使用 Systems Manager 的服務連結角色
AWS Systems Manager 使用 AWS Identity and Access Management (IAM) 服務連結的角色。服務連結角色是直接連結至 Systems Manager 的一種特殊 IAM 角色類型。服務連結角色由 Systems Manager 預先定義,且內含該服務代您呼叫其他 AWS 服務 所需的所有許可。
注意
服務角色與服務連結角色不同。服務角色是一種 AWS Identity and Access Management (IAM) 角色,它將許可授予 AWS 服務,使該服務能夠存取 AWS 資源。只有幾個 Systems Manager 案例需要服務角色。當您建立 Systems Manager 的服務角色時,您可以選擇要授予的許可,以便它能夠存取或與其他 AWS 資源互動。
服務連結的角色可讓設定 Systems Manager 更為簡單,因為您不必手動新增必要的許可。Systems Manager 定義其服務連結角色的許可,除非另有定義,否則僅有 Systems Manager 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您 Systems Manager 的資源,避免您不小心移除資源的存取許可。
注意
在混合多雲端環境中,您的非 EC2 節點需要其他 IAM 角色,讓這些機器能夠與 Systems Manager 服務通訊。這是 Systems Manager 的 IAM 服務角色。此角色授予 AWS Security Token Service (AWS STS) AssumeRole 信任至 Systems Manager 服務。AssumeRole 動作會傳回一組臨時的安全登入資料 (包括存取金鑰 ID、私密存取金鑰和安全字符)。您可以使用這些暫時登入資料,存取您一般可能無法存取的 AWS 資源。如需詳細資訊,請參閱《AWS Security Token Service API 參考》中的在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色和 AssumeRole。
如需關於支援服務連結角色的其他服務資訊,請參閱可搭配 IAM 運作的 AWS 服務,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。
主題
