使用角色来维护已配置 Quick Setup 的资源运行状况和一致性
Systems Manager 使用名为 AWSServiceRoleForSSMQuickSetup 的服务相关角色。
Systems Manager 的 AWSServiceRoleForSSMQuickSetup 服务相关角色权限
AWSServiceRoleForSSMQuickSetup 服务相关角色信任以下服务代入该角色:
-
ssm-quicksetup.amazonaws.com
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
-
Amazon Systems Manager 使用此 IAM 服务角色来检查配置运行状况,确保参数和已配置资源的一致使用,并在检测到偏差时修复资源。
用于为 AWSServiceRoleForSSMQuickSetup 角色提供权限的托管式策略是 SSMQuickSetupRolePolicy。SSMQuickSetupRolePolicy 为以下服务提供权限:
ssm(Systems Manager)- 读取有关已配置资源预期处于的状态的信息。
organizations(Amazon Organizations)– 读取属于组织的成员账户的信息,如“组织”中所配置。
cloudformation(Amazon CloudFormation)– 读取有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的信息。
策略的内容如下所示:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "SSMResourceDataSyncListPermissions", "Action": [ "ssm:ListResourceDataSync" ], "Resource": "*", "Effect": "Allow" }, { "Sid": "SSMDocumentReadOnlyPermissions", "Action": [ "ssm:DescribeDocument", "ssm:GetDocument" ], "Resource": "*", "Effect": "Allow" }, { "Sid": "OrganizationReadOnlyPermissions", "Action": [ "organizations:ListRoots", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit" ], "Resource": "*", "Effect": "Allow" }, { "Sid": "QuickSetupStackSetReadOnlyPermissions", "Action": [ "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:ListStackSetOperations", "cloudformation:ListStackSetOperationResults" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*" ], "Effect": "Allow" }, { "Sid": "QuickSetupStackSetDeletePermissions", "Action": [ "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*" ], "Effect": "Allow" } ] }
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
创建 Systems Manager 的 AWSServiceRoleForSSMQuickSetup 服务相关角色
您无需手动创建 AWSServiceRoleForSSMQuickSetup 服务相关角色。当您在 Amazon Web Services Management Console 中创建 Quick Setup 配置时,Systems Manager 会为您创建服务相关角色。
编辑 Systems Manager 的 AWSServiceRoleForSSMQuickSetup 服务相关角色
Systems Manager 不允许您编辑 AWSServiceRoleForSSMQuickSetup 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Systems Manager 的 AWSServiceRoleForSSMQuickSetup 服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
清除 AWSServiceRoleForSSMQuickSetup 服务相关角色
在使用 IAM 删除 AWSServiceRoleForSSMQuickSetup 服务相关角色之前,必须先删除使用该角色的 Quick Setup 配置。有关更多信息,请参阅 编辑和删除配置。
手动删除 AWSServiceRoleForSSMQuickSetup 服务相关角色
使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForSSMQuickSetup 服务相关角色。有关更多信息,请参阅以下主题:
-
《IAM 用户指南》中的删除服务相关角色
支持 Systems ManagerAWSServiceRoleForSSMQuickSetup 服务相关角色的区域
Systems Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForSSMQuickSetup 角色。
-
美国东部(俄亥俄)
-
美国东部(弗吉尼亚州北部)
-
美国西部(加利福尼亚北部)
-
美国西部(俄勒冈州)
-
亚太地区(孟买)
-
亚太地区(首尔)
-
亚太地区(新加坡)
-
亚太地区(悉尼)
-
亚太地区(东京)
-
加拿大(中部)
-
欧洲地区(法兰克福)
-
欧洲地区(斯德哥尔摩)
-
欧洲地区(爱尔兰)
-
欧洲地区(伦敦)
-
欧洲(巴黎)
-
南美洲(圣保罗)