本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用角色为 Explorer 创建 OpsData 和 OpsItems
Systems Manager 使用名为 AWSServiceRoleForSystemsManagerOpsDataSync 的服务相关角色:Amazon Systems Manager 使用此 IAM 服务角色为 Explorer 创建 OpsData 及 OpsItems。
Systems Manager OpsData 同步的服务相关角色权限
AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色信任以下服务代入该角色:
-
opsdatasync.ssm.amazonaws.com
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
-
Systems Manager Explorer 需要使用服务相关角色授予相应的权限,以便在更新 OpsItem 时更新安全结果,创建和更新 OpsItem,以及在客户删除 SSM 托管式规则时关闭 Security Hub 数据源。
用于为 AWSServiceRoleForSystemsManagerOpsDataSync 角色提供权限的托管策略是 AWSSystemsManagerOpsDataSyncServiceRolePolicy。有关该策略授予的权限的详细信息,请参阅 Amazon 托管策略: AWSSystemsManagerOpsDataSyncServiceRolePolicy。
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
创建 Systems Manager 的 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色
无需手动创建服务相关角色。当您在 Amazon Web Services Management Console 中启用 Explorer 时,Systems Manager 将为您创建服务相关角色。
重要
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作,该角色可以显示在您的账户中。此外,如果您在 2017 年 1 月 1 日之前使用 Systems Manager 服务,当它开始支持服务相关角色时,则 Systems Manager 会在您的账户中创建 AWSServiceRoleForSystemsManagerOpsDataSync 角色。要了解更多信息,请参阅我的 IAM 账户中出现新角色。
如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。当您在 Amazon Web Services Management Console 中启用 Explorer 时,Systems Manager 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台创建服务相关角色,用允许 Explorer 创建 OpsData 和 OpsItems 的 Amazon 服务角色用例来进行创建。在 Amazon CLI 或 Amazon API 中,使用 opsdatasync.ssm.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》 中的创建服务相关角色。如果您删除了此服务相关角色,则可以使用此相同过程再次创建角色。
编辑 Systems Manager 的 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色
Systems Manager 不允许您编辑 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色。
删除 Systems Manager 的 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
注意
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForSystemsManagerOpsDataSync 角色使用的 Systems Manager 资源的过程取决于您是否已将 Explorer 或 OpsCenter 配置为与 Security Hub 集成。
要删除 AWSServiceRoleForSystemsManagerOpsDataSync 角色使用的 Systems Manager 资源,请参阅以下信息:
-
要停止 Explorer 为 Security Hub 调查结果创建新的 OpsItems,请参阅 如何停止接收结果。
-
要停止 OpsCenter 为 Security Hub 结果创建新的 OpsItems,请参阅
使用 IAM 手动删除 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色
使用 IAM 控制台,即 Amazon CLI 或 Amazon API 来删除 AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色。
支持 Systems ManagerAWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色的区域
Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon Systems Manager 终端节点和配额。
Systems Manager 并非在提供服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForSystemsManagerOpsDataSync 角色。
| Amazon Web Services 区域 名称 | 区域标识 | 在 Systems Manager 中支持 |
|---|---|---|
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| US East (Ohio) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| Asia Pacific (Sydney) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| Canada (Central) | ca-central-1 | 是 |
| 欧洲(法兰克福) | eu-central-1 | 是 |
| Europe (Ireland) | eu-west-1 | 是 |
| 欧洲(伦敦) | eu-west-2 | 是 |
| 欧洲(巴黎) | eu-west-3 | 是 |
| 欧洲(斯德哥尔摩) | eu-north-1 | 是 |
| South America (São Paulo) | sa-east-1 | 是 |
| 中国(北京) | cn-north-1 | 否 |
| 中国(宁夏) | cn-northwest-1 | 否 |
| Amazon GovCloud (US) | us-gov-west-1 | 否 |