使用建立自動化的服務角色 AWS CloudFormation - AWS Systems Manager
使用 AWS CloudFormation建立服務角色複製自動化的角色資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用建立自動化的服務角色 AWS CloudFormation

您可以從 AWS CloudFormation 範本建立「自動化」的服務角色 AWS Systems Manager,這是的功能。在您建立服務角色之後,您可以使用參數 AutomationAssumeRole 在 Runbook 中指定服務角色。

使用 AWS CloudFormation建立服務角色

請使用下列程序來建立「Systems Manager 自動化」所需的 AWS Identity and Access Management (IAM) 角色 AWS CloudFormation。

建立必要的 IAM 角色

  1. 下載並解壓縮 AWS-SystemsManager-AutomationServiceRole.zip 檔案。此檔案包含AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  2. 請在以下位置開啟 AWS CloudFormation 主控台。 https://console.aws.amazon.com/cloudformation

  3. 選擇 Create Stack (建立堆疊)。

  4. Specify template (指定範本) 區段中,選擇 Upload a template file (上傳範本檔案)

  5. 選擇 [瀏覽],然後選擇AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  6. 選擇 Next (下一步)

  7. Specify stack details (指定堆疊詳細資訊) 頁面,於 Stack name (堆疊名稱) 欄位輸入名稱。

  8. Configure stack options (設定堆疊選項) 頁面上,您不需要進行任何選取。選擇 Next (下一步)

  9. 在 [檢閱] 頁面上,向下捲動並選擇 [我確認 AWS CloudFormation 可能會建立IAM資源] 選項。

  10. 選擇 Create (建立)。

CloudFormation 顯示 CREATE_IN_ PROGRESS 狀態大約三分鐘。建立堆疊且您的角色已準備好可供使用COMPLETE之後,狀態會變更為 CREATE_

重要

如果您執行使用 AWS Identity and Access Management (IAM) 服務角色呼叫其他服務的自動化工作流程,請注意服務角色必須具有叫用這些服務的權限來設定服務角色。此要求適用於所有 AWS Automation Runbook (AWS-* Runbook),例如 AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance Runbook 等。此需求也適用於您建立的任何自訂 Automation Runbook,這些自訂自動化工作手冊使用呼叫其 AWS 服務 他服務的動作。例如,如果您使用 aws:executeAwsApiaws:createStackaws:copyImage 動作,為服務角色設定可叫用這些服務的許可。您可以將IAM內嵌政策新 AWS 服務 增至角色,將權限授與其他人。如需詳細資訊,請參閱(選擇性) 新增「自動化」內嵌政策或客戶管理的政策,以呼叫其他 AWS 服務

複製自動化的角色資訊

使用下列程序從主控台複製 Automation 服務角色的相關資 AWS CloudFormation 訊。使用 Runbook 時,必須指定這些角色。

注意

如果您執行 AWS-UpdateLinuxAmiAWS-UpdateWindowsAmi Runbook,則不需要使用此程序複製角色資訊。這些 Runbook 已將所需的角色指定為預設值。這些 Runbook 中指定的角色會使用IAM受管理的原則。

複製角色名稱

  1. 請在以下位置開啟 AWS CloudFormation 主控台。 https://console.aws.amazon.com/cloudformation

  2. 選取您在上一個程序中建立的自動化 Stack name (堆疊名稱)

  3. 選擇 Resources (資源) 標籤。

  4. 選擇的實體 ID 連結AutomationServiceRole。主IAM控台會開啟並顯示「自動化」服務角色的摘要。

  5. 複製角色旁邊的 Amazon 資源名稱(ARN)ARN。類似ARN於以下內容:arn:aws:iam::12345678:role/AutomationServiceRole

  6. 粘貼ARN到文本文件中以供以後使用。

您已完成自動化服務角色的設定。您現在可以在 Runbook 中使用自動化服務角色ARN。