• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 使用角色来收集清单并查看 OpsData
<a name="using-service-linked-roles-service-action-1"></a>

Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM`** 的服务相关角色。Amazon Systems Manager 使用此 IAM 服务角色代表您管理 Amazon 资源。

## 清单、OpsData 和 OpsItem 的服务相关角色权限
<a name="service-linked-role-permissions-service-action-1"></a>

`AWSServiceRoleForAmazonSSM` 服务相关角色仅信任 `ssm.amazonaws.com` 服务担任此角色。

您可以使用 Systems Manager 服务相关角色 `AWSServiceRoleForAmazonSSM` 执行以下操作：
+ Systems Manager Inventory 工具使用服务相关角色 `AWSServiceRoleForAmazonSSM` 从标签和资源组采集清单元数据。
+ Explorer 工具使用服务相关角色 `AWSServiceRoleForAmazonSSM` 来启用查看多个账户的 OpsData 和 OpsItems 的功能。当您将 Security Hub CSPM 启用为 Explorer 或 OpsCenter 的数据来源时，此服务相关角色还允许 Explorer 创建托管式规则。

**重要**  
以前，Systems Manager 控制台允许您选择 Amazon 托管式 IAM 服务相关角色 `AWSServiceRoleForAmazonSSM`，以用作任务的维护角色。现在不再建议将此角色及其相关策略 `AmazonSSMServiceRolePolicy` 用于维护时段任务。如果您目前在将此角色用于维护时段任务，我们建议您停止使用它。而应创建您自己的 IAM 角色，以便您的维护时段任务运行时在 Systems Manager 与其他 Amazon Web Services 服务之间进行通信。  
有关更多信息，请参阅 [设置 Maintenance Windows](setting-up-maintenance-windows.md)。

用于为 `AWSServiceRoleForAmazonSSM` 角色提供权限的托管策略是 `AmazonSSMServiceRolePolicy`。有关该策略授予的权限的详细信息，请参阅 [Amazon 托管式策略：AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)。

## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
<a name="create-service-linked-role-service-action-1"></a>

您可以使用 IAM 控制台为 **EC2** 使用案例创建服务相关角色。在 Amazon Command Line Interface (Amazon CLI) 中使用 IAM 的命令或使用 IAM API，创建服务名称为 `ssm.amazonaws.com` 的服务相关角色。有关更多信息，请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。

## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
<a name="edit-service-linked-role-service-action-1"></a>

Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM` 服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
<a name="delete-service-linked-role-service-action-1"></a>

如果您不再需要使用某个需要服务相关角色的功能或服务，建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。您可以使用 IAM 控制台、Amazon CLI 或 IAM API 手动删除此服务相关角色。为此，您必须先手动清除服务相关角色的资源，然后才能手动删除它。

多项工具都可使用 `AWSServiceRoleForAmazonSSM` 服务相关角色，因此在尝试删除该角色之前，请确保没有任何工具在使用该角色。
+ **Inventory：**如果删除 Inventory 工具使用的服务相关角色，则标签和资源组的清单数据将不再同步。您必须先清除服务相关角色的资源，然后才能手动删除它。
+ **Explorer：**如果删除 Explorer 工具使用的服务相关角色，则无法再查看跨账户和跨区域的 OpsData 及 OpsItems。

**注意**  
如果在您尝试删除标签或资源组时 Systems Manager 服务正在使用该角色，则删除操作可能会失败。如果发生这种情况，请等待几分钟后重试。

**删除 `AWSServiceRoleForAmazonSSM` 所用的 Systems Manager 资源**

1. 要删除标签，请参阅[为单个资源添加和删除标签](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。

1. 要删除资源组，请参阅[从 Amazon Resource Groups 中删除组](https://docs.amazonaws.cn/ARG/latest/userguide/deleting-resource-groups.html)。

**使用 IAM 手动删除 `AWSServiceRoleForAmazonSSM` 服务相关角色**

使用 IAM 控制台、Amazon CLI 或 IAM API 删除 `AWSServiceRoleForAmazonSSM` 服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 支持 Systems Manager `AWSServiceRoleForAmazonSSM` 服务相关角色的区域
<a name="slr-regions-service-action-1"></a>

Systems Manager 支持提供该服务的所有 Amazon Web Services 区域中使用 `AWSServiceRoleForAmazonSSM` 服务相关角色。有关更多信息，请参阅 [Amazon Systems Manager 终端节点和限额](https://docs.amazonaws.cn/general/latest/gr/ssm.html)。