Verwendung von Rollen, um Just-in-Time-Knotenzugriff zu ermöglichen
Systems Manager verwendet die serviceverknüpfte Rolle AWSServiceRoleForSystemsManagerJustInTimeAccess. AWS Systems Manager verwendet diese IAM-Servicerolle, um den Just-in-Time-Knotenzugriff zu ermöglichen.
Berechtigungen von serviceverknüpften Rollen für Just-in-Time-Knotenzugriff in Systems Manager
Die serviceverknüpfte Rolle AWSServiceRoleForSystemsManagerJustInTimeAccess vertraut darauf, dass die folgenden Services die Rolle annehmen:
-
ssm.amazonaws.com
Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
-
ssm:CreateOpsItem -
ssm:GetOpsItem -
ssm:UpdateOpsItem -
ssm:DescribeOpsItems -
ssm:DescribeSessions -
ssm:ListTagsForResource -
ssm-guiconnect:ListConnections -
identitystore:ListGroupMembershipsForMember -
identitystore:DescribeUser -
identitystore:GetGroupId -
identitystore:GetUserId -
sso-directory:DescribeUsers -
sso-directory:IsMemberInGroup -
sso:ListInstances -
sso:DescribeRegisteredRegions -
sso:ListDirectoryAssociations -
ec2:DescribeTags
Die verwaltete Richtlinie, die zum Bereitstellen von Berechtigungen für die AWSServiceRoleForSystemsManagerJustInTimeAccess-Rolle verwendet wird, ist AWSSystemsManagerEnableJustInTimeAccessPolicy. Einzelheiten zu den Berechtigungen, gewährt werden, finden Sie unter AWS-verwaltete Richtlinie: AWSSystemsManagerJustinTimeAccessServicePolicy.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellen einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems Manager
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS Management Console den Just-in-Time-Zugriff aktivieren, erstellt Systems Manager die serviceverknüpfte Rolle für Sie.
Wichtig
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den Systems Manager-Service bereits seit der Einführung von serviceverknüpften Rollen am 19. November 2024 nutzen, hat Systems Manager die Rolle AWSServiceRoleForSystemsManagerJustInTimeAccess in Ihrem Konto erstellt. Weitere Informationen finden Sie unter In meinem IAM-Konto wird eine neue Rolle angezeigt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie in der AWS Management Console den Just-in-Time-Zugriff aktivieren, erstellt Systems Manager wieder die serviceverknüpfte Rolle für Sie.
Sie können auch den Anwendungsfall AWS-Servicerolle, die es Systems Manager ermöglicht, Just-in-Time-Knotenzugriff zu gewähren in der IAM-Konsole verwenden, um eine serviceverknüpfte Rolle zu erstellen. Erstellen Sie in der AWS CLI oder der AWS-API eine serviceverknüpfte Rolle mit dem Servicenamen ssm.amazonaws.com. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
Bearbeiten einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems Manager
Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens AWSServiceRoleForSystemsManagerJustInTimeAccess nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems Manager
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
So löschen Sie die AWSServiceRoleForSystemsManagerJustInTimeAccess-servicegebundene Rolle mit IAM
Verwenden Sie die IAM-Konsole, AWS CLI- oder AWS-API, um die AWSServiceRoleForSystemsManagerJustInTimeAccess serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für die Systems Manager AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpfte Rolle
| AWS-Region-Name | Regions-ID | Unterstützung in Systems Manager |
|---|---|---|
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US) | us-gov-west-1 | Nein |
