AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

控制对维护时段的访问权限

您的账户中的用户必须先获得必要权限,然后才能创建和计划维护时段任务。要向用户授予这些权限,管理员必须执行这两个任务:

任务 1:配置实例权限

执行以下操作之一向 Maintenance Window 服务提供在实例上运行维护时段任务所需的 AWS Identity and Access Management (IAM) 权限:

  • 为维护时段任务创建自定义服务角色

  • 为 Systems Manager 创建服务相关角色

您可以在创建维护时段任务时指定其中一个角色作为配置的一部分。这将允许 Systems Manager 代表您运行维护时段中的任务。

注意

Systems Manager 的服务相关角色可能已在您的账户中创建。目前,该服务相关角色还提供了有关 Inventory 功能的权限。

要帮助您决定是使用自定义服务角色还是 Systems Manager 服务相关角色来运行维护时段任务,请参阅我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?

任务 2:配置用户权限

向您账户中将任务分配给维护时段的用户授予 iam:PassRole 权限。这允许这些用户将该角色传递到维护时段服务。如果没有明确授予此权限,用户将无法向维护时段分配任务。

我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?

要在目标实例上运行维护任务,Maintenance Window服务必须具有在您的实例上访问并运行任务的权限。您可以通过指定 Systems Manager 服务相关角色或自定义服务角色作为任务配置的一部分来提供此权限。

应选择的角色类型取决于以下因素:

自定义服务角色:在以下情况下对维护时段任务使用自定义服务角色:

  • 在您希望使用 Amazon Simple Notification Service (Amazon SNS) 发送与通过 Run Command 运行的维护时段任务相关的通知时。您可以在创建维护时段任务时启用 SNS 通知。

  • 如果要使用比由服务相关角色提供的权限更严格的一组权限。服务相关角色支持非常有限的资源级约束。例如,假如您希望允许维护时段任务在一组有限的实例上运行,或者希望仅允许特定 SSM 文档在您的目标实例上运行。在这些情况下,您可以的自定义服务角色中指定更严格的权限。

  • 在您需要使用比由服务相关角色提供的权限更宽松或更广泛的一组权限时。Automation 文档中的某些操作需要广泛的权限。

    例如,一些 Automation 操作使用 AWS CloudFormation 堆栈。因此,权限 cloudformation:CreateStackcloudformation:DescribeStackcloudformation:DeleteStack 是必需的。

    另一个示例:Automation 文档 AWS-CopySnapshot 需要权限来创建 Amazon Elastic Block Store (Amazon EBS) 快照,因此服务角色需要权限 ec2:CreateSnapshot。此权限不包含在 Systems Manager 的服务相关角色中。

    有关 Automation 文档所需角色权限的信息,请参阅 Systems Manager Automation 文档详细信息参考中的文档描述。

Systems Manager 服务相关角色:建议在所有其他情况下使用 Systems Manager 服务相关角色。

有关 Systems Manager 服务相关角色的更多信息,请参阅Systems Manager 的服务相关角色权限