使用角色收集 Systems Manager 资源管理器的 AWS 账户信息 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用角色收集 Systems Manager 资源管理器的 AWS 账户信息

AWS Systems Manager 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Systems Manager 直接关联的独特类型的 IAM 角色。服务相关角色由 Systems Manager 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。

服务相关角色使 Systems Manager 的设置更轻松,因为您不必手动添加必要的权限。Systems Manager 定义其服务相关角色的权限,除非另行定义,否则仅 Systems Manager 可以代入其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

只有在首先删除相关资源后,才能删除服务相关角色。这将保护您的 Systems Manager 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务并查找 Service-Linked Role 列为 Yes 的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

适用于 Systems Manager 的服务相关角色权限

Systems Manager 使用名为 AWSServiceRoleForAmazonSSM_AccountDiscovery – AWS Systems Manager 使用此 IAM 服务角色调用其他 AWS 服务以发现 AWS 账户信息。 的服务相关角色。

AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色信任以下服务代入该角色:

  • accountdiscovery.ssm.amazonaws.com

角色权限策略允许 Systems Manager 对指定资源完成以下操作:

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListChildren

  • organizations:ListParents

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions 中的IAM 用户指南服务相关角色权限

为 Systems Manager 创建服务相关角色

您无需手动创建服务相关角色。当您在 、Systems Manager 或 Explorer API 中使用 AWS 管理控制台 创建资源数据同步时,AWS CLI 会为您创建服务相关角色。AWSSystems Manager

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您使用 Systems Manager Explorer 创建资源数据同步时,Systems Manager 将再次为您创建服务相关角色。

编辑 Systems Manager 的服务相关角色

Systems Manager 不允许您编辑 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role 中的IAM 用户指南编辑服务相关角色

删除 Systems Manager 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。

清除服务相关角色

您必须先删除所有 Explorer 资源数据同步,然后才能使用 IAM 删除服务相关角色。有关更多信息,请参阅删除 Systems Manager Explorer 资源数据同步

注意

如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。

手动删除服务相关角色

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForAmazonSSM_AccountDiscovery 服务相关角色。有关更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role 中的IAM 用户指南删除服务相关角色

Systems Manager 服务相关角色的受支持区域

Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅AWS 区域和终端节点

Systems Manager 不支持在服务可用的每个区域中使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色。

区域名称 区域标识 在 Systems Manager 中支持
美国东部(弗吉尼亚北部) us-east-1
us-west-2
美国西部(加利福尼亚北部) us-west-1
美国西部(俄勒冈) us-west-2
亚太地区(孟买) ap-south-1
亚太区域 (大阪当地) ap-northeast-3
亚太区域(首尔) ap-northeast-2
亚太区域(新加坡) ap-southeast-1
亚太区域(悉尼) ap-southeast-2
亚太区域(东京) ap-northeast-1
加拿大 (中部) ca-central-1
欧洲(法兰克福) eu-central-1
欧洲(爱尔兰) eu-west-1
欧洲(伦敦) eu-west-2
欧洲(巴黎) eu-west-3
南美洲(圣保罗) sa-east-1
中国(北京) cn-north-1
中国 (宁夏) cn-northwest-1
AWS GovCloud (US) us-gov-west-1