使用角色來收集庫存和查看 OpsData - AWS Systems Manager
用於庫存、OpsData 和 OpsItems 的服務連結角色許可建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色支援 Systems Manager  AWSServiceRoleForAmazonSSM 服務連結角色的區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用角色來收集庫存和查看 OpsData

Systems Manager 使用名為 的服務連結角色AWSServiceRoleForAmazonSSM。 AWS Systems Manager 使用此 IAM 服務角色代表您管理 AWS 資源。

用於庫存、OpsData 和 OpsItems 的服務連結角色許可

AWSServiceRoleForAmazonSSM 服務連結角色僅信任 ssm.amazonaws.com 服務擔任此角色。

您可以將 Systems Manager 服務連結角色 AWSServiceRoleForAmazonSSM 用於下列功能:

  • Systems Manager 庫存工具使用服務連結角色AWSServiceRoleForAmazonSSM,從標籤和資源群組收集庫存中繼資料。

  • 此Explorer工具使用服務連結角色AWSServiceRoleForAmazonSSM來啟用檢視 OpsData 和OpsItems來自多個帳戶的 。當您從 Explorer 或 OpsCenter 中啟用 Security Hub 作為資料來源時,此服務連結角色也允許 Explorer 建立受管規則。

重要

先前,Systems Manager 主控台可讓您選擇要AWSServiceRoleForAmazonSSM用作任務維護角色的 AWS 受管 IAM 服務連結角色。不再建議將此角色及其關聯政策 AmazonSSMServiceRolePolicy,用於維護時段任務。如果您現在將此角色用於維護時段任務,我們建議您停止使用。相反,請建立您自己的 IAM 角色,以便在執行維護時段任務時,Systems Manager 可跟其他 AWS 服務 溝通。

如需詳細資訊,請參閱設定 Maintenance Windows

用於為 AWSServiceRoleForAmazonSSM 角色提供許可的受管政策是 AmazonSSMServiceRolePolicy。如需授予許可的詳細資訊,請參閱 AWS 受管政策:AmazonSSMServiceRolePolicy

建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

您可以在 IAM 主控台透過 EC2 使用案例建立服務連結角色。使用 AWS Command Line Interface (AWS CLI) 中的 IAM 命令或使用 IAM API,建立使用 ssm.amazonaws.com 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的「建立服務連結角色」。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。

編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

Systems Manager 不允許您編輯 AWSServiceRoleForAmazonSSM 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱「IAM 使用者指南」編輯服務連結角色

刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台 AWS CLI、 或 IAM API 來手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

由於AWSServiceRoleForAmazonSSM服務連結角色可以由多個工具使用,因此在嘗試刪除角色之前,請確保沒有使用該角色。

  • 庫存:如果您刪除庫存工具使用的服務連結角色,則標籤和資源群組的庫存資料將不再同步。手動刪除服務連結角色之前,您必須先清理資源。

  • Explorer:如果您刪除Explorer工具使用的服務連結角色,則跨帳戶和跨區域 OpsData OpsItems 將無法再檢視。

注意

如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForAmazonSSM 所使用的 Systems Manager 資源

  1. 若要刪除標籤,請參閱在個別資源上新增和刪除標籤

  2. 若要刪除資源群組,請參閱從中刪除群組 AWS Resource Groups

若要使用 IAM 手動刪除 AWSServiceRoleForAmazonSSM 服務連結角色

使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除AWSServiceRoleForAmazonSSM服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」中的刪除服務連結角色

支援 Systems Manager  AWSServiceRoleForAmazonSSM 服務連結角色的區域

Systems Manager 支援在所有提供服務 AWS 區域 的 中使用AWSServiceRoleForAmazonSSM服務連結角色。如需詳細資訊,請參閱 AWS Systems Manager 端點和配額