设置 Maintenance Windows

您的 AWS 账户 中的用户必须先获得必要权限，然后才能使用 AWS Systems Manager 的功能 Maintenance Windows 创建和计划维护时段任务。

开始前的准备工作

要完成这部分中的任务，您需要事先设置以下一个或两个资源：

• 已向 IAM 实体（如用户或组）分配权限。这些用户或组应该已经拥有使用维护时段的常规权限。为此，请将 IAM policy AmazonSSMFullAccess 分配给用户或组，或者分配另一个 IAM policy，它可为处理维护时段任务的 Systems Manager 提供一组较小的访问权限集。

• （可选）对于运行 Run Command 任务的维护时段，您可以选择发送 Amazon Simple Notification Service（Amazon SNS）状态通知。Run Command 是 Systems Manager 的一项功能。如果要使用此选项，请首先配置 Amazon SNS 主题，然后再完成这些设置任务。有关为 Systems Manager 配置 Amazon SNS 通知的信息，包括有关创建用于发送 SNS 通知的 IAM 角色的信息，请参阅 使用 Amazon SNS 通知监控 Systems Manager 状态更改。

设置任务概述

要授予用户注册维护时段所需的权限，管理员需要完成以下任务。（完整的说明详见使用控制台配置维护时段权限）。

任务 1：创建一个策略以与自定义维护时段角色结合使用

维护时段任务需要一个 IAM 角色才能提供在目标资源上运行所需的权限。您运行的任务类型和其他操作要求决定了此策略的内容。

我们提供了一个基本策略，您可以在主题任务 1：为自定义维护时段服务角色创建策略中进行调整。

任务 2：为维护时段任务创建自定义服务角色

您在任务 1 中创建的策略将附加到您在任务 2 中创建的维护时段角色。当用户注册维护时段任务时，他们需要在任务配置中指定此自定义服务角色。此角色中的权限将允许 Systems Manager 代表您运行维护时段中的任务。

重要

以前，Systems Manager 控制台允许您选择 AWS 托管式 IAM 服务相关角色 AWSServiceRoleForAmazonSSM，以用作任务的维护角色。现在不再建议将此角色及其相关策略 AmazonSSMServiceRolePolicy 用于维护时段任务。如果您目前在将此角色用于维护时段任务，我们建议您停止使用它。而应创建您自己的 IAM 角色，以便您的维护时段任务运行时在 Systems Manager 与其他 AWS 服务之间进行通信。

任务 3：向注册维护时段任务的用户授予使用服务角色的权限

为用户提供访问自定义维护时段角色的权限，使他们可以将该角色用于维护时段任务。这是您已经向他们授予的权限的补充，以便与适用于 Maintenance Windows 的 Systems Manager API 命令结合使用。此角色传递了运行维护时段任务所需的权限。因此，如果无法传递这些 IAM 权限，用户将无法使用您的自定义服务角色向维护时段分配任务。

任务 4：（可选）向未获准注册维护时段任务的用户显式拒绝权限

对于您的 AWS 账户中您不希望其将任务注册到维护时段的用户，您可以拒绝向其授予 ssm:RegisterTaskWithMaintenanceWindow 权限。这将提供额外的防护，从而阻止不应注册维护时段任务的用户。

主题

• 使用控制台配置维护时段权限