Amazon Systems Manager Change Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 Amazon Systems Manager Change Manager 可用性变更。
Systems Manager 的代入角色配置
要为 Systems Manager 快速设置功能创建代入角色,请执行以下操作:
Systems Manager 快速设置功能需要一个允许 Systems Manager 在您的账户中安全地执行操作的角色。此角色向 Systems Manager 授予在您的实例上运行命令以及代表您配置 EC2 实例、IAM 角色和其他 Systems Manager 资源所需的权限。
-
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中选择策略,然后选择创建策略。
-
使用下面的 JSON 添加
SsmOnboardingInlinePolicy策略。(此策略启用将实例配置文件权限附加到您指定的实例所需的操作。例如,允许创建实例配置文件并将其与 EC2 实例关联)。 -
完成后,在左侧导航窗格中选择角色,然后选择创建角色。
-
对于可信实体类型,请保留默认值(服务)。
-
在使用案例下,选择 Systems Manager,然后选择下一步。
-
在添加权限页面上:
-
添加
SsmOnboardingInlinePolicy策略。 -
选择下一步。
-
对于角色名称,输入一个描述性名称(例如,
AmazonSSMRoleForAutomationAssumeQuickSetup)。 -
(可选)添加帮助识别和组织角色的标签。
-
选择创建角色。
重要
该角色必须包括与 ssm.amazonaws.com 的信任关系。当您在步骤 4 中选择 Systems Manager 作为服务时,系统会自动进行配置。
创建角色后,可以在配置快速设置功能时将其选中。该角色使 Systems Manager 能够代表您管理 EC2 实例、IAM 角色和其他 Systems Manager 资源并运行命令,同时通过特定的有限权限维护安全。
权限策略
SsmOnboardingInlinePolicy
以下策略定义了 Systems Manager 快速设置功能的权限:
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:ListInstanceProfilesForRole", "ec2:DescribeIamInstanceProfileAssociations", "iam:GetInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:AssociateIamInstanceProfile" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "ec2:InstanceProfile": "true" }, "ArnLike": { "ec2:NewInstanceProfile": "arn:aws:iam::*:instance-profile/[INSTANCE_PROFILE_ROLE_NAME]" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/[INSTANCE_PROFILE_ROLE_NAME]", "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } } ] }
信任关系
这是通过上述步骤自动添加的
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }