使用角色来收集清单并查看 OpsData - AWS Systems Manager

使用角色来收集清单并查看 OpsData

Systems Manager 使用名为 AWSServiceRoleForAmazonSSM 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色代表您管理 AWS 资源。

清单、OpsData 和 OpsItem 的服务相关角色权限

AWSServiceRoleForAmazonSSM 服务相关角色仅信任 ssm.amazonaws.com 服务担任此角色。

您可以使用 Systems Manager 服务相关角色 AWSServiceRoleForAmazonSSM 执行以下操作:

  • Systems Manager 清单功能使用服务相关角色 AWSServiceRoleForAmazonSSM 从标签和资源组采集清单元数据。

  • Explorer 功能使用服务相关角色 OpsItems 来启用查看多个账户的 OpsData 和 AWSServiceRoleForAmazonSSM 的功能。当您将 Security Hub 启用为 Explorer 或者 OpsCenter 的数据源时,此服务相关角色还允许 Explorer 创建托管规则。

重要

以前,Systems Manager 控制台允许您选择 AWS 托管式 IAM 服务相关角色 AWSServiceRoleForAmazonSSM,以用作任务的维护角色。现在不再建议将此角色及其相关策略 AmazonSSMServiceRolePolicy 用于维护时段任务。如果您目前在将此角色用于维护时段任务,我们建议您停止使用它。而应创建您自己的 IAM 角色,以便您的维护时段任务运行时在 Systems Manager 与其他 AWS 服务之间进行通信。

有关更多信息,请参阅 设置 Maintenance Windows

用于为 AWSServiceRoleForAmazonSSM 角色提供权限的托管策略是 AmazonSSMServiceRolePolicy。有关该策略授予的权限的详细信息,请参阅 AWS 托管式策略:AmazonSSMServiceRolePolicy

创建 Systems Manager 的 AWSServiceRoleForAmazonSSM 服务相关角色

您可以使用 IAM 控制台为 EC2 使用案例创建服务相关角色。在 AWS Command Line Interface (AWS CLI) 中使用 IAM 的命令或使用 IAM API,创建服务名称为 ssm.amazonaws.com 的服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。

编辑 Systems Manager 的 AWSServiceRoleForAmazonSSM 服务相关角色

Systems Manager 不允许您编辑 AWSServiceRoleForAmazonSSM 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。您可以使用 IAM 控制台、AWS CLI 或 IAM API 手动删除此服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。

由于多个功能都可使用 AWSServiceRoleForAmazonSSM 服务相关角色,因此在尝试删除该角色之前,请确保没有任何功能在使用该角色。

  • 清单:如果您删除了“清单”功能使用的服务相关角色,则不再同步标签和资源组的清单数据。您必须先清除服务相关角色的资源,然后才能手动删除它。

  • Explorer:如果删除 Explorer 功能使用的服务相关角色,则无法再查看跨账户和跨区域的 OpsData 及 OpsItems。

注意

如果在您尝试删除标签或资源组时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

删除 AWSServiceRoleForAmazonSSM 所用的 Systems Manager 资源
  1. 要删除标签,请参阅为单个资源添加和删除标签

  2. 要删除资源组,请参阅从 AWS Resource Groups 中删除组

使用 IAM 手动删除 AWSServiceRoleForAmazonSSM 服务相关角色

使用 IAM 控制台、AWS CLI 或 IAM API 删除 AWSServiceRoleForAmazonSSM 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

支持 Systems ManagerAWSServiceRoleForAmazonSSM 服务相关角色的区域

Systems Manager 支持提供该服务的所有 AWS 区域中使用 AWSServiceRoleForAmazonSSM 服务相关角色。有关更多信息,请参阅 AWS Systems Manager 终端节点和限额