任务 1:创建用户组 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

任务 1:创建用户组

您可以为每个 策略创建用户组并将用户分配到组,而不是将单个策略附加到每个用户。

您可以通过省略建议策略或可选策略来创建具有不同权限集的多个用户组。您还可以创建自定义 Amazon Identity and Access Management (IAM)策略,向用户授予任何权限组合。例如,您可以授予用户组权限仅使用 Amazon Systems Manager 中的 Session Manager 功能,如控制用户会话对实例的访问中所述。

要查看 Systems Manager 的自定义 IAM policy 的其他示例,请参阅 客户托管式策略示例

有关使用 IAM policy 进行 Systems Manager 访问的全面信息,请参阅 适用于 Amazon Systems Manager 的 Identity and Access Management

创建用户组

使用以下过程为您的 Systems Manager 用户创建用户组。您可以重复此过程以创建具有不同权限集的其他用户组。

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 User groups(用户组),然后选择 Create group(创建组)。

  3. Create user group(创建用户组)页面上,为 User group name(用户组名称)输入组的名称,例如 SSMUserGroup

  4. 对于 Add users to the group(将用户添加到组中),请选中要添加到组中的任何现有用户旁边的复选框。

  5. 对于 Attach permissions policies(附上权限策略),执行以下操作:

    • 如果要为用户提供使用 Resource Groups 和标签编辑器的权限,请选择ResourceGroupsandTagEditorFullAccess 策略。

      可以在 Amazon Resource Groups 服务中管理 Amazon 资源组 。可以选择为您账户中的用户和用户组提供对此服务及其标签编辑器的访问权限,但我们建议您进行更有效的管理操作。

      有关更多信息,请参阅 Amazon Resource Groups 用户指南中的什么是资源组?

    • 要为此组中的用户提供对 Systems Manager 控制台的完全访问权限,请选择AmazonSSMFullAccess策略。

      -或者-

      如果希望此组中的用户仅可查看 Systems Manager 数据,而不是创建或更新资源,请选择AmazonSSMReadOnlyAccess策略。

    • 向用户提供在 Systems Manager 控制台中对Built-In Insights(内置洞察)和Dashboard by CloudWatch(CloudWatch 控制面板)的访问权限,请选择以下托管式策略旁边的复选框:

      • AWSHealthFullAccess

        此策略授予对 Amazon Health API 和“Notifications”(通知) 以及“Personal Health”控制面板的完全访问权限。它还可以提供对 Systems Manager 控制台中“Built-In Insights”(内置见解) 控制面板的各部分内容的访问权限。

      • AWSConfigUserAccess

        此策略提供使用 Amazon Config 的只读访问权限,包括按资源上的标签进行搜索,以及读取所有标签。它还可以提供对 Systems Manager 控制台中“Built-In Insights”(内置见解) 控制面板的各部分内容的访问权限。

      • CloudWatchReadOnlyAccess

        此策略提供对 Amazon CloudWatch 的只读访问权限,用以查看 Systems Manager 控制台中的Dashboard by CloudWatch(CloudWatch 控制面板)。

    • 添加任何其他策略以提供您要授予此用户组的权限。

  6. 验证正确的策略是否已添加到此组,然后选择 Create group(创建组)。

继续浏览 任务 2:创建用户和分配权限