設定自動化 - AWS Systems Manager

設定自動化

若要設定 Automation - AWS Systems Manager 的一項功能,您必須驗證使用者對自動化服務的存取權,並根據情況設定角色,讓服務可以對您的資源執行動作。我們也建議您在 Automation 偏好設定中選擇使用自適應並行模式。自適應並行會自動擴展自動化配額來滿足您的需求。如需詳細資訊,請參閱 允許 Automation 適應並行需求

為確保對 AWS Systems Manager 自動化的適當存取權,請檢閱以下使用者和服務角色需求。

驗證 Runbook 的使用者存取權

驗證您是否有使用 Runbook 的許可。如果您的 AWS Identity and Access Management (IAM) 使用者帳戶、群組或角色受指派管理員許可,則您可以存取 Systems Manager 自動化。如果您沒有管理員許可,則管理員必須指派 AmazonSSMFullAccess 受管政策或提供相當許可的政策給您的 IAM 帳戶、群組或角色,藉此給予您許可。

重要

IAM 政策 AmazonSSMFullAccess 會授予 Systems Manager 動作的許可。不過,有些 Runbook 需要其他服務的許可,例如文件 AWS-ReleaseElasticIP,而這需要 ec2:ReleaseAddress 的 IAM 許可。因此,您必須檢閱 Runbook 中採取的動作,以確保您的 IAM 使用者帳戶、群組或角色獲指派執行 Runbook 中包含動作的必要許可。

設定自動化的服務角色 (擔任角色) 存取權

自動化可在服務角色 (或擔任角色) 的內容下啟動。這可讓服務代表您執行動作。如果您未指定擔任角色,自動化會使用呼叫自動化的使用者內容。

然而,以下情況仍需要您為自動化指定服務角色:

  • 當您想要限制使用者的資源許可,但您想要使用者執行需要更高許可的自動化時。在此案例中,您可以建立具更高許可的服務角色並允許使用者執行自動化。

  • 當您建立執行 Runbook 的 Systems Manager State Manager 關聯。

  • 當您有預期會執行超過 12 小時的操作時。

  • 執行會使用 aws:executeScript 動作來呼叫 AWS API 操作,或對 AWS 資源執行動作的非 Amazon 擁有 Runbook 時。如需相關資訊,請參閱 使用 Runbook 的許可

如果需要為自動化建立服務角色,您可以使用以下其中一個方法。