使用 建立自動化的服務角色 AWS CloudFormation - AWS Systems Manager
使用 AWS CloudFormation建立服務角色複製自動化的角色資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 建立自動化的服務角色 AWS CloudFormation

您可以從 AWS CloudFormation 範本建立 Automation 的服務角色 AWS Systems Manager,這是 中的工具。在您建立服務角色之後,您可以使用參數 AutomationAssumeRole 在 Runbook 中指定服務角色。

使用 AWS CloudFormation建立服務角色

使用下列程序來建立 Systems Manager Automation 所需的 AWS Identity and Access Management (IAM) 角色 AWS CloudFormation。

建立必要的 IAM 角色

  1. 下載並解壓縮 AWS-SystemsManager-AutomationServiceRole.zip 檔案。此檔案包含 AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  2. 在 https://https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。

  3. 選擇 Create Stack (建立堆疊)。

  4. Specify template (指定範本) 區段中,選擇 Upload a template file (上傳範本檔案)

  5. 選擇瀏覽,然後選擇AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  6. 選擇 Next (下一步)

  7. Specify stack details (指定堆疊詳細資訊) 頁面,於 Stack name (堆疊名稱) 欄位輸入名稱。

  8. Configure stack options (設定堆疊選項) 頁面上,您不需要進行任何選取。選擇 Next (下一步)

  9. 檢閱頁面上,向下捲動並選擇我確認 AWS CloudFormation 可能會建立 IAM 資源選項。

  10. 選擇 Create (建立)。

CloudFormation 會顯示 CREATE_IN_PROGRESS 狀態大約三分鐘。在堆疊建立且您的角色可使用之後,狀態會變更為 CREATE_COMPLETE (CREATE_COMPLETE)

重要

如果您執行可使用 AWS Identity and Access Management (IAM) 服務角色叫用其他服務的自動化工作流程,請注意您必須為該服務角色設定可叫用這些服務的許可。此要求適用於所有 AWS Automation Runbook (AWS-* Runbook),例如 AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance Runbook 等。此要求也適用於您建立的任何自訂自動化執行手冊, AWS 服務 這些執行手冊使用呼叫其他服務的動作來叫用其他 。例如,如果您使用 aws:executeAwsApiaws:createStackaws:copyImage 動作,為服務角色設定可叫用這些服務的許可。您可以將 IAM 內嵌政策新增至角色, AWS 服務 以將許可授予其他 。如需詳細資訊,請參閱(選用) 新增自動化內嵌政策或客戶受管政策以叫用其他政策 AWS 服務

複製自動化的角色資訊

使用下列程序,從 AWS CloudFormation 主控台複製 Automation 服務角色的相關資訊。使用 Runbook 時,必須指定這些角色。

注意

如果您執行 AWS-UpdateLinuxAmiAWS-UpdateWindowsAmi Runbook,則不需要使用此程序複製角色資訊。這些 Runbook 已將所需的角色指定為預設值。這些 Runbook 中指定的角色使用 IAM 受管政策。

複製角色名稱

  1. 在 https://https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。

  2. 選取您在上一個程序中建立的自動化 Stack name (堆疊名稱)

  3. 選擇 Resources (資源) 標籤。

  4. AutomationServiceRole 選擇 Physical ID (實體 ID) 連結。IAM 主控台會開啟自動化服務角色的摘要。

  5. 複製 Role ARN (角色 ARN) 旁邊的 Amazon Resource Name (ARN)。ARN 的格式類似如下:arn:aws:iam::12345678:role/AutomationServiceRole

  6. 將 ARN 貼入文字檔案以供日後使用。

您已完成自動化服務角色的設定。您現在可以在 Runbook 中使用 Automation 服務角色 ARN。