Usar funções vinculadas ao serviço do Systems Manager
O AWS Systems Manager utiliza perfis vinculados a serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Systems Manager. As funções vinculadas a serviços são predefinidas pelo Systems Manager e incluem todas as permissões que o serviço requer para chamar outros Serviços da AWS em seu nome.
nota
Uma função de perfil de serviço é diferente de uma função vinculada a serviço. Umm perfil de serviço é um tipo de perfil do AWS Identity and Access Management (IAM) que concede permissões para um AWS service (Serviço da AWS), para que o serviço possa acessar recursos da AWS. Apenas alguns cenários do Systems Manager exigem uma função de serviço. Ao criar uma função de serviço para o Systems Manager, você pode escolher as permissões a serem concedidas, a fim de que elas possam acessar ou interagir com outros recursos da AWS.
Um perfil vinculado a serviço facilita a configuração do Systems Manager porque você não precisa adicionar as permissões necessárias manualmente. O Systems Manager define as permissões de seus perfis vinculados a serviço e, a menos que definido em contrário, somente o Systems Manager pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado a serviço poderá ser excluído somente após a exclusão dos recursos relacionados. Isso protege seus recursos do Systems Manager, pois você não pode remover por engano as permissões de acesso aos recursos.
nota
Para nós que não são do EC2 em um ambiente híbrido e multinuvem, você precisa de uma perfil do IAM adicional que permita que as máquinas se comuniquem com o serviço do Systems Manager. Trata-se da função de serviço do IAM para o Systems Manager. Essa função concede a confiança AssumeRole do AWS Security Token Service (AWS STS) ao serviço Systems Manager. A ação AssumeRole retorna um conjunto de credenciais de segurança temporárias (que consistem em um ID de chave de segurança, uma chave de acesso secreta e um token de segurança). Você pode usar essas credenciais temporárias para acessar recursos da AWS aos quais talvez não tenha acesso normalmente. Para obter mais informações, consulte Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem e AssumeRole na Referência de API do AWS Security Token Service.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Funções vinculadas a serviços. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Tópicos
- Usar perfis para coletar inventário e visualizar OpsData
- Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer
- Usar perfis para criar OpsData e OpsItems para o Explorer
- Usar perfis para criar insights operacionais de OpsItems no OpsCenter do Systems Manager
- Usar funções para manter a integridade e a uniformidade dos recursos provisionados da Quick Setup
- Usar perfis para exportar Explorer OpsData
