爲 Systems Manager 創建 IAM 角色

    使用以下過程創建角色，以便 Systems Manager 可以在Maintenance Window中代表您運行任務。

爲Maintenance Window創建 IAM 角色

1. Open the IAM console at                              https://console.aws.amazon.com/iam/.

2. 在導航窗格中，選擇 Roles，然後選擇 Create Role。

3. 在 Select type of trusted entity 下，選擇 AWS service。在 Choose the service that will use this role 下，選擇 EC2。在 Select your use case 下，選擇 EC2，然後選擇 Next: Permissions。

4. 在策略列表中，選中 AmazonSSMMaintenanceWindowRole 旁邊的複選框，然後選擇 Next: Review。

5. 在 Role name 中，輸入用於將此角色標識爲 Maintenance Window 角色的名稱。

6. 選擇 Create role。系統將讓您返回到 Roles 頁。

7. 選擇剛纔創建的角色的名稱。

8. 選擇 Trust relationships 選項卡，然後選擇 Edit trust relationship。

9. 刪除當前策略，然後將下面的策略複製並粘貼到 Policy Document 字段中：

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":[
               "ec2.amazonaws.com",
               "ssm.amazonaws.com",
               "sns.amazonaws.com"
            ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

1. 注意

   僅當要使用 Amazon SNS 發送與通過 Run Command 運行的Maintenance Window任務相關的通知時，才需要 "sns.amazonaws.com"。有關更多信息，請參閱步驟 11。

2. 選擇 Update Trust Policy，然後複製或記下 Summary 頁面上的角色名稱和 Role ARN 值。當您創建Maintenance Window時，將要指定此信息。

3. 如果要將Maintenance Window配置爲在通過 Run Command 命令任務運行時使用 Amazon SNS 發送有關命令狀態的通知，請執行以下操作：

1. 選擇 Permissions 選項卡。

2. 選擇 Add inline policy，然後選擇 JSON 選項卡。

3. 在 Policy Document 中，粘貼以下內容：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:Pa***ole",
      "Resource": "sns-access-role-arn"
    }
  ]
}

1. 
   

1. sns-access-role-arn 表示用於發送與 Maintenance Window 相關的 SNS 通知的 IAM 角色的 ARN，格式爲 arn:aws:iam::account-id:role/role-name.例如：arn:aws:iam::111222333444:role/SNS-Access-role。

   注意

   在 Systems Manager 控制檯中，可在 Register run command task 頁面上的 IAM Role 列表中選擇此 ARN。有關信息，請參閱 向Maintenance Window分配任務。在 Systems Manager API 中，在 SendCommand 請求中作爲 ServiceRoleArn 的值輸入此 ARN。

2. 選擇查看策略。

3. 在 Name 框中鍵入名稱，將其標識爲允許發送 Amazon SNS 通知的策略。

2. 選擇 Create policy。

將 IAM Pa***ole 策略分配給 IAM 用戶賬戶

    在向Maintenance Window註冊任務時，需要指定在上一步中創建的角色。這是代表您運行任務時服務要代入的角色。要註冊任務，您必須將 IAM Pa***ole 策略分配給 IAM 用戶賬戶。以下過程中的策略提供了向Maintenance Window註冊任務所需的最低權限。

將 IAM Pa***ole 策略分配給 IAM 用戶賬戶

1. 在 IAM 控制檯導航窗格中，選擇用戶，然後選擇您要更新的用戶賬戶名稱。

2. 在權限選項卡的策略列表中，驗證是否已列出 AmazonSSMFullAccess 策略，或是否存在可向 IAM 用戶授予調用 Systems Manager API 的權限的類似策略。

3. 選擇添加內聯策略。

4. 在創建策略頁面的選擇服務區域，選擇選擇服務，然後選擇 IAM。

5. 選擇選擇操作，然後選擇 Pa***ole。

   提示

   在篩選框中鍵入 pa*** 可快速找到 Pa***ole。

6. 選擇資源行，然後選擇添加 ARN。

7. 在 Specify ARN for role 字段中，粘貼您在上一過程中創建的角色 ARN，然後選擇保存更改。

8. 選擇查看策略。

9. 在查看策略頁面上的名稱框中鍵入名稱，然後選擇創建策略。