自动化任务,则可以移除 `ssm:GetAutomationExecution` 和 `ssm:StartAutomationExecution` 权限。
+ 添加要运行的任务可能需要的其他权限。例如,一些 自动化 操作使用 Amazon CloudFormation 堆栈。因此,权限 `cloudformation:CreateStack`、`cloudformation:DescribeStacks` 和 `cloudformation:DeleteStack` 是必需的。
另一个示例:自动化运行手册 `AWS-CopySnapshot` 需要权限来创建 Amazon Elastic Block Store(Amazon EBS)快照,因此,服务角色需要权限 `ec2:CreateSnapshot`。
有关自动化运行手册所需角色权限的信息,请参阅 [Amazon Systems Manager 自动化运行手册参考](https://docs.amazonaws.cn/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html)中的运行手册描述。
进行任何需要的更改后,请再次保存该文件。
## 任务 2:使用 Amazon CLI 为维护时段创建和验证自定义服务角色
您在上一个任务中创建的策略将附加到您在此任务中创建的维护时段服务角色。当用户注册维护时段任务时,他们需要在任务配置中指定此 IAM 角色。此角色中的权限将允许 Systems Manager 代表您运行维护时段中的任务。
**重要**
以前,Systems Manager 控制台允许您选择 Amazon 托管式 IAM 服务相关角色 `AWSServiceRoleForAmazonSSM`,以用作任务的维护角色。现在不再建议将此角色及其相关策略 `AmazonSSMServiceRolePolicy` 用于维护时段任务。如果您目前在将此角色用于维护时段任务,我们建议您停止使用它。而应创建您自己的 IAM 角色,以便您的维护时段任务运行时在 Systems Manager 与其他 Amazon Web Services 服务之间进行通信。
在此任务中,您将运行 CLI 命令来创建维护窗口服务角色,以添加您创建的 JSON 文件中的策略内容。
**使用 Amazon CLI 为维护时段创建自定义服务角色**
1. 打开 Amazon CLI 并在放置 `mw-role-custom-policy.json` 和 `mw-role-trust-policy.json` 文件的目录中运行以下命令。该命令创建一个名为 `my-maintenance-window-role` 的维护时段服务角色,并将*信任策略*附加到该角色上。
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name "my-maintenance-window-role" \
--assume-role-policy-document file://mw-role-trust-policy.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name "my-maintenance-window-role" ^
--assume-role-policy-document file://mw-role-trust-policy.json
```
------
系统返回类似于以下内容的信息。
```
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
}
}
]
},
"RoleId": "AROAIIZKPBKS2LEXAMPLE",
"CreateDate": "2024-08-19T03:40:17.373Z",
"RoleName": "my-maintenance-window-role",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role"
}
}
```
**注意**
记下 `RoleName` 和 `Arn` 值。您将在下一命令中包含这些值。
1. 运行以下命令以将*客户管理型策略*附加到角色。请将 {{account-id}} 占位符替换为您自己的 Amazon Web Services 账户 ID
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name "my-maintenance-window-role" \
--policy-arn "arn:aws:iam::{{account-id}}:policy/mw-role-custom-policy.json"
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name "my-maintenance-window-role" ^
--policy-arn "arn:aws:iam::{{account-id}}:policy/mw-role-custom-policy.json"
```
------
1. 运行以下命令验证您的角色是否已创建,且已附加信任策略。
```
aws iam get-role --role-name my-maintenance-window-role
```
命令返回类似于下文的信息:
```
{
"Role": {
"Path": "/",
"RoleName": "my-maintenance-window-role",
"RoleId": "AROA123456789EXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role",
"CreateDate": "2024-08-19T14:13:32+00:00",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"MaxSessionDuration": 3600,
"RoleLastUsed": {
"LastUsedDate": "2024-08-19T14:30:44+00:00",
"Region": "us-east-2"
}
}
}
```
1. 运行以下命令以验证客户管理型策略是否已附加到角色。
