创建自定义服务角色以将诊断报告导出至 S3 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建自定义服务角色以将诊断报告导出至 S3

在 Systems Manager 浏览节点页面中查看您的 Amazon 组织或账户的托管节点的已筛选或未筛选列表时,您可以将报告的列表以 CSV 文件形式导出到 Amazon S3 存储桶。

为此,您必须指定具有操作所需权限和信任策略的服务角色。您可以选择让 Systems Manager 在下载报告的过程中为您创建角色。或者,您可以自己创建角色及其所需的策略。

创建自定义服务角色以将诊断报告导出至 S3

  1. 按照《IAM 用户指南》中使用 JSON 编辑器创建策略中的步骤进行操作。

    • 使用以下内容作为策略内容,确保将占位符值替换为您自己的信息。

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::s3-bucket-name/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "account-id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:ListBucket",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration"
      ],
      "Resource": "arn:aws:s3:::s3-bucket-name",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "account-id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:ListNodes"
      ],
      "Resource": "*"
    }
  ]
}

    • 为该策略命名,以帮助您在下一步中轻松识别它。

  2. 按照《IAM 用户指南》中使用自定义信任策略创建 IAM 角色(控制台)中的步骤进行操作。

    • 对于步骤 4,输入以下信任策略,确保将占位符值替换为您自己的信息。

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SSMAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  3. 对步骤 10,选择步骤 2:添加权限,然后选择您在上一步中创建的策略的名称。

在创建角色后,您可以按照下载或导出托管节点报告中的步骤选择该角色。