設定的 Systems Manager Explorer 的角色和許可 - AWS Systems Manager

設定的 Systems Manager Explorer 的角色和許可

整合式設定會自動建立和設定 AWS Systems Manager Explorer 和 AWS Systems Manager OpsCenter 的 AWS Identity and Access Management (IAM) 角色。如果您已完成整合式設定,則不需要執行任何其他工作來設定 Explorer 的角色和許可。但是,您必須設定 OpsCenter 的許可,如本主題稍後所述。

關於整合式設定建立的角色

整合式設定會建立和設定下列角色,以使用 Explorer 和 OpsCenter。

  • AWSServiceRoleForAmazonSSM:提供由 Systems Manager 管理或使用的 AWS 資源存取權限。

  • OpsItem-CWE-Role:允許 CloudWatch Events 和 EventBridge 建立 OpsItems 以回應常見事件。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery:允許 Systems Manager 呼叫其他 AWS 服務,以在同步資料時探索 AWS 帳戶 資訊。如需有關此角色的詳細資訊,請參閱 關於AWSServiceRoleForAmazonSSM_AccountDiscovery角色

  • AmazonSSMExplorerExport:允許 Explorer 將 OpsData 匯出至以逗號分隔值的 (CSV) 檔案。

關於AWSServiceRoleForAmazonSSM_AccountDiscovery角色

如果將 Explorer 設定為使用 AWS Organizations 和資源資料同步以顯示來自多個帳戶和區域的資料,則 Systems Manager 會建立服務連結角色。Systems Manager 會使用此角色來取得 AWS Organizations 中 AWS 帳戶 的相關資訊。該角色會使用下列許可政策。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }

如需 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色的詳細資訊,請參閱 使用角色來收集 Systems Manager Explorer 的 AWS 帳戶 資訊:AWSServiceRoleForAmazonSSM_AccountDiscovery

設定的 Systems Manager OpsCenter 的許可

完成整合式設定之後,您必須設定 IAM 使用者、群組或角色許可,以便使用者可以在 OpsCenter 中執行動作。

開始之前

OpsItems您只能在建立 的帳戶中檢視或編輯它們。無法跨 AWS 帳戶 共享或傳輸 OpsItems。因此,建議您在用來執行 AWS 工作負載的 AWS 帳戶 中設定 OpsCenter 許可。然後,您就可以在該帳戶中建立 IAM 使用者或群組。利用這種方式,多位營運工程師或 IT 專業人員即可在相同的 AWS 帳戶 中建立、檢視和編輯 OpsItems。

Explorer 和 OpsCenter 會使用下列 API 操作。如果您的 IAM 使用者、群組或角色可以存取這些動作,您就可以使用 Explorer 和 OpsCenter 的所有功能。您也可以建立更嚴格的存取權,如本節前文所述。

下列程序說明如何將完整存取內嵌政策新增到 IAM 使用者。如果您願意,您可以將下列內嵌政策指派給使用者的帳戶、群組或角色,指定唯讀許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }

如需建立和編輯 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 政策。如需如何將此政策指派給 IAM 群組的資訊,請參閱將政策連接到 IAM 群組

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)

  3. 在清單中選擇名稱。

  4. 選擇 Permissions (許可) 標籤。

  5. 選擇 Add inline policy (新增內嵌政策)

  6. 請選擇 JSON 索引標籤。

  7. 將預設內容取代為以下內容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
  8. 選擇 Review policy (檢閱政策)

  9. Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱。例如:OpsCenter-Access-Full

  10. 選擇 Create policy (建立政策)

使用標籤限制存取 OpsItems

您也可以使用指定標籤的內嵌 IAM 政策,限制存取 OpsItems。此政策使用以下格式。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "One_or_more_OpsItem_API_actions" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/tag_key": "tag_value" } } } ] }

以下範例會指定 Department 的標籤鍵和 Finance 的標籤值。使用此政策,使用者只能呼叫 GetOpsItem API 操作,檢視之前以 Key=Department 和 Value=Finance 標記的 OpsItems。使用者無法檢視任何其他 OpsItems。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }

以下範例會指定檢視和更新 OpsItems 的 API 操作。此政策還會指定兩組標籤金鑰/值對:Department-Finance 和 Project-Unity。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }

如需將標籤新增到 OpsItem 的資訊,請參閱 手動建立 OpsItems