本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Incident Manager 的服务相关角色
AWS Systems Manager Incident Manager 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的IAM角色类型,直接链接到事件经理。服务相关角色由 Incident Manager 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可更轻松地设置 Incident Manager,因为您不必手动添加必要的权限。Incident Manager 定义其服务相关角色的权限,除非另外定义,否则只有 Incident Manager 可以代入该角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。
只有在首先删除相关资源后,您才能删除服务相关角色。这将保护 Incident Manager 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅与之配合使用的AWS 服务,IAM并在 “服务相关角色” 列中查找标有 “是” 的服务。请选择是与查看该服务的服务相关角色文档的链接。
Incident Manager 的服务相关角色权限
事件经理使用名为的服务相关角色 AWSServiceRoleforIncidentManager——允许事件经理代表你管理事件经理事件记录和相关资源。
AWSServiceRoleforIncidentManager 服务相关角色信任以下服务来代入该角色:
-
ssm-incidents.amazonaws.com
角色权限策略 AWSIncidentManagerServiceRolePolicy 允许 Incident Manager 对指定资源完成以下操作:
-
操作:与该操作相关的所有资源上的
ssm-incidents:ListIncidentRecords
。 -
操作:与该操作相关的所有资源上的
ssm-incidents:CreateTimelineEvent
。 -
操作:与该操作相关的所有资源上的
ssm:CreateOpsItem
。 -
操作:
all resources related to the action.
上的ssm:AssociateOpsItemRelatedItem
-
操作:与该操作相关的所有资源上的
ssm-contacts:StartEngagement
。 -
操作:
cloudwatch:PutMetricData
针对AWS/IncidentManager
命名空间内的 CloudWatch 指标
必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。
创建 Incident Manager 的服务相关角色
您无需手动创建服务相关角色。在、或中创建复制集时 AWS Management Console AWS CLI AWS API,事件管理器会为您创建与服务相关的角色。
如果您删除此服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。创建复制集时,Incident Manager 会再次为您创建服务相关角色。
编辑 Incident Manager 的服务相关角色
事件管理器不允许您编辑 AWSServiceRoleforIncidentManager 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅IAM用户指南中的编辑服务相关角色。
删除 Incident Manager 的服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
要删除服务相关角色,您必须先删除复制集。删除复制集会删除在 Incident Manager 中创建和存储的所有数据,包括响应计划、联系人和上报计划。您还将丢失所有先前创建的事件。任何指向已删除响应计划的警报和 EventBridge 规则都不会再在警报或规则匹配时创建事件。要删除复制集,您必须删除该集合中的每个区域。
注意
如果在您试图删除资源时 Incident Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
要删除复制集中使用的区域 AWSServiceRoleforIncidentManager
-
打开 Incident Manager 控制台
,然后从左侧导航栏中选择设置。 -
在复制集中选择一个区域。
-
选择删除。
-
要确认删除区域,请输入区域名称并选择删除。
-
重复这些步骤,直到删除复制集中的所有区域。删除最后一个区域时,控制台会通知您同时删除复制集。
使用手动删除服务相关角色 IAM
使用IAM控制台 AWS CLI、或删除 AWSServiceRoleforIncidentManager服务相关角色。 AWS API有关更多信息,请参阅IAM用户指南中的删除服务相关角色。
Incident Manager 服务相关角色支持的区域
Incident Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点。