创建自定义服务角色以将诊断报告导出至 S3 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Systems Manager Change Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 Amazon Systems Manager Change Manager 可用性变更

创建自定义服务角色以将诊断报告导出至 S3

在 Systems Manager 浏览节点页面中查看您的 Amazon 组织或账户的托管节点的已筛选或未筛选列表时,您可以将报告的列表以 CSV 文件形式导出到 Amazon S3 存储桶。

为此,您必须指定具有操作所需权限和信任策略的服务角色。您可以选择让 Systems Manager 在下载报告的过程中为您创建角色。或者,您可以自己创建角色及其所需的策略。

创建自定义服务角色以将诊断报告导出至 S3

  1. 按照《IAM 用户指南》中使用 JSON 编辑器创建策略中的步骤进行操作。

    • 使用以下内容作为策略内容,确保将占位符值替换为您自己的信息。

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "111122223333"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:ListBucket",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "111122223333"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:ListNodes"
      ],
      "Resource": "*"
    }
  ]
}

    • 为该策略命名,以帮助您在下一步中轻松识别它。

  2. 按照《IAM 用户指南》中使用自定义信任策略创建 IAM 角色(控制台)中的步骤进行操作。

    • 对于步骤 4,输入以下信任策略,确保将占位符值替换为您自己的信息。

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SSMAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        }
      }
    }
  ]
}

  3. 对步骤 10,选择步骤 2:添加权限,然后选择您在上一步中创建的策略的名称。

在创建角色后,您可以按照下载或导出托管节点报告中的步骤选择该角色。