设置 Maintenance Windows - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Maintenance Windows

在您的 Amazon Web Services 账户 可以创建和计划维护窗口任务使用Maintenance Windows,功能为Amazon Systems Manager,则必须向他们授予必要权限。要向用户授予这些权限,管理员必须执行这两个任务:

任务 1:配置实例权限

提供Maintenance Windows服务Amazon Identity and Access Management(IAM) 权限通过执行以下操作之一在实例上运行维护时段任务所需:

  • 为维护时段任务创建自定义服务角色

  • 为 Systems Manager 创建服务相关角色

您可以在创建维护时段任务时指定其中一个角色作为配置的一部分。这将允许 Systems Manager 代表您运行维护时段中的任务。

注意

Systems Manager 的服务相关角色可能已在您的帐户中创建。目前,该服务相关角色还提供了对 Systems Manager 清单和 Systems Manager 的权限。Explorer. 有关更多信息,请参阅 使用角色收集库存、运行维护窗口任务和查看 OpsData:AWSServiceRoleForAmazonSSM

要帮助您决定是使用自定义服务角色还是 Systems Manager 服务相关角色来运行维护时段任务,请参阅我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?.

任务 2:为允许注册维护窗口任务的用户配置权限

Allowiam:PassRole权限中的用户 Amazon Web Services 账户 谁将任务分配给维护窗口。这允许这些用户将该角色传递到维护时段服务。如果没有明确授予此 IAM 权限,用户将无法在使用自定义服务角色运行维护时段任务时段。

任务 3:为不允许注册维护窗口任务的用户配置权限

拒绝ssm:RegisterTaskWithMaintenanceWindow权限中的用户 Amazon Web Services 账户 您不想在维护窗口中注册任务的用户。这可以防止用户通过在维护窗口任务注册请求中使用与服务链接的角色注册维护窗口任务。

开始前的准备工作

要完成这部分中的任务,您需要具备以下一个或两个资源。

  • 您正在为 IAM 用户或组分配权限。这些用户或组应该已被授予使用维护时段的常规权限。此操作可以通过分配 IAM 策略来完成AmazonSSMFullAccess分配给用户或组,或者创建并分配一个 IAM 策略,该策略为 Systems Manager 提供较小的访问权限集,涵盖维护时段任务。有关更多信息,请参阅 。创建用户组创建用户和分配权限.

  • (可选)对于运行Run Command任务,您可以选择发送 Amazon Simple Notification Service (Amazon SNS) 状态通知。有关为 Systems Manager 配置 Amazon SNS 通知的信息,包括创建用于发送 SNS 通知的 IAM 角色的信息,请参阅使用 Amazon SNS 通知监控 Systems Manager 状态更改.

我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?

要在目标实例上运行维护任务,Maintenance Windows服务必须具有在您的实例上访问并运行任务的权限。您可以通过指定 Systems Manager 服务相关角色或自定义服务角色作为任务配置的一部分来提供此权限。

应选择的角色类型取决于以下因素:

自定义服务角色:在以下情况下,将自定义服务角色用于维护时段任务:

  • 如果您希望使用 Amazon SNS 发送与Run Command在维护窗口中注册的任务。有关信息,请参阅以下主题:

  • 如果要使用比由服务相关角色提供的权限更严格的一组权限。服务相关角色支持非常有限的资源级约束。例如,假如您希望允许维护时段任务在一组有限的实例上运行,或者希望仅允许特定 Systems Manager 文档 (SSM 文档) 在您的目标实例上运行。在这些情况下,您可以的自定义服务角色中指定更严格的权限。

  • 在您需要使用比由服务相关角色提供的权限更宽松或更广泛的一组权限时。Automation Runbook 中的某些操作需要扩展权限。

    例如,一些 Automation 操作使用 Amazon CloudFormation 堆栈。因此,权限 cloudformation:CreateStackcloudformation:DescribeStackcloudformation:DeleteStack 是必需的。

    另一个示例:自动化运行手册AWS-CopySnapshot需要权限来创建 Amazon Elastic Block Store (Amazon EBS) 快照,因此服务角色需要权限。ec2:CreateSnapshot. 此权限不包含在 Systems Manager 的服务相关角色中。

    有关 Automation Runbook 所需角色权限的信息,请参阅Systems Manager Automation 运行手册参考.

Systems Manager Services 相关角色:我们建议您在所有其他情况下使用 Systems Manager 服务相关角色。

有关 Systems Manager 服务相关角色的更多信息,请参阅。将服务相关角色用于 Systems Manager.