Task 1:创建用户组 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Task 1:创建用户组

您可以为每个 策略创建用户组并将用户分配到组,而不是将单个策略附加到每个用户。

您可以通过省略建议策略或可选策略来创建具有不同权限集的多个用户组。您还可以创建自定义 IAM 策略以向用户授予任何权限组合。例如,您可以授予用户组仅使用 Systems Manager 中的会话管理器功能的权限,如控制用户会话对实例的访问

有关 Systems Manager 的自定义 IAM 策略的其他示例,请参阅客户管理的策略示例

有关将 IAM 策略用于 Systems Manager 访问的全面信息,请参阅AWS Systems Manager 的 Identity and Access Manager 管理

创建用户组

使用以下过程为您的 Systems Manager 用户创建用户组。您可以重复此过程以创建具有不同权限集的其他用户组。

  1. 在 IAM 控制台的导航窗格中,选择 Groups (组),然后选择 Create New Group (创建新组)

  2. Set Group Name (设置组名称) 页面中,输入组的名称,如 SSMUserGroup 或您喜欢的其他名称。

  3. 选择 Next Step

  4. 在策略列表中,请执行以下操作:

    • 如果要为用户提供权限以使用 Resource Groups 和标签编辑器,请选择ResourceGroupsandTagEditorFullAccess策略。

      AWS Resource Groups 可以在 AWS Resource Groups 服务中以及在 Systems Manager 中的 “资源组” 功能中进行管理。可以选择为您账户中的用户和用户组提供对此服务及其标签编辑器的访问权限,但我们建议您进行更有效的管理操作。

      有关更多信息,请参阅AWS Systems Manager 中的 Resource Groups

    • 要为此组中的用户提供对 Systems Manager 控制台的完全访问权限,请选择AmazonSSMFullAccess策略。

      -或者-

      如果您希望此组中的用户仅查看 Systems Manager 数据,而不是创建或更新资源,请选择AmazonSSMReadOnlyAccess策略。

    • 为用户提供对的内置见解CloudWatch 的控制面板页面 Systems Manager,选中这些托管策略旁边的框:

      • AWSHealthFullAccess

        此策略授予对 AWS Health API 和通知以及 Personal Health Dashboard 的完全访问权限。它还可以提供对 Systems Manager 控制台中 “Insights” (内置见解) 控制面板的各部分内容的访

      • AWSConfigUserAccess

        此策略提供使用 AWS Config 的只读访问权限,包括按资源上的标签进行搜索,以及读取所有标签。它还可以提供对 Systems Manager 控制台中 “Insights” (内置见解) 控制面板的各部分内容的访

      • CloudWatchReadOnlyAccess

        此策略提供对 CloudWatch 的只读访问权限,需要访问才能查看有关CloudWatch 的控制面板在 Systems Manager 控制台中。

    • 添加任何其他策略以提供您要授予此用户组的权限。

  5. 选择 Next Step

  6. Review (审核) 页面上,验证正确的策略是否已添加到此组,然后选择 Create Group (创建组)

继续浏览Task 2:创建用户和分配权限