步骤 7:(可选)创建 Systems Manager 服务角色 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 7:(可选)创建 Systems Manager 服务角色

本主题解释了服务角色服务相关角色(对于 Systems Manager)。它还解释了何时需要创建或使用任一类型的角色。

服务角色:服务角色是一个 AWS Identity and Access Management (IAM),它向 AWS 服务授予相应的权限,以便该服务可以访问 AWS 资源。只有几个 Systems Manager 场景需要服务角色。当您创建 Systems Manager 的服务角色时,您可以选择要授予的权限,以便它访问其他 AWS 资源或与之交互。

服务相关角色:服务相关角色由 Systems Manager 预定义,具有该服务代表您调用其他 AWS 服务所需的一切权限。

目前,Systems Manager 服务相关角色可用于以下内容:

  • Systems Manager 库存功能使用服务相关角色从标签和资源组收集库存元数据。

  • 维护窗口功能在某些情况下可以使用服务相关角色。其他情况需要您创建的自定义服务角色,如下所述。

有关服务相关角色的更多信息,请参阅将服务相关角色用于 Systems Manager

创建服务角色

您可以在 Systems Manager 安装过程中创建以下服务角色,也可以稍后创建它们。

用于 Automation 的服务角色

Automation 之前需要您指定服务角色,以便服务有权代表您执行操作。Automation 不再需要此角色,因为服务现在通过使用已调用执行的用户的上下文来操作。

不过,以下情况仍需要您为 Automation 指定服务角色:

  • 当您想限制用户对资源的权限,但希望用户运行需要提升权限的 Automation 工作流程时。在此方案中,您可以创建具有提升权限的服务角色并允许用户运行此工作流程。

  • 运行时长预计将超过 12 小时的操作需要一个服务角色。

如果您需要为 Automation 创建一个服务角色和一个实例配置文件角色,您可以使用以下方法之一。

用于维护时段任务的服务角色

要在托管实例上运行任务,维护 Windows 服务必须具有访问这些资源的权限。可以使用 Systems Manager 的服务相关角色或您创建的自定义服务角色授予此权限。

在以下情况下可需要创建自定义服务角色:

  • 如果要使用比由服务相关角色提供的权限更严格的一组权限。

  • 在您需要使用比由服务相关角色提供的权限更宽松或更广泛的一组权限时。例如,Automation 文档中的某些操作需要其他 AWS 服务中的操作的权限。

有关更多信息,请参阅此用户指南的维护窗口部分中的以下主题:

Amazon Simple Notification Service 通知服务的服务角色

Amazon Simple Notification Service (Amazon SNS) 是一项 Web 服务,用于协调和管理向订阅终端节点或客户端交付或发送消息的过程。在 Systems Manager 中,您可以将 Amazon SNS 配置为发送通知,其中包括使用运行命令功能发送的命令的状态,或在维护时段中运行的任务的状态。

在配置与 Systems Manager 一起使用的服务的过程中,您可以为 Amazon SNS 创建服务角色。完成此配置后,您可以选择在创建每个命令时是否接收特定 Run Command Access 命令或维护时段任务的通知。

有关更多信息,请参阅 使用 Amazon SNS 通知监控 Systems Manager 状态更改

用于 Systems Manager 混合环境的服务角色

如果计划使用 Systems Manager 在所谓的混合环境中,您必须为这些资源创建 IAM 角色以与 Systems Manager 服务进行通信。

有关更多信息,请参阅 。为混合环境创建 IAM 服务角色

继续浏览步骤 8:(可选)设置与其他 AWS 服务的集成