使用 AWS CloudFormation 建立用於自動化的服務角色 - AWS Systems Manager
使用 AWS CloudFormation 建立服務角色複製自動化的角色資訊

使用 AWS CloudFormation 建立用於自動化的服務角色

您可以建立 Automation—AWS Systems Manager 的一項功能—從 AWS CloudFormation 範本建立自動化的服務角色。在您建立服務角色之後,您可以使用參數 AutomationAssumeRole 在 Runbook 中指定服務角色。

使用 AWS CloudFormation 建立服務角色

藉由以下程序,使用 AWS CloudFormation 為 Systems Manager Automation 建立所需的 AWS Identity and Access Management (IAM) 角色。

建立必要的 IAM 角色

  1. 下載並解壓縮 AWS-SystemsManager-AutomationServiceRole.zip 檔案。此檔案包含 AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  2. 在以下網址開啟 AWS CloudFormation 主控台:https://console.aws.amazon.com/cloudformation

  3. 選擇 Create Stack (建立堆疊)。

  4. Specify template (指定範本) 區段中,選擇 Upload a template file (上傳範本檔案)

  5. 選擇 Browse (瀏覽),然後選擇 AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  6. 選擇 Next (下一步)。

  7. Specify stack details (指定堆疊詳細資訊) 頁面,於 Stack name (堆疊名稱) 欄位輸入名稱。

  8. Configure stack options (設定堆疊選項) 頁面上,您不需要進行任何選取。選擇 Next (下一步)。

  9. Review (審核) 頁面上,請選擇 I acknowledge that AWS CloudFormation might create resources (我知道 AWS CloudFormation 可能會建立 IAM 資源)。

  10. 選擇 Create (建立)。

CloudFormation 會顯示 CREATE_IN_PROGRESS 狀態大約三分鐘。在堆疊建立且您的角色可使用之後,狀態會變更為 CREATE_COMPLETE (CREATE_COMPLETE)

重要

如果您執行可使用 AWS Identity and Access Management (IAM) 服務角色叫用其他服務的自動化工作流程,請注意您必須為該服務角色設定可叫用這些服務的許可。此要求適用於所有 AWS Automation Runbook (AWS-* Runbook),例如 AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance Runbook 等。此要求也適用於您所建立會透過呼叫其他服務的動作來叫用其他 AWS 服務 的任何自訂自動化 Runbooks。例如,如果您使用 aws:executeAwsApiaws:createStackaws:copyImage 動作,為服務角色設定可叫用這些服務的許可。您可新增 IAM 內嵌政策到角色,以啟用其他 AWS 服務 的許可。如需詳細資訊,請參閱(選用) 新增 Automation 內嵌政策或客戶管理政策以調用其他 AWS 服務

複製自動化的角色資訊

使用以下程序從 AWS CloudFormation 主控台複製關於自動化服務角色的資訊。使用 Runbook 時,必須指定這些角色。

注意

如果您執行 AWS-UpdateLinuxAmiAWS-UpdateWindowsAmi Runbook,則不需要使用此程序複製角色資訊。這些 Runbook 已將所需的角色指定為預設值。這些 Runbook 中指定的角色使用 IAM 受管政策。

複製角色名稱

  1. 造訪網址 https://console.aws.amazon.com/cloudformation以開啟 AWS CloudFormation 主控台:

  2. 選取您在上一個程序中建立的自動化 Stack name (堆疊名稱)

  3. 選擇 Resources (資源) 標籤。

  4. AutomationServiceRole 選擇 Physical ID (實體 ID) 連結。IAM 主控台會開啟自動化服務角色的摘要。

  5. 複製 Role ARN (角色 ARN) 旁邊的 Amazon Resource Name (ARN)。ARN 的格式類似如下:arn:aws:iam::12345678:role/AutomationServiceRole

  6. 將 ARN 貼入文字檔案以供日後使用。

您已完成自動化服務角色的設定。您現在可以在 Runbook 中使用 Automation 服務角色 ARN。