任務 1:建立使用者群組 - AWS Systems Manager

任務 1:建立使用者群組

您可以為每個政策建立使用者群組,再將使用者指派給群組,而不是將個別政策附加給每個使用者。

您可以藉由省略建議或選用政策,來建立具有不同許可集的多個使用者群組。您也可以建立自訂 AWS Identity and Access Management (IAM) 政策來授予使用者任意組合的許可。例如,您可以授予使用者群組許可,以僅使用 AWS Systems Manager 中的 Session Manager 功能,如控制使用者工作階段存取執行個體中所述。

如需 Systems Manager 之自訂 IAM 政策的其他範例,請參閱客戶受管政策範例

如需使用 IAM 政策來存取 Systems Manager 的完整資訊,請參閱適用於 AWS Systems Manager 的 Identity and Access Management

建立使用者群組

使用下列程序來建立 Systems Manager 使用者的使用者群組。您可以重複此程序來建立具有不同許可集的其他使用者群組。

  1. 在 IAM 主控台的導覽窗格中,選擇 Groups (群組),然後選擇 Create New Group (建立新群組)

  2. Set Group Name (設定群組名稱) 頁面上,輸入群組的名稱,例如 SSMUserGroup 或您偏好的其他名稱。

  3. 選擇 Next Step (後續步驟)

  4. 在政策清單中,執行下列操作:

    • 如果您想要為使用者提供許可,以使用 Resource Groups 和標籤編輯器,請選擇 ResourceGroupsandTagEditorFullAccess 政策。

      可在 AWS Resource Groups 服務中管理 AWS 資源群組。您可以選擇提供帳戶中的使用者和使用者群組對此服務及其標籤編輯器的存取權,但我們建議將其用於更有效的管理操作。

      如需詳細資訊,請參閱 Amazon Web Services 是什麼?

    • 若要為此群組中的使用者提供對 Systems Manager 主控台的完整存取權,請選擇 AmazonSSMFullAccess 政策。

      -或-

      如果您希望此群組中的使用者僅檢視 Systems Manager 資料,而不能 建立或更新資源,請選擇 AmazonSSMReadOnlyAccess 政策。

    • 若要在 Systems Manager 主控台中為使用者提供對 Built-In Insights (內建洞察) 和 Dashboard by CloudWatch (CloudWatch 儀表板) 頁面的存取權,請選取下列受管政策旁的方塊:

      • AWSHealthFullAccess

        此政策授予 AWS Health API 和通知以及個人運作狀態儀表板的完整存取權。它也提供 Systems Manager 主控台中 Built-In Insights Dashboard (內建洞察儀表板) 的部分存取權。

      • AWSConfigUserAccess

        這項政策提供使用 AWS Config 的唯讀存取權,其中包含使用標籤搜尋資源,以及讀取所有標籤。它也提供 Systems Manager 主控台中 Built-In Insights Dashboard (內建洞察儀表板) 的部分存取權。

      • CloudWatchReadOnlyAccess

        此政策提供 CloudWatch 的唯讀存取權,需要此存取權才能檢視 Systems Manager 主控台中的 Dashboard by CloudWatch (CloudWatch 儀表板) 資訊。

    • 新增任何其他政策,以提供您想要授予此使用者群組的許可。

  5. 選擇 Next Step (後續步驟)

  6. Review (檢閱) 頁面上,確認已將正確的政策新增至此群組,然後選擇 Create Group (建立群組)

繼續進行任務 2:建立使用者並指派許可