本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Incident Manager 的服务相关角色
AWS Systems Manager Incident Manager uses AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的IAM角色类型,直接链接到事件经理。服务相关角色由事件管理器预定义,包括该服务调用其他角色所需的所有权限 AWS 代表您提供服务。
服务相关角色可更轻松地设置 Incident Manager,因为您不必手动添加必要的权限。Incident Manager 定义其服务相关角色的权限,除非另外定义,否则只有 Incident Manager 可以代入该角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。
只有在首先删除相关资源后,您才能删除服务相关角色。这将保护 Incident Manager 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅 AWS 与之配合使用的服务,IAM并在 “服务相关角色” 列中查找带有 “是” 的服务。请选择是与查看该服务的服务相关角色文档的链接。
Incident Manager 的服务相关角色权限
事件经理使用名为的服务相关角色 AWSServiceRoleforIncidentManager——允许事件经理代表你管理事件经理事件记录和相关资源。
AWSServiceRoleforIncidentManager 服务相关角色信任以下服务来代入该角色:
-
ssm-incidents.amazonaws.com
角色权限策略 AWSIncidentManagerServiceRolePolicy 允许 Incident Manager 对指定资源完成以下操作:
-
操作:与该操作相关的所有资源上的
ssm-incidents:ListIncidentRecords
。 -
操作:与该操作相关的所有资源上的
ssm-incidents:CreateTimelineEvent
。 -
操作:与该操作相关的所有资源上的
ssm:CreateOpsItem
。 -
操作:
all resources related to the action.
上的ssm:AssociateOpsItemRelatedItem
-
操作:与该操作相关的所有资源上的
ssm-contacts:StartEngagement
。 -
操作:
cloudwatch:PutMetricData
针对AWS/IncidentManager
命名空间内的 CloudWatch 指标
必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。
创建 Incident Manager 的服务相关角色
您无需手动创建服务相关角色。当您在中创建复制集时 AWS Management Console, AWS CLI,或者 AWS API,事件管理员会为您创建与服务相关的角色。
如果您删除此服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。创建复制集时,Incident Manager 会再次为您创建服务相关角色。
编辑 Incident Manager 的服务相关角色
事件管理器不允许您编辑 AWSServiceRoleforIncidentManager 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色。
删除 Incident Manager 的服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
要删除服务相关角色,您必须先删除复制集。删除复制集会删除在 Incident Manager 中创建和存储的所有数据,包括响应计划、联系人和上报计划。您还将丢失所有先前创建的事件。任何指向已删除响应计划的警报和 EventBridge 规则都不会再在警报或规则匹配时创建事件。要删除复制集,您必须删除该集合中的每个区域。
注意
如果在您试图删除资源时 Incident Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
要删除所使用的复制集中的区域 AWSServiceRoleforIncidentManager
-
打开 Incident Manager 控制台
,然后从左侧导航栏中选择设置。 -
在复制集中选择一个区域。
-
选择删除。
-
要确认删除区域,请输入区域名称并选择删除。
-
重复这些步骤,直到删除复制集中的所有区域。删除最后一个区域时,控制台会通知您同时删除复制集。
使用手动删除服务相关角色 IAM
使用IAM控制台, AWS CLI,或者 AWS API删除 AWSServiceRoleforIncidentManager服务相关角色。有关更多信息,请参阅IAM用户指南中的删除服务相关角色。
Incident Manager 服务相关角色支持的区域
Incident Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS 区域和终端节点。