本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AMS SSP 在您的 AMS AWS Systems Manager 账户中配置自动化
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 AWS Systems Manager 自动化功能。 AWS Systems Manager 自动化使用运行手册、操作和服务配额简化了 Amazon Elastic Compute Cloud 实例和其他 AWS 资源的常见维护和部署任务。它使您能够大规模构建、执行和监控自动化。Systems Manager Automation 是一种系统管理器文档,它定义了系统管理器对您的托管实例执行的操作。一本运行手册,用于执行常见的维护和部署任务,例如在托管实例中运行命令或自动化脚本。Systems Manager 包括一些功能,可帮助您使用亚马逊弹性计算云标签定位大量实例,以及帮助您根据定义的限制推出更改的速度控制。运行手册是使用 JavaScript 对象表示法 (JSON) 或 YAML 编写的。但是,通过使用 Systems Manager 自动化中的文档生成器,您可以创建运行手册,而无需使用本机 JSON 或 YAML 创作。或者,您可以使用 Systems Manager 提供的运行手册,其中包含适合您需求的预定义步骤。要了解更多信息,请参阅 AWS Systems Manager 文档中的[使用运行手册](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。
**注意**
尽管 Systems Manager Automation 支持 20 种可在运行手册中使用的操作类型,但在创作要在 AMS 高级账户中使用的运行手册时,您可以使用的操作数量有限。同样,系统管理器提供的运行手册数量有限,既可以直接使用,也可以从自己的运行手册中使用。有关详细信息,请参阅以下常见问题解答中的限制。
## AWS Systems Manager AWS Managed Services 中的自动化常见问题解答
常见问题和答案:
**问:如何通过我的 AMS 账户申请访问 Systems Manager Automation?**
通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请 AWS Systems Manager 自动化的访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_systemsmanager_automation_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 AWS Systems Manager 自动化有什么限制?**
你需要编写运行手册,只有在托管实例中运行命令 and/or 脚本时,Systems Manager 支持的操作有限。下文概述了可供您执行的操作以及任何限制。
**AWS Systems Manager 自动化限制**
| 操作 | 说明 | 限制 |
| --- | --- | --- |
| aws:assertAwsResource财产 — | 断言 AWS 资源状态或事件状态 | 仅限 EC2 实例 |
| aw: aws: branch — | 运行条件自动化步骤 | 没有限制 |
| AWS: 创建标签 — | 为 AWS 资源创建标签 | 仅适用于您撰写的 SSM 自动化运行手册 |
| AWS: 执行自动化 — | 运行另一个自动化 | 只有您撰写的自动化运行手册 |
| aws: 执行脚本 — | 运行脚本 | 唯一不对任何服务进行任何 API 调用的脚本 |
| aws: 暂停 — | 暂停自动化 | 没有限制 |
| aws: runCommand | 在托管实例上运行命令 | 仅使用系统管理器提供的文档 — AWS RunShellScript 和 AWS-RunPowerShellScript |
| aws: sleep — | 延迟自动化 | 没有限制 |
| aws: waitForAws ResourceProperty — | 等待 AWS 资源属性 | 仅限 EC2 实例 |
您也可以选择使用 Systems Manager 控制台中的 “运行命令” 功能直接RunPowerShellScript 使用 Systems Manager 提供的运行手册 AWS RunShellScript 和 AWS 运行手册运行命令或脚本。您还可以将这些运行手册嵌套在运行手册中,以满足额外的 and/or 后期验证或任何复杂的自动化逻辑。
该角色遵循最低权限原则,仅提供创作、执行和检索旨在在托管实例中执行命令 and/or 脚本的 runbook 的执行详细信息所需的权限。它不为 AWS Systems Manager 服务提供的任何其他功能提供权限。虽然该功能允许您编写自动化运行手册,但不能将运行手册的执行定向 AMS 拥有的资源。
**问:在我的 AMS 账户中使用 AWS Systems Manager 自动化的先决条件或依赖条件是什么?**
没有先决条件;但是,在编写运行手册时,必须确保 and/or 遵守内部流程合规性控制。我们还建议在根据生产资源执行运行手册之前,对其进行全面测试。
**问:Systems Manager 策略`customer_systemsmanager_automation_policy`能否附加到其他 IAM 角色?**
不可以,与其他启用自行配置的服务不同,此策略只能分配给已配置的默认角色。`customer_systemsmanager_automation_console_role`
与其他 SSP 角色的策略不同,此 SSM SSP 策略不能与其他自定义 IAM 角色共享,因为此 AMS 服务仅用于在托管实例中运行命令或自动化脚本。如果允许将这些权限附加到其他自定义 IAM 角色(可能具有其他服务的权限),则允许的操作范围可能会扩展到托管服务,并可能降低您账户的安全状况。
要根据我们的 AMS 技术标准评估任何变更请求 (RFCs),请与您各自的云架构师或服务交付经理合作,请参阅 [RFC 安全审查](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html)。
**注意**
AWS Systems Manager 允许您使用与您的帐户共享的运行手册。我们建议您在使用共享运行手册时谨慎行事并进行尽职调查,并确保在执行运行手册之前查看内容以了解 command/scripts 其运行情况。有关详细信息,请参阅[共享 SSM 文档的最佳实践](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html)。