使用角色为 OpsCenter 和 Explorer 收集 Amazon Web Services 账户 信息 - Amazon Systems Manager
Systems Manager 账户发现的服务相关角色权限创建 Systems Manager 的 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色编辑 Systems Manager 的 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色删除 Systems Manager 的 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色支持 Systems ManagerAWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色的区域对 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色的更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用角色为 OpsCenter 和 Explorer 收集 Amazon Web Services 账户 信息

Systems Manager 使用名为 AWSServiceRoleForAmazonSSM_AccountDiscovery 的服务相关角色。Amazon Systems Manager 使用此 IAM 服务角色调用其他 Amazon Web Services来发现 Amazon Web Services 账户 信息。

Systems Manager 账户发现的服务相关角色权限

AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色信任以下服务代入该角色:

  • accountdiscovery.ssm.amazonaws.com

角色权限策略允许 Systems Manager 对指定资源完成以下操作:

  • organizations:DescribeAccount

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListDelegatedServicesForAccount

  • organizations:ListDelegatedAdministrators

  • organizations:ListRoots

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

创建 Systems Manager 的 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色

如果要跨多个 Amazon Web Services 账户 使用 Systems Manager 的 Explorer 和 OpsCenter 功能,则必须创建服务相关角色。对于 OpsCenter,您必须手动创建服务相关角色。有关更多信息,请参阅 (可选)将 OpsCenter 设置为跨账户集中管理 OpsItems

对于 Explorer,如果您使用 Amazon Web Services Management Console 中的 Systems Manager 创建资源数据同步,则可以通过选择 Create role(创建角色)按钮创建服务相关角色。如果要以编程方式创建资源数据同步,则必须在创建资源数据同步之前创建角色。您可以使用 CreateServiceLinkedRole API 操作创建角色。

编辑 Systems Manager 的 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色

Systems Manager 不允许您编辑 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Systems Manager 的 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色

如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。

清除 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色

您必须首先删除所有 Explorer 资源数据同步,然后才能使用 IAM 删除 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色。有关更多信息,请参阅 删除 Systems Manager Explorer 资源数据同步

注意

如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

手动删除 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色

使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

支持 Systems ManagerAWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色的区域

Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon Systems Manager 终端节点和限额

对 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色的更新

查看有关 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色更新(从该服务开始跟踪这些变更开始)的详细信息。要获得有关此页面更改的自动提示,请订阅 Systems Manager 文档历史记录 页面上的 RSS 源。

更改 描述 日期

已添加新权限

此服务相关角色现在包括 organizations:DescribeOrganizationalUnitorganizations:ListRoots 权限。这些权限让 Amazon Organizations 管理账户或 Systems Manager 委派管理员账户可以跨账户使用 OpsItems。有关更多信息,请参阅 (可选)将 OpsCenter 设置为跨账户集中管理 OpsItems

 2022 年 10 月 17 日