Verwenden von Rollen zum Sammeln von AWS-Konto-Informationen für OpsCenter und Explorer
Systems Manager verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForAmazonSSM_AccountDiscovery. AWS Systems Manager verwendet diese IAM-Servicerolle, um andere AWS-Services aufzurufen, die AWS-Konto-Informationen ermitteln.
Berechtigungen von serviceverknüpften Rollen für Systems Manager-Kontoerkennung
Die serviceverknüpfte Rolle AWSServiceRoleForAmazonSSM_AccountDiscovery vertraut darauf, dass die folgenden Services die Rolle annehmen:
-
accountdiscovery.ssm.amazonaws.com
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
-
organizations:DescribeAccount -
organizations:DescribeOrganizationalUnit -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListChildren -
organizations:ListParents -
organizations:ListDelegatedServicesForAccount -
organizations:ListDelegatedAdministrators -
organizations:ListRoots
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellen einer AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle für Systems Manager
Sie müssen eine serviceverknüpfte Rolle erstellen, wenn Sie Explorer- und OpsCenter-Funktionen von Systems Manager über mehrere AWS-Konten hinweg verwenden möchten. Für OpsCenter müssen Sie die serviceverknüpfte Rolle manuell erstellen. Weitere Informationen finden Sie unter (Optional) Manuelle Einrichtung von OpsCenter für die zentrale kontenübergreifende Verwaltung von OpsItems.
Wenn Sie für Explorer eine Ressourcendatensynchronisierung erstellen, indem Sie Systems Manager in der AWS Management Console verwenden, können Sie die serviceverknüpfte Rolle erstellen, indem Sie die Schaltfläche Create role (Rolle erstellen) auswählen. Wenn Sie eine Resource Data Sync programmgesteuert erstellen möchten, müssen Sie die Rolle erstellen, bevor Sie die Resource Data Sync erstellen. Sie können die Rolle mithilfe der API-Operation CreateServiceLinkedRole erstellen.
Bearbeiten einer AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens AWSServiceRoleForAmazonSSM_AccountDiscovery nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Bereinigen der AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle
Bevor Sie mit IAM eine AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle Explorer Resource Data Syncs löschen.
Anmerkung
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Manuelles Löschen der AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, AWS CLI- oder AWS-API, um die AWSServiceRoleForAmazonSSM_AccountDiscovery serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für die Systems Manager AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpfte Rolle
Systems Manager unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS Systems Manager-Endpunkte und -Kontingente.
Aktualisierungen der -serviceverknüpften Rolle AWSServiceRoleForAmazonSSM_AccountDiscovery
Details zu den Aktualisierungen der serviceverknüpften Rolle AWSServiceRoleForAmazonSSM_AccountDiscovery seit Beginn der Verfolgung dieser Änderungen durch diesen Service anzeigen. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf der Systems Manager Dokumentverlauf-Seite.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
Neue Berechtigungen hinzugefügt |
Diese serviceverknüpfte Rolle enthält jetzt |
17. Oktober 2022 |
