Using Roles to Collect Inventory and Run Maintenance Windows Tasks - AWS Systems Manager

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Using Roles to Collect Inventory and Run Maintenance Windows Tasks

AWS Systems Manager 使用 AWS Identity and Access Management (IAM) サービス連携ロール. サービス連携ロールは、 IAM 直接リンクされている役割 Systems Manager. サービスリンクの役割は事前定義されています による Systems Manager サービスから電話を受けるために必要なすべての許可を含めます。 その他 AWS サービスを代行します。

サービスリンク型の役割は、 Systems Manager より簡単に 必要な権限を手動で追加します。 Systems Manager の権限を定義します。 サービスにリンクされた役割、および別途定義されていない限り、 Systems Manager できる 役割を引き受けます。定義された権限には、信頼ポリシーと 許可ポリシー、および許可ポリシーは、他の IAM エンティティ。

サービス連携ロールをサポートするその他のサービスについては、以下を参照してください。 AWSサービス 連携する IAM 私達が提供している はい サービス連携 役割 列。選択 はい と リンクを使用して、そのサービスのサービス リンク ロール ドキュメントを表示します。

サービス連携 役割権限 Systems Manager

Systems Manager という名前のサービスリンクロールを使用します。 AWSServiceRoleForAmazonSSM – AWS Systems Manager uses this IAM service role to manage AWS resources on your behalf.

は AWSServiceRoleForAmazonSSM サービス連携ロールの信頼のみ ssm.amazonaws.com 想定する この役割です。

現在は2つのみ Systems Manager 機能は、サービスリンクの役割を使用します。

  • 在庫にはサービスリンクの役割が必要です。役割はシステムを有効にします タグとリソースグループから在庫メタデータを収集する。

  • は メンテナンスウィンドウ 機能は、オプションでサービスリンクロールを使用できます。この役割では、 メンテナンスウィンドウ ターゲットでメンテナンス タスクを実行するサービス インスタンス。サービスリンク型の役割は Systems Manager 提供していない すべてのシナリオに必要な許可。詳細については、以下を参照してください。 使用すべきは メンテナンスウィンドウを実行するサービスリンクロールまたはカスタムサービスロール どうしますか?

は AWSServiceRoleForAmazonSSM サービスリンクされた役割の権限ポリシーで許可されている Systems Manager へ すべての関連リソース("Resource": "*")、ただし、以下の場合はこの限りではない。

  • ssm:CancelCommand

  • ssm:GetCommandInvocation

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:SendCommand

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:StartAutomationExecution

  • ssm:ListTagsForResource

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInstances

  • lambda:InvokeFunction¹

  • states:DescribeExecution²

  • states:StartExecution²

  • resource-groups:ListGroups

  • resource-groups:ListGroupResources

  • resource-groups:GetGroupQuery

  • cloudformation:DescribeStacks

  • config:SelectResourceConfig

  • compute-optimizer:GetEC2InstanceRecommendations

  • support:DescribeTrustedAdvisorChecks

  • support:DescribeTrustedAdvisorCheckSummaries

  • support:DescribeTrustedAdvisorCheckResult

  • iam:PassRole³

¹lambda:InvokeFunction アクションは、次のリソースに対してのみ許可されます。

arn:aws:lambda:*:*:function:SSM* arn:aws:lambda:*:*:function:*:SSM*

²states: 行動は 次のリソースに対してのみ許可されます。

arn:aws:states:*:*:stateMachine:SSM* arn:aws:states:*:*:execution:SSM*

³iam:PassRole アクション は、 Systems Manager サービス のみ:

"Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } }

の作成 サービスリンク型ロール Systems Manager

_を使用できます。 IAM コンソールを使用して、 EC2 使用例です。の IAM CLIまたは IAM API、作成 サービスにリンクした役割を ssm.amazonaws.com サービス名。詳細については、以下を参照してください。 サービス連携ロールの作成IAM ユーザーガイド.

メンテナンス・ウィンドウのみの場合、手動で作成する必要はありません。 サービスリンクされた役割。メンテナンス ウィンドウ タスクを AWS マネジメントコンソール, の AWS CLI、または Systems Manager API、 Systems Manager は、サービスリンクを作成します。 カスタムサービスロールを提供しない場合のロール。

このサービスリンクされた役割を削除してから再度作成する必要がある場合は、 は、同じプロセスを使用してアカウントでロールを再作成できます。

サービスリンクの編集 役割 Systems Manager

Systems Manager では、 AWSServiceRoleForAmazonSSM サービスリンクされた役割。サービスリンクされた役割を作成した後は、役割の名前を変更することはできません さまざまなエンティティがその役割を参照している可能性があります。ただし、 を使用した役割の説明 IAM. 詳細については、以下を参照してください。 サービス連携ロールの編集IAM ユーザーガイド.

の削除 サービスリンク型ロール Systems Manager

機能やサービスを使用する必要がなくなった場合は、 サービスリンクされた役割を削除することをおすすめします。こうすることで 積極的に監視または維持されていない未使用の事業体がない。あなた は、 IAM コンソール、 IAM CLI、または IAM 手動で削除するAPI サービスリンクされた役割。そのためには、まず 手動で削除することができます。 できるのです。

なぜなら、 Systems Manager サービスリンクされた役割は、 在庫および メンテナンスウィンドウ 役割を兼務していないことを確認します。 削除を試みる前に、この操作を実行します。

  • 在庫: _を削除すると、 が使用しているサービスリンクロール Systems Manager 在庫、次に在庫データ タグとリソースグループは同期されなくなります。清掃する必要があります 手動で作成する前に、サービスリンクの役割のリソースを 削除してください。

  • メンテナンスウィンドウ: を削除できません メンテナンス ウィンドウ タスクが現在依存している場合は、サービス リンク ロール 役割です。まず、タスクからサービスリンクされた役割を削除する必要があります。 削除する必要があります。

注記

_が Systems Manager サービスは、 タグ、リソースグループ、またはメンテナンスウィンドウタスク、削除 失敗します。その場合は、数分間待ってから、操作を試してください。 もう一度。

削除するには Systems Manager リソースは、 AWSServiceRoleForAmazonSSM

  1. タグを削除するには、以下を参照してください。 追加中 および個々のリソース上のタグの削除.

  2. リソースグループを削除するには、以下を参照してください。 AWSリソースグループからグループを削除.

  3. メンテナンスウインドウのタスクを削除する方法についての情報は、見なさい メンテナンスの更新または削除 ウィンドウタスク(コンソール).

を使用してサービスリンクされた役割を手動で削除するには IAM

_を使用 IAM コンソール、 IAM CLI、または IAM 削除するためのAPI AWSServiceRoleForAmazonSSM サービスリンクされた役割。詳細については、以下を参照してください。 サービス連携ロールの削除IAM ユーザーガイド.

サポートされている地域 Systems Manager サービス連携ロール

Systems Manager は、 サービスが利用可能です。詳細については、以下を参照してください。 AWS Regions and Endpoints for Systems Manager.