```
aws iam list-attached-role-policies --role-name my-maintenance-window-role
```
命令返回类似于下文的信息:
```
{
"AttachedPolicies": [
{
"PolicyName": "mw-role-custom-policy",
"PolicyArn": "arn:aws:iam::123456789012:policy/mw-role-custom-policy"
}
]
}
```
## 任务 3:使用 Amazon CLI 向注册维护时段任务的特定用户授予权限
为用户提供访问自定义维护时段服务角色的权限,使他们可以将该角色用于维护时段任务。这是对已授予权限的补充,以便与适用于 Maintenance Windows 工具的 Systems Manager API 命令结合使用。此 IAM 角色传递了运行维护时段任务所需的权限。因此,如果无法传递这些 IAM 权限,用户将无法使用您的自定义服务角色向维护时段注册任务。
在将任务注册到维护时段时,您可以指定服务角色来运行实际任务操作。这是代表您运行任务时服务要代入的角色。在此之前,要注册任务本身,请将 IAM `PassRole` 策略分配给 IAM 实体(如用户或组)。这将允许 IAM 实体指定运行任务时应使用的角色,作为将这些任务注册到维护时段的一部分。有关更多信息,请参阅《IAM 用户指南》**中的[向用户授予将角色传递给 Amazon Web Services 服务 的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_passrole.html)。
**使用 Amazon CLI 为已获允许注册维护时段任务的用户配置权限**
1. 将以下 Amazon Identity and Access Management IAM 策略复制并粘贴到文本编辑器中,然后使用以下名称和文件扩展名保存:`mw-passrole-policy.json`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/{{my-maintenance-window-role}}"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::{{111122223333}}:role/"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::{{111122223333}}:role/aws-service-role/ssm.amazonaws.com/"
}
]
}
```
------
将 {{my-maintenance-window-role}} 替换为您之前创建的自定义维护时段角色的名称。
将 {{account-id}} 替换为 Amazon Web Services 账户 的 ID。为资源 `arn:aws:iam::{{account-id}}:role/` 添加此权限允许组中的用户在创建维护时段任务时在控制台中查看和选择客户角色。为 `arn:aws:iam::{{account-id}}:role/aws-service-role/ssm.amazonaws.com/` 添加此权限允许组中的用户在创建维护时段任务时在控制台中选择 Systems Manager 服务相关角色。
1. 打开 Amazon CLI。
1. 根据您是否要将权限分配到 IAM 实体(用户或组),运行以下命令之一。
+ **对于 IAM 实体:**
------
#### [ Linux & macOS ]
```
aws iam put-user-policy \
--user-name "{{user-name}}" \
--policy-name "{{policy-name}}" \
--policy-document file://{{path-to-document}}
```
------
#### [ Windows ]
```
aws iam put-user-policy ^
--user-name "{{user-name}}" ^
--policy-name "{{policy-name}}" ^
--policy-document file://{{path-to-document}}
```
------
对于 {{user-name}},请指定将向维护时段分配任务的用户。对于 {{policy-name}},请指定要用于标识策略的名称,如 **my-iam-passrole-policy**。对于 {{path-to-document}},请指定步骤 1 中保存文件的路径。例如:`file://C:\Temp\mw-passrole-policy.json`
**注意**
要授予用户使用 Systems Manager 控制台为维护时段注册任务的访问权限,您还必须将 `AmazonSSMFullAccess` 策略分配给您的用户(或为涵盖维护时段任务的 Systems Manager 提供较小访问权限集的 IAM 策略)。运行以下命令将 `AmazonSSMFullAccess` 策略分配给您的用户。
```
aws iam attach-user-policy \
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
--user-name "{{user-name}}"
```
```
aws iam attach-user-policy ^
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
--user-name "{{user-name}}"
```
+ **对于 IAM 组**:
------
#### [ Linux & macOS ]
```
aws iam put-group-policy \
--group-name "{{group-name}}" \
--policy-name "{{policy-name}}" \
--policy-document file://{{path-to-document}}
```
------
#### [ Windows ]
```
aws iam put-group-policy ^
