使用以下過程創建角色,以便 Systems Manager 可以在Maintenance Window中代表您運行任務。
爲Maintenance Window創建 IAM 角色
Open the IAM console at https://console.aws.amazon.com/iam/.
在導航窗格中,選擇 Roles,然後選擇 Create Role。
在 Select type of trusted entity 下,選擇 AWS service。在 Choose the service that will use this role 下,選擇 EC2。在 Select your use case 下,選擇 EC2,然後選擇 Next: Permissions。
在策略列表中,選中 AmazonSSMMaintenanceWindowRole 旁邊的複選框,然後選擇 Next: Review。
在 Role name 中,輸入用於將此角色標識爲 Maintenance Window 角色的名稱。
選擇 Create role。系統將讓您返回到 Roles 頁。
選擇剛纔創建的角色的名稱。
選擇 Trust relationships 選項卡,然後選擇 Edit trust relationship。
刪除當前策略,然後將下面的策略複製並粘貼到 Policy Document 字段中:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":[ "ec2.amazonaws.com", "ssm.amazonaws.com", "sns.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ] }
注意
僅當要使用 Amazon SNS 發送與通過 Run Command 運行的Maintenance Window任務相關的通知時,才需要
"sns.amazonaws.com"
。有關更多信息,請參閱步驟 11。選擇 Update Trust Policy,然後複製或記下 Summary 頁面上的角色名稱和 Role ARN 值。當您創建Maintenance Window時,將要指定此信息。
如果要將Maintenance Window配置爲在通過 Run Command 命令任務運行時使用 Amazon SNS 發送有關命令狀態的通知,請執行以下操作:
選擇 Permissions 選項卡。
選擇 Add inline policy,然後選擇 JSON 選項卡。
在 Policy Document 中,粘貼以下內容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:Pa***ole", "Resource": "sns-access-role-arn" } ] }
sns-access-role-arn
表示用於發送與 Maintenance Window 相關的 SNS 通知的 IAM 角色的 ARN,格式爲arn:aws:iam::
例如:account-id
:role/role-name
.arn:aws:iam::111222333444:role/SNS-Access-role
。注意
在 Systems Manager 控制檯中,可在 Register run command task 頁面上的 IAM Role 列表中選擇此 ARN。有關信息,請參閱 向Maintenance Window分配任務。在 Systems Manager API 中,在 SendCommand 請求中作爲 ServiceRoleArn 的值輸入此 ARN。
選擇查看策略。
在 Name 框中鍵入名稱,將其標識爲允許發送 Amazon SNS 通知的策略。
選擇 Create policy。
將 IAM Pa***ole 策略分配給 IAM 用戶賬戶
在向Maintenance Window註冊任務時,需要指定在上一步中創建的角色。這是代表您運行任務時服務要代入的角色。要註冊任務,您必須將 IAM Pa***ole 策略分配給 IAM 用戶賬戶。以下過程中的策略提供了向Maintenance Window註冊任務所需的最低權限。
將 IAM Pa***ole 策略分配給 IAM 用戶賬戶
在 IAM 控制檯導航窗格中,選擇用戶,然後選擇您要更新的用戶賬戶名稱。
在權限選項卡的策略列表中,驗證是否已列出
AmazonSSMFullAccess
策略,或是否存在可向 IAM 用戶授予調用 Systems Manager API 的權限的類似策略。選擇添加內聯策略。
在創建策略頁面的選擇服務區域,選擇選擇服務,然後選擇 IAM。
選擇選擇操作,然後選擇 Pa***ole。
提示
在篩選框中鍵入
pa***
可快速找到 Pa***ole。選擇資源行,然後選擇添加 ARN。
在 Specify ARN for role 字段中,粘貼您在上一過程中創建的角色 ARN,然後選擇保存更改。
選擇查看策略。
在查看策略頁面上的名稱框中鍵入名稱,然後選擇創建策略。