将服务相关角色用于 Systems Manager - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将服务相关角色用于 Systems Manager

Amazon Systems Manager 使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Systems Manager 直接相关。服务相关角色由 Systems Manager 预定义,并包含相关服务代表您调用其他 Amazon Web Services 服务所需的所有权限。

注意

服务角色不同于服务相关角色。服务角色是一种Amazon Identity and Access Management(IAM)角色,用于向某个 Amazon Web Services 服务授予相应的权限,以便该服务可以访问 Amazon 资源。只有几个 Systems Manager 场景需要服务角色。当您创建 Systems Manager 的服务角色时,您可以选择要授予的权限,以便它可以访问其他 Amazon 资源或与之交互。

服务相关角色使 Systems Manager 的设置更轻松,因为您不必手动添加必要的权限。Systems Manager 定义其服务相关角色的权限,除非另行定义,否则仅 Systems Manager 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后,您才能删除服务相关角色。这将保护您的 Systems Manager 资源,因为您不会无意中删除对资源的访问权限。

注意

对于混合和多云环境中的非 EC2 节点,您需要额外的 IAM 角色来允许这些计算机与 Systems Manager 服务通信。这就是 Systems Manager 的 IAM 服务角色。此角色向 Amazon Security Token Service (Amazon STS) AssumeRole 授予对 Systems Manager 服务的信任。AssumeRole 操作返回一组临时安全凭证 (由访问密钥 ID、秘密访问密钥和安全令牌组成)。您使用这些临时凭证访问通常可能无法访问的 Amazon 资源。有关更多信息,请参阅《Amazon Security Token Service API 参考》中的在混合和多云环境中创建 Systems Manager 所需的 IAM 服务角色AssumeRole

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 Amazon Web Services 服务,并查找 Service-linked roles(服务相关角色)列中显示为 Yes(是)的服务。选择和链接,查看该服务的服务相关角色文档。

主题