方法 1:使用 AWS CloudFormation 設定自動化的服務角色 - AWS Systems Manager

方法 1:使用 AWS CloudFormation 設定自動化的服務角色

您可以建立 Automation—AWS Systems Manager 的一項功能—從 AWS CloudFormation 範本建立自動化的服務角色。在您建立服務角色之後,您可以使用參數 AutomationAssumeRole 在 Runbook 中指定服務角色。如需如何使用自動化服務角色來執行自動化的資訊,請參閱 使用 IAM 服務角色執行自動化

使用 AWS CloudFormation 建立服務角色

藉由以下程序,使用 AWS CloudFormation 為 Systems Manager Automation 建立所需的 AWS Identity and Access Management (IAM) 角色。

建立必要的 IAM 角色

  1. 下載並解壓縮 AWS-SystemsManager-AutomationServiceRole.zip 檔案。此檔案包含 AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  2. 在以下網址開啟 AWS CloudFormation 主控台:https://console.aws.amazon.com/cloudformation

  3. 選擇 Create Stack (建立堆疊)。

  4. Specify template (指定範本) 區段中,選擇 Upload a template file (上傳範本檔案)

  5. 選擇 Browse (瀏覽),然後選擇 AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation 範本檔案。

  6. 選擇 Next (下一步)。

  7. Specify stack details (指定堆疊詳細資訊) 頁面,於 Stack name (堆疊名稱) 欄位輸入名稱。

  8. Configure stack options (設定堆疊選項) 頁面上,您不需要進行任何選取。選擇 Next (下一步)。

  9. Review (審核) 頁面上,請選擇 I acknowledge that AWS CloudFormation might create resources (我知道 AWS CloudFormation 可能會建立 IAM 資源)。

  10. 選擇 Create (建立 OpsItem)。

CloudFormation 會顯示 CREATE_IN_PROGRESS 狀態大約三分鐘。在堆疊建立且您的角色可使用之後,狀態會變更為 CREATE_COMPLETE (CREATE_COMPLETE)

重要

如果您執行可使用 AWS Identity and Access Management (IAM) 服務角色叫用其他服務的自動化工作流程,請注意您必須為該服務角色設定可叫用這些服務的許可。此要求適用於所有 AWS Automation Runbook (AWS-* Runbook),例如 AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance Runbook 等。此要求也適用於您所建立會透過呼叫其他服務的動作來叫用其他 AWS 服務 的任何自訂自動化 Runbooks。例如,如果您使用 aws:executeAwsApiaws:createStackaws:copyImage 動作,為服務角色設定可叫用這些服務的許可。您可新增 IAM 內嵌政策到角色,以啟用其他 AWS 服務 的許可。如需詳細資訊,請參閱 (選用) 新增 Automation 內嵌政策以叫用其他 AWS 服務

複製自動化的角色資訊

使用以下程序從 AWS CloudFormation 主控台複製關於自動化服務角色的資訊。使用 Runbook 時,必須指定這些角色。

注意

如果您執行 AWS-UpdateLinuxAmiAWS-UpdateWindowsAmi Runbook,則不需要使用此程序複製角色資訊。這些 Runbook 已將所需的角色指定為預設值。這些 Runbook 中指定的角色使用 IAM 受管政策。

複製角色名稱

  1. 在以下網址開啟 AWS CloudFormation 主控台:https://console.aws.amazon.com/cloudformation

  2. 選取您在上一個程序中建立的自動化 Stack name (堆疊名稱)

  3. 選擇 Resources (資源) 索引標籤。

  4. AutomationServiceRole 選擇 Physical ID (實體 ID) 連結。IAM 主控台會開啟自動化服務角色的摘要。

  5. 複製 Role ARN (角色 ARN) 旁邊的 Amazon Resource Name (ARN)。ARN 的格式類似如下:arn:aws:iam::12345678:role/AutomationServiceRole

  6. 將 ARN 貼入文字檔案以供日後使用。

您已完成自動化服務角色的設定。您現在可以在 Runbook 中使用 Automation 服務角色 ARN。