设置 Maintenance Windows - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

设置 Maintenance Windows

您的 Amazon Web Services 账户 中的用户必须先获得必要权限,然后才能使用 Amazon Systems Manager 的功能 Maintenance Windows 创建和计划维护时段任务。要向用户授予这些权限,管理员必须执行以下两个任务:

任务 1:配置节点权限

通过执行以下操作之一,向 Maintenance Windows 服务提供在节点上运行维护时段任务所需的 Amazon Identity and Access Management (IAM) 权限:

  • 为维护时段任务创建自定义服务角色

  • 为 Systems Manager 创建服务相关角色

在创建维护时段任务时,作为配置的一部分,您可以指定其中一个角色。这将允许 Systems Manager 代表您运行维护时段中的任务。

注意

Systems Manager 的服务相关角色可能已在您的账户中创建。目前,服务相关角色还提供了 Systems Manager Inventory 和 Systems Manager Explorer 的权限。有关更多信息,请参阅使用角色收集清单、运行维护时段任务和查看 OpsData:AWSServiceRoleForAmazonSSM

要帮助您决定是将自定义服务角色还是 Systems Manager 服务相关角色用于维护时段任务,请参阅 我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?

任务 2:为已获允许注册维护时段任务的用户配置权限

允许向您的 Amazon Web Services 账户 中将任务分配给维护时段的用户授予 iam:PassRole 权限。这将允许这些用户将该角色传递到维护时段服务。如果未获此明确的 IAM 权限,则在使用自定义服务角色运行维护时段任务时,用户将无法向维护时段分配任务。

任务 3:为未获允许注册维护时段任务的用户配置权限

拒绝向您的 Amazon Web Services 账户 中您不希望其将任务注册到维护时段的用户授予 ssm:RegisterTaskWithMaintenanceWindow 权限。这将阻止用户通过在维护时段任务注册请求中使用服务相关角色注册维护时段任务。

开始前的准备工作

要完成这部分中的任务,您需要具备以下一个或两个资源。

  • 您正在向 IAM 用户或组分配权限。这些用户或组应该已被授予使用维护时段的常规权限。可通过以下方式完成此操作:将 IAM 策略 AmazonSSMFullAccess 分配给用户或组,或者创建并分配一个 IAM 策略,该策略为处理维护时段任务的 Systems Manager 提供较小的访问权限集。有关更多信息,请参阅创建用户组创建用户和分配权限

  • (可选)对于运行 Run Command 任务的维护时段,您可以针对要发送的 Amazon Simple Notification Service (Amazon SNS) 状态通知进行选择。有关为 Systems Manager 配置 Amazon SNS 通知的信息,包括有关创建用于发送 SNS 通知的 IAM 角色的信息,请参阅 使用 Amazon SNS 通知监控 Systems Manager 状态更改

我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?

要在目标节点上运行维护任务,Maintenance Windows 服务必须具有在节点上访问并运行任务的权限。您可以通过指定 Systems Manager 服务相关角色或自定义服务角色作为任务配置的一部分来提供此权限。

应选择的角色类型取决于以下因素:

自定义服务角色:在以下情况下对维护时段任务使用自定义服务角色:

  • 如果您希望使用 Amazon SNS 发送与已注册到维护时段的 Run Command 任务的状态变化相关的通知。有关信息,请参阅以下主题:

  • 如果要使用比由服务相关角色提供的权限更严格的一组权限。服务相关角色支持非常有限的资源级约束。例如,假如您希望允许维护时段任务在一组有限的节点上运行,或者希望仅允许某些 Systems Manager 文档(SSM 文档)在您的目标节点上运行。在这些情况下,您可以在自定义服务角色中指定更严格的权限。

  • 如果您需要使用比服务相关角色提供的权限更宽松或更广泛的一组权限。自动化 运行手册中的某些操作需要广泛的权限。

    例如,一些 自动化 操作使用 Amazon CloudFormation 堆栈。因此,权限 cloudformation:CreateStackcloudformation:DescribeStackcloudformation:DeleteStack 是必需的。

    另一个示例:自动化 运行手册 AWS-CopySnapshot 需要权限来创建 Amazon Elastic Block Store (Amazon EBS) 快照,因此服务角色需要权限 ec2:CreateSnapshot。此权限不包含在 Systems Manager 的服务相关角色中。

    有关 自动化 运行手册所需角色权限的信息,请参阅 Systems Manager 自动化运行手册参考 中的文档描述。

Systems Manager 服务相关角色:我们建议您在所有其他情况下使用 Systems Manager 服务相关角色。

有关 Systems Manager 服务相关角色的更多信息,请参阅 将服务相关角色用于 Systems Manager