--group-name "{{group-name}}" ^
--policy-name "{{policy-name}}" ^
--policy-document file://{{path-to-document}}
```
------
对于 {{group-name}},指定其成员将向维护时段分配任务的组。对于 {{policy-name}},请指定要用于标识策略的名称,如 **my-iam-passrole-policy**。对于 {{path-to-document}},请指定步骤 1 中保存文件的路径。例如:`file://C:\Temp\mw-passrole-policy.json`。
**注意**
要授予组成员使用 Systems Manager 控制台为维护时段注册任务的访问权限,还必须将 `AmazonSSMFullAccess` 策略分配给组。运行以下命令将此策略分配给您的组。
```
aws iam attach-group-policy \
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
--group-name "{{group-name}}"
```
```
aws iam attach-group-policy ^
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
--group-name "{{group-name}}"
```
1. 运行以下命令验证策略是否已分配给该组。
------
#### [ Linux & macOS ]
```
aws iam list-group-policies \
--group-name "{{group-name}}"
```
------
#### [ Windows ]
```
aws iam list-group-policies ^
--group-name "{{group-name}}"
```
------
## 任务 4:使用 Amazon CLI 阻止指定用户注册维护时段任务
对于您的 Amazon Web Services 账户中您不希望其将任务注册到维护时段的用户,您可以拒绝向其授予 `ssm:RegisterTaskWithMaintenanceWindow` 权限。这将提供额外的防护,从而阻止不应注册维护时段任务的用户。
根据您是拒绝向单个用户还是组授予 `ssm:RegisterTaskWithMaintenanceWindow` 权限,使用以下过程之一,阻止用户将任务注册到维护时段。
**要使用 Amazon CLI 为不允许注册维护时段任务的用户配置权限**
1. 将以下 IAM 策略复制并粘贴到文本编辑器中,然后使用以下名称和文件扩展名保存:**deny-mw-tasks-policy.json**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:RegisterTaskWithMaintenanceWindow",
"Resource": "*"
}
]
}
```
------
1. 打开 Amazon CLI。
1. 根据您是否要将权限分配到 IAM 实体(用户或组),运行以下命令之一。
+ **对于用户:**
------
#### [ Linux & macOS ]
```
aws iam put-user-policy \
--user-name "{{user-name}}" \
--policy-name "{{policy-name}}" \
--policy-document file://{{path-to-document}}
```
------
#### [ Windows ]
```
aws iam put-user-policy ^
--user-name "{{user-name}}" ^
--policy-name "{{policy-name}}" ^
--policy-document file://{{path-to-document}}
```
------
对于 {{user-name}},请指定要阻止其向维护时段分配任务的用户。对于 {{policy-name}},请指定要用于标识策略的名称,如 **my-deny-mw-tasks-policy**。对于 {{path-to-document}},请指定步骤 1 中保存文件的路径。例如:`file://C:\Temp\deny-mw-tasks-policy.json`
+ **对于组:**
------
#### [ Linux & macOS ]
```
aws iam put-group-policy \
--group-name "{{group-name}}" \
--policy-name "{{policy-name}}" \
--policy-document file://{{path-to-document}}
```
------
#### [ Windows ]
```
aws iam put-group-policy ^
--group-name "{{group-name}}" ^
--policy-name "{{policy-name}}" ^
--policy-document file://{{path-to-document}}
```
------
对于 {{group-name}},请指定要阻止其成员向维护时段分配任务的组。对于 {{policy-name}},请指定要用于标识策略的名称,如 **my-deny-mw-tasks-policy**。对于 {{path-to-document}},请指定步骤 1 中保存文件的路径。例如:`file://C:\Temp\deny-mw-tasks-policy.json`
1. 运行以下命令验证策略是否已分配给该组。
------
#### [ Linux & macOS ]
```
aws iam list-group-policies \
--group-name "{{group-name}}"
```
------
#### [ Windows ]
```
aws iam list-group-policies ^
--group-name "{{group-name}}"
```
------