設定自動化 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定自動化

若要設定「自動化」功能 AWS Systems Manager,您必須驗證使用者對自動化服務的存取權,並在情境上設定角色,以便服務可以對您的資源執行動作。我們也建議您在 Automation 偏好設定中選擇使用自適應並行模式。自適應並行會自動擴展自動化配額來滿足您的需求。如需詳細資訊,請參閱 允許 Automation 適應並行需求

若要確保能正確存取 AWS Systems Manager 自動化,請檢閱下列使用者和服務角色需求。

驗證 Runbook 的使用者存取權

驗證您是否有使用 Runbook 的許可。如果使用者、群組或角色獲指派管理員許可,則您可以存取 Systems Manager Automation。如果您沒有管理員許可,則管理員必須指派 AmazonSSMFullAccess 受管政策或提供相當許可的政策給使用者、群組或角色,藉此給予您許可。

重要

IAM 政策 AmazonSSMFullAccess 會授予 Systems Manager 動作的許可。不過,有些 Runbook 需要其他服務的許可,例如文件 AWS-ReleaseElasticIP,而這需要 ec2:ReleaseAddress 的 IAM 許可。因此,您必須檢閱執行手冊中採取的動作,以確保使用者、群組或角色獲指派必要許可,可執行執行手冊中包含的動作。

設定自動化的服務角色 (擔任角色) 存取權

自動化可在服務角色 (或擔任角色) 的內容下啟動。這可讓服務代表您執行動作。如果您未指定擔任角色,自動化會使用呼叫自動化的使用者內容。

然而,以下情況仍需要您為自動化指定服務角色:

  • 當您想要限制使用者的資源許可,但您想要使用者執行需要更高許可的自動化時。在此案例中,您可以建立具更高許可的服務角色並允許使用者執行自動化。

  • 當您建立執行 Runbook 的 Systems Manager State Manager 關聯。

  • 當您有預期會執行超過 12 小時的操作時。

  • 當您運行的 runbook 不是由 Amazon 擁有,使用該操aws:executeScript作來調用 AWS API 操作或對 AWS 資源採取行動。如需相關資訊,請參閱使用 Runbook 的許可

如果需要為自動化建立服務角色,您可以使用以下其中一個方法。