创建自定义服务角色以将诊断报告导出至 S3
在 Systems Manager 浏览节点页面中查看您的 AWS 组织或账户的托管节点的已筛选或未筛选列表时,您可以将报告的列表以 CSV 文件形式导出到 Amazon S3 存储桶。
为此,您必须指定具有操作所需权限和信任策略的服务角色。您可以选择让 Systems Manager 在下载报告的过程中为您创建角色。或者,您可以自己创建角色及其所需的策略。
创建自定义服务角色以将诊断报告导出至 S3
-
按照《IAM 用户指南》中使用 JSON 编辑器创建策略中的步骤进行操作。
-
使用以下内容作为策略内容,确保将
占位符值替换为您自己的信息。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::s3-bucket-name/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "account-id" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:ListBucket", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration" ], "Resource": "arn:aws:s3:::s3-bucket-name", "Condition": { "StringEquals": { "aws:ResourceAccount": "account-id" } } }, { "Effect": "Allow", "Action": [ "ssm:ListNodes" ], "Resource": "*" } ] } -
为该策略命名,以帮助您在下一步中轻松识别它。
-
-
按照《IAM 用户指南》中使用自定义信任策略创建 IAM 角色(控制台)中的步骤进行操作。
-
对于步骤 4,输入以下信任策略,确保将
占位符值替换为您自己的信息。{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSMAssumeRole", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" } } } ] }
-
-
对步骤 10,选择步骤 2:添加权限,然后选择您在上一步中创建的策略的名称。
在创建角色后,您可以按照下载或导出托管节点报告中的步骤选择该角色。
