AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

任务 2:创建用户组

您可以为每个策略创建用户组并将用户分配到组,而不是将单个策略附加到每个用户。

您可以通过省略建议策略或可选策略来创建具有不同权限集的多个用户组。您还可以创建自定义 IAM 策略以向用户授予任何权限组合。例如,您可以授予用户组仅使用 Systems Manager 中的 Session Manager 功能的权限,如控制用户会话对实例的访问中所述。

要查看 Systems Manager 的自定义 IAM 策略的其他示例,请参阅客户托管策略示例

要全面了解如何使用 IAM 策略进行 Systems Manager 访问,请参阅AWS Systems Manager 的身份验证和访问控制

创建用户组

使用以下过程为您的 Systems Manager 用户创建用户组。您可以重复此过程以创建具有不同权限集的其他用户组。

  1. 在 IAM 控制台的导航窗格中,选择 Groups (组),然后选择 Create New Group (创建新组)

  2. Set Group Name (设置组名称) 页面中,输入组的名称,如 SSMUserGroup 或您喜欢的其他名称。

  3. 选择 Next Step

  4. Attach Policy (附加策略) 页面上,为 Filter (筛选器) 输入 SSM

  5. 在策略列表中,请执行以下操作:

    • 如果要为用户提供权限以使用 Resource Groups 和标签编辑器,请选择您在过程 任务 1:创建策略用于标签编辑器和资源组 中创建的 SSMTagEditorAndResourceGroupAccess 策略。如果您为策略指定不同的名称,请改为选择该名称。

    • 要为此组中的用户提供对 Systems Manager 控制台的完全访问权限,请选中 AmazonSSMFullAccess 旁边的框。

      -或者-

      如果您希望此组中的用户仅查看 Systems Manager 数据,而不是创建或更新资源,请选择 AmazonSSMReadOnlyAccess 旁边的框。

    • 要提供对 Systems Manager 控制台中的 Built-In Insights (内置见解)Dashboard by CloudWatch (CloudWatch 控制面板) 页面的访问权限,请选中这些托管策略旁边的框:

      • AWSHealthFullAccess

        此策略授予对 AWS Health API 和“Notifications”(通知) 以及“Personal Health”控制面板的完全访问权限。它还可以提供对 Systems Manager 控制台中“Built-In Insights”(内置见解) 控制面板的各部分内容的访问权限。

      • AWSConfigUserAccess

        此策略提供使用 AWS Config 的只读访问权限,包括按资源上的标签搜索以及读取所有标签。它还提供对 Systems Manager 控制台中“Built-In Insights”(内置见解) 控制面板的各部分内容的访问权限。

      • CloudWatchReadOnlyAccess

        此策略提供对 CloudWatch 的只读访问权限,在 Systems Manager 控制台中查看 Dashboard by CloudWatch (CloudWatch 控制面板) 上的信息时需要该服务。

    • 添加任何其他策略以提供您要授予此用户组的权限。

  6. 选择 Next Step

  7. Review (审核) 页面上,验证正确的策略是否已添加到此组,然后选择 Create Group (创建组)

继续浏览任务 3:创建用户和分配权限