使用角色为 Systems Manager 资源管理器创建 OpsData 和 Opsitems:AWSServiceRoleForSystemsManagerOpsDataSync - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用角色为 Systems Manager 资源管理器创建 OpsData 和 Opsitems:AWSServiceRoleForSystemsManagerOpsDataSync

Amazon Web Services Systems Manager使用 AWS Identity and Access Management (IAM)服务相关角色。服务相关角色是一种与 Systems Manager 直接关联的独特类型的 IAM 角色。服务相关角色由 Systems Manager 预定义,并包含服务调用其他Amazon代表您的服务。

服务相关角色可让您更轻松地设置 Systems Manager,因为您不必手动添加所需的权限。Systems Manager 定义其服务相关角色的权限,除非另外定义,否则只有 Systems Manager 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后,才能删除服务相关角色。这将保护您的 Systems Manager 资源,因为您无法无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅Amazon使用 IAM 的服务并寻找具有中的服务相关角色column. 选择 Yes (是),可转到查看该服务的服务相关角色文档的链接。

的服务相关角色权限

Systems Manager 使用名为的服务相关角色。AWSServiceRoleForSystemsManagerOpsDataSync–Amazon Web Services Systems Manager将此 IAM 服务角色用于 Systems Manager 资源管理器来创建 OpsData 和 Opsitems。

AWSServiceRoleForSystemsManagerOpsDataSync 服务相关角色信任以下服务代入该角色:

  • opsdatasync.ssm.amazonaws.com

角色权限策略允许 Systems Manager 对指定的资源完成以下操作:

  • Systems Manager 资源管理器要求与服务相关的角色授予权限,以便在更新 OpsItem 时更新安全查找结果、创建和更新 OpsiteM 以及在客户删除 SSM 托管规则时禁用 Security Hub 数据源。

用于为AWSServiceRoleForSystemsManagerOpsDataSync角色是AWSServiceRoleForSystemsManagerOpsDataSyncPolicy 。有关它授予的权限的详细信息,请参阅Amazon托管策略:AWSServiceRoleForSystemsManagerOpsDataSyncPolicy

您必须配置权限以允许 IAM 实体(例如,用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 Systems Manager 创建服务相关角色

您无需手动创建服务相关角色。完成后创建操作在Amazon Web Services Management Console,AmazonCLI 或AmazonAPI,Systems Manager 将为您创建服务相关角色。

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。此外,如果您在 2017 年 1 月 1 日(即开始支持服务相关角色)之前使用了 Systems Manager 服务,则 Systems Manager 会创建AWSServiceRoleForAmazonSSM角色。要了解更多信息,请参阅我的 IAM 账户中出现新角色

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您完成此服务创建操作时,Systems Manager 将再次为您创建服务相关角色。

您还可以使用 IAM 控制台为创建服务相关角色,并使用Amazon的 服务角色Amazon Web Services Systems Manager使用案例。在 Amazon CLI 或 Amazon API 中,用 ssm.amazonaws.com 服务名称创建一个服务相关角色。有关更多信息,请参阅 IAM 用户指南中的创建服务相关角色。如果您删除了此服务相关角色,则可以使用此相同过程再次创建角色。

编辑 Systems Manager 的服务相关角色

Systems Manager 不允许您编辑AWSServiceRoleForSystemsManagerOpsDataSync服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色

删除的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

注意

如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。

删除 Systems Manager 资源的过程AWSServiceRoleForSystemsManagerOpsDataSync角色取决于您是否已将资源管理器或 OpsCenter 配置为与 Security Hub 集成。

删除所用的 Systems Manager 资源AWSServiceRoleForSystemsManagerOpsDataSync角色

使用 IAM 手动删除服务相关角色

使用 IAM 控制台,AmazonCLI 或AmazonAPI 来删除AWSServiceRoleForSystemsManagerOpsDataSync服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色

Systems Manager agement 服务相关角色支持的区域

Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 。AmazonSystems Manager 的区域和终端节点

Systems Manager 并非在服务可用的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForSystemsManagerOpsDataSync 角色。

Amazon Web Services 区域 name 区域标识 Systems Manager 中的 Support
美国东部 (弗吉尼亚北部) us-east-1
美国东部 (俄亥俄) us-east-2
美国西部 (加利福尼亚北部) us-west-1
美国西部 (俄勒冈) us-west-2
Asia Pacific (Mumbai) ap-south-1
Asia Pacific (Osaka) ap-northeast-3
亚太地区 (首尔) ap-northeast-2
亚太地区 (新加坡) ap-southeast-1
亚太地区 (悉尼) ap-southeast-2
亚太地区 (东京) ap-northeast-1
加拿大(中部) ca-central-1
Europe (Frankfurt) eu-central-1
Europe (Ireland) eu-west-1
Europe (London) eu-west-2
Europe (Paris) eu-west-3
Europe (Stockholm) eu-north-1
South America (São Paulo) sa-east-1
中国(北京) cn-north-1
中国 (宁夏) cn-northwest-1
AmazonGovCloud (US) us-gov-west-1