AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

对 Systems Manager 使用服务相关角色

AWS Systems Manager 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Systems Manager 直接关联的独特类型的 IAM 角色。服务相关角色由 Systems Manager 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。

服务相关角色使 Systems Manager 的设置更轻松,因为您不必手动添加必要的权限。Systems Manager 定义其服务相关角色的权限,除非另行定义,否则仅 Systems Manager 可以代入其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务并查找服务相关角色 列为的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

Systems Manager 的服务相关角色权限

Systems Manager 使用名为 AWSServiceRoleForAmazonSSM 的服务相关角色 – AWS Systems Manager uses this IAM service role to manage AWS resources on your behalf.。

AWSServiceRoleForAmazonSSM 服务相关角色仅信任 ssm.amazonaws.com 服务代入此角色。

当前,只有两个 Systems Manager 功能使用服务相关角色:

  • 清单需要服务相关角色。该角色支持系统收集标签和资源组中的清单元数据。

  • 维护时段 功能可以有选择性地使用服务相关角色。借助该角色,维护时段 服务可在目标实例上运行维护任务。请注意,Systems Manager 的服务相关角色未提供所有场景需要的权限。有关更多信息,请参阅 我应该使用服务相关角色还是自定义服务角色来运行维护时段任务?

AWSServiceRoleForAmazonSSM 服务相关角色权限策略允许 Systems Manager 对所有相关资源完成以下操作:

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • iam:PassRole

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • states:DescribeExecution

  • states:StartExecution

  • tag:GetResources

为 Systems Manager 创建服务相关角色

可以使用 IAM 控制台,通过 AWS Service Role for AWS Systems Manager 使用案例(清单和维护时段)创建服务相关角色。在 IAM CLI 或 IAM API 中,用 ssm.amazonaws.com 服务名称创建一个服务相关角色。有关更多信息,请参阅 IAM User Guide 中的创建服务相关角色

仅对于维护时段,您无需手动创建服务相关角色。当在 AWS Management Console、AWS CLI 或 Systems Manager API 中创建维护时段任务时,如果选择不提供自定义服务角色,则 Systems Manager 将为您创建服务相关角色。

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。

编辑 Systems Manager 的服务相关角色

Systems Manager 不允许您编辑 AWSServiceRoleForAmazonSSM 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM User Guide 中的编辑服务相关角色

删除 Systems Manager 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。您可以使用 IAM 控制台、IAM CLI 或 IAM API 手动删除服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。

因为 Inventory 和维护时段功能都可使用 Systems Manager 服务相关角色,所以请确保在尝试删除此角色之前,这两种功能都未使用此角色。

  • Inventory:如果您删除了 Systems Manager Inventory 使用的服务相关角色,则不再同步标签和资源组的 Inventory 数据。您必须先清除服务相关角色的资源,然后才能手动删除它。

  • 维护时段:如果任何维护时段任务当前依赖服务相关角色,则无法删除此角色。您必须先从任务中删除服务相关角色,然后才能删除此角色。

注意

如果 Systems Manager 在您尝试删除标签、资源组或维护时段任务时正使用该角色,则删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。

删除 AWSServiceRoleForAmazonSSM 所用的 Systems Manager 资源

  1. 要删除标签,请参阅为单个资源添加和删除标签

  2. 要删除资源组,请参阅从 AWS 资源组删除组

  3. 有关如何删除维护时段任务的信息,请参阅更新或删除维护时段任务(控制台)

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForAmazonSSM 服务相关角色。有关更多信息,请参阅 IAM User Guide 中的删除服务相关角色

Systems Manager 服务相关角色的受支持区域

Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅AWS Regions and Endpoints for Systems Manager