Task 1:创建用户组 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Task 1:创建用户组

您可以为每个 策略创建用户组并将用户分配到组,而不是将单个策略附加到每个用户。

您可以通过省略建议策略或可选策略来创建具有不同权限集的多个用户组。您还可以创建自定义Amazon Identity and Access Management(IAM) 策略,为用户授予任何权限组合。例如,您可以授予用户组仅使用Session Manager中的功能Amazon Systems Manager,如所述控制用户会话对实例的访问.

有关 Systems Manager 的自定义 IAM 策略的其他示例,请参阅客户管理的策略示例.

有关将 IAM 策略用于 Systems Manager 访问,请参阅适用于 Amazon Systems Manager 的 Identity and Access Management.

创建用户组

使用以下过程为 Systems Manager 用户创建用户组。您可以重复此过程以创建具有不同权限集的其他用户组。

  1. 在 IAM 控制台的导航窗格中,选择 Groups (组),然后选择 Create New Group (创建新组)

  2. Set Group Name (设置组名称) 页面中,输入组的名称,如 SSMUserGroup 或您喜欢的其他名称。

  3. 选择 Next Step

  4. 在策略列表中,请执行以下操作:

    • 如果要为用户提供权限以使用 Resource Groups 和标签编辑器,请选择ResourceGroupsandTagEditorFullAccess政策。

      Amazon资源组可以在Amazon Resource Groups服务。可以选择为您账户中的用户和用户组提供对此服务及其标签编辑器的访问权限,但我们建议您进行更有效的管理操作。

      有关更多信息,请参阅 。什么是 Amazon Web Services?

    • 要为此组中的用户提供对 Systems Manager 控制台的完全访问权限,请选择AmazonSSMFullAccess政策。

      -或者-

      如果希望此组中的用户仅查看 Systems Manager 数据,而不是创建或更新资源,请选择AmazonSSMReadOnlyAccess政策。

    • 要向用户提供对内置见解CloudWatch 控制面板页面上,选中这些托管策略旁边的框:

      • AWSHealthFullAccess

        此策略授予对 Amazon Health API 和“Notifications”(通知) 以及“Personal Health”控制面板的完全访问权限。它还可以提供对 Systems Manager 控制台中 “内置见解” 控制面板的各部分内容的访问权限。

      • AWSConfigUserAccess

        此策略提供使用 Amazon Config 的只读访问权限,包括按资源上的标签进行搜索,以及读取所有标签。它还可以提供对 Systems Manager 控制台中 “内置见解” 控制面板的各部分内容的访问权限。

      • CloudWatchReadOnlyAccess

        此策略提供对 CloudWatch 的只读访问权限,这是查看CloudWatch 控制面板在 Systems Manager 控制台中。

    • 添加任何其他策略以提供您要授予此用户组的权限。

  5. 选择 Next Step

  6. Review (审核) 页面上,验证正确的策略是否已添加到此组,然后选择 Create Group (创建组)

继续浏览Task 2:创建用户和分配权限