使用 Incident Manager 的服务相关角色 - Incident Manager
Incident Manager 的服务相关角色权限创建 Incident Manager 的服务相关角色编辑 Incident Manager 的服务相关角色删除 Incident Manager 的服务相关角色Incident Manager 服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Incident Manager 的服务相关角色

AWS Systems Manager Incident Manager uses AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的IAM角色类型,直接链接到事件经理。服务相关角色由事件管理器预定义,包括该服务调用其他角色所需的所有权限 AWS 代表您提供服务。

服务相关角色可更轻松地设置 Incident Manager,因为您不必手动添加必要的权限。Incident Manager 定义其服务相关角色的权限,除非另外定义,否则只有 Incident Manager 可以代入该角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。

只有在首先删除相关资源后,您才能删除服务相关角色。这将保护 Incident Manager 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅 AWS 与之配合使用的服务,IAM并在 “服务相关角色” 列中查找带有 “” 的服务。请选择与查看该服务的服务相关角色文档的链接。

Incident Manager 的服务相关角色权限

事件经理使用名为的服务相关角色 AWSServiceRoleforIncidentManager——允许事件经理代表你管理事件经理事件记录和相关资源。

AWSServiceRoleforIncidentManager 服务相关角色信任以下服务来代入该角色:

  • ssm-incidents.amazonaws.com

角色权限策略 AWSIncidentManagerServiceRolePolicy 允许 Incident Manager 对指定资源完成以下操作:

  • 操作:与该操作相关的所有资源上的 ssm-incidents:ListIncidentRecords

  • 操作:与该操作相关的所有资源上的 ssm-incidents:CreateTimelineEvent

  • 操作:与该操作相关的所有资源上的 ssm:CreateOpsItem

  • 操作:all resources related to the action. 上的 ssm:AssociateOpsItemRelatedItem

  • 操作:与该操作相关的所有资源上的 ssm-contacts:StartEngagement

  • 操作:cloudwatch:PutMetricData针对AWS/IncidentManager命名空间内的 CloudWatch 指标

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

创建 Incident Manager 的服务相关角色

您无需手动创建服务相关角色。当您在中创建复制集时 AWS Management Console, AWS CLI,或者 AWS API,事件管理员会为您创建与服务相关的角色。

如果您删除此服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。创建复制集时,Incident Manager 会再次为您创建服务相关角色。

编辑 Incident Manager 的服务相关角色

事件管理器不允许您编辑 AWSServiceRoleforIncidentManager 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色

删除 Incident Manager 的服务相关角色

如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

要删除服务相关角色,您必须先删除复制集。删除复制集会删除在 Incident Manager 中创建和存储的所有数据,包括响应计划、联系人和上报计划。您还将丢失所有先前创建的事件。任何指向已删除响应计划的警报和 EventBridge 规则都不会再在警报或规则匹配时创建事件。要删除复制集,您必须删除该集合中的每个区域。

注意

如果在您试图删除资源时 Incident Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

要删除所使用的复制集中的区域 AWSServiceRoleforIncidentManager

  1. 打开 Incident Manager 控制台,然后从左侧导航栏中选择设置

  2. 复制集中选择一个区域。

  3. 选择删除

  4. 要确认删除区域,请输入区域名称并选择删除

  5. 重复这些步骤,直到删除复制集中的所有区域。删除最后一个区域时,控制台会通知您同时删除复制集。

使用手动删除服务相关角色 IAM

使用IAM控制台, AWS CLI,或者 AWS API删除 AWSServiceRoleforIncidentManager服务相关角色。有关更多信息,请参阅IAM用户指南中的删除服务相关角色

Incident Manager 服务相关角色支持的区域

Incident Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS 区域和终端节点