• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Systems Manager Explorer 的角色和許可
整合式設定會自動為 AWS Systems Manager Explorer 和 建立和設定 AWS Identity and Access Management (IAM) 角色 AWS Systems Manager OpsCenter。如果您已完成整合式設定,則不需要執行任何其他工作來設定 Explorer 的角色和許可。但是,您必須設定 OpsCenter 的許可,如本主題稍後所述。
整合式設定會建立和設定下列角色,以使用 Explorer 和 OpsCenter。
+ `AWSServiceRoleForAmazonSSM`︰提供由 Systems Manager 管理或使用的 AWS 資源存取權限。
+ `OpsItem-CWE-Role`:允許 CloudWatch Events 和 EventBridge 建立 OpsItems 以回應常見事件。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`:允許 Systems Manager 在同步資料時呼叫其他 AWS 服務 以探索 AWS 帳戶 資訊。如需有關此角色的詳細資訊,請參閱 [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)。
+ `AmazonSSMExplorerExport`:允許 Explorer 將 OpsData 匯出至以逗號分隔值的 (CSV) 檔案。
如果您設定 使用 和資源資料同步Explorer來顯示來自多個帳戶 AWS Organizations 和區域的資料,則 Systems Manager 會建立`AWSServiceRoleForAmazonSSM_AccountDiscovery`服務連結角色。Systems Manager 使用此角色來取得 AWS 帳戶 中 的相關資訊 AWS Organizations。該角色會使用下列許可政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
如需 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 角色的詳細資訊,請參閱 [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)。
## 設定的 Systems Manager OpsCenter 的許可
完成整合式設定之後,您必須設定使用者、群組或角色許可,以便使用者在 OpsCenter 中執行動作。
**開始之前**
可以將 OpsCenter 設定為建立和管理單一帳戶或跨多個帳戶的 OpsItems。如果您OpsCenter將 設定為OpsItems跨多個帳戶建立和管理,您可以使用 Systems Manager 委派管理員帳戶或 AWS Organizations 管理帳戶,在其他OpsItems帳戶中手動建立、檢視或編輯 。如需有關 Systems Manager 委派管理員帳戶的詳細資訊,請參閱[設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。
如果您針對單一帳戶設定 OpsCenter,則只能在建立 OpsItems 的帳戶中檢視或編輯 OpsItems。您無法OpsItems跨 共用或傳輸 AWS 帳戶。因此,建議您在用來執行 AWS 工作負載 AWS 帳戶 的 OpsCenter中設定 的許可。然後,您就可以在該帳戶中建立 使用者或群組。利用這種方式,多位營運工程師或 IT 專業人員即可在相同的 AWS 帳戶中建立、檢視和編輯 OpsItems。
Explorer 和 OpsCenter 會使用下列 API 操作。如果使用者、群組或角色可以存取這些動作,您就可以使用 Explorer 和 OpsCenter 的所有功能。您也可以建立更嚴格的存取權,如本節前文所述。
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
您可以視需要將下列內嵌政策新增至帳戶、群組或角色,以指定唯讀許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
如需有關建立和編輯 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。如需如何將此政策指派給 IAM 群組的資訊,請參閱[將政策連接到 IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)。
使用以下項目建立許可並將許可新增至使用者、群組或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
視您在組織中使用的身分應用程式而定,您可以選取下列任何選項來設定使用者存取權。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 *IAM 使用者指南*的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
### 使用標籤限制存取 OpsItems
您也可以使用指定標籤的內嵌 IAM 政策,限制存取 OpsItems。以下範例會指定 *Department* 的標籤鍵和 *Finance* 的標籤值。使用此政策,使用者只能呼叫 *GetOpsItem* API 操作,檢視之前以 Key=Department 和 Value=Finance 標記的 OpsItems。使用者無法檢視任何其他 OpsItems。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
以下範例會指定檢視和更新 OpsItems 的 API 操作。此政策還會指定兩組標籤金鑰/值對:Department-Finance 和 Project-Unity。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
如需將標籤新增到 OpsItem 的資訊,請參閱 [手動建立 OpsItems](OpsCenter-manually-create-OpsItems.md)。