使用角色来维护已配置 Quick Setup 的资源运行状况和一致性

Systems Manager 使用名为 AWSServiceRoleForSSMQuickSetup 的服务相关角色。

Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色权限

AWSServiceRoleForSSMQuickSetup 服务相关角色信任以下服务代入该角色：

Amazon Systems Manager 使用此 IAM 服务角色来检查配置运行状况，确保参数和已配置资源的一致使用，并在检测到偏差时修复资源。

角色权限策略允许 Systems Manager 对指定资源完成以下操作：

ssm (Systems Manager)：读取有关已配置资源预期处于的状态的信息，包括在委派管理员账户中。
iam (Amazon Identity and Access Management)：这是为了在 Amazon Organizations 中的整个组织都可访问资源数据同步所必需的。
organizations（Amazon Organizations）– 读取属于组织的成员账户的信息，如“组织”中所配置。
cloudformation（Amazon CloudFormation）– 读取有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的信息。

用于为 AWSServiceRoleForSSMQuickSetup 角色提供权限的托管策略是 SSMQuickSetupRolePolicy。有关该策略授予的权限的详细信息，请参阅 Amazon 托管式策略：SSMQuickSetupRolePolicy。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的服务相关角色权限。

您无需手动创建 AWSServiceRoleForSSMQuickSetup 服务相关角色。当您在 Amazon Web Services 管理控制台中创建 Quick Setup 配置时，Systems Manager 会为您创建服务相关角色。

Systems Manager 不允许您编辑 AWSServiceRoleForSSMQuickSetup 服务相关角色。创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》中的编辑服务相关角色。

如果不再需要使用某个需要服务相关角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，您必须先清除您的服务相关角色，然后才能手动删除它。

在使用 IAM 删除 AWSServiceRoleForSSMQuickSetup 服务相关角色之前，必须先删除使用该角色的 Quick Setup 配置。有关更多信息，请参阅编辑和删除配置。

使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForSSMQuickSetup 服务相关角色。有关更多信息，请参阅以下主题：

Systems Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForSSMQuickSetup 角色。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Operational Insights (运营洞察) 创建角色

导出 OpsData 服务角色