設定 Maintenance Windows

您中的使 AWS 帳戶 用者必須先獲得必要的權限Maintenance Windows，才能使用的 AWS Systems Manager功能來建立和排程維護時段工作。

開始之前

為了完成本節中的任務，您需要先設定下列其中一個或兩個資源。

• 已指派權限給 IAM 實體 (使用者、角色或群組)。這些實體應該已經擁有使用維護時段的一般權限。為此，請將 IAM 政策 AmazonSSMFullAccess 指派給使用者或群組，或指派其他 IAM 政策，此政策需要能為 Systems Manager 提供較小存取許可集 (許可應涵蓋維護時段任務)。

• (選用) 對於執行 Run Command 任務的維護時段，您可以選擇傳送 Amazon Simple Notification Service (Amazon SNS) 狀態通知。Run Command 是 Systems Manager 的一項功能。如果要使用此選項，請在完成這些安裝任務之前設定 Amazon SNS 主題。如需有關設定 Systems Manager 的 Amazon SNS 通知的相關資訊，包括建立用於傳送 SNS 通知之 IAM 角色的資訊，請參閱 使用 Amazon SNS 通知監控 Systems Manager 狀態變更。

安裝任務概觀

若要授予使用者註冊維護時段所需的許可，管理員必須執行以下任務。（完整說明請參閱 利用主控台設定維護時段許可。)

任務 1：制定用於自訂維護時段角色的政策

維護時段任務需要 IAM 角色提供在目標資源上執行所需的許可。您執行的任務類型及其他的操作要求決定了此政策的內容。

我們在主題 任務 1：為自訂維護時段服務角色制定政策 提供您可以調整的基本政策。

任務 2：制定用於維護時段任務的自訂服務角色

在任務 1 建立的政策會附加到您在任務 2 建立的維護時段角色。當使用者註冊維護時段任務時，他們將此自訂服務角色指定為任務設定的一部分。此角色的權限可讓 Systems Manager 代您在維護時段執行任務。

重要

之前，Systems Manager 主控台可讓您選擇要用作任務維護角色AWSServiceRoleForAmazonSSM的 AWS 受管 IAM 服務連結角色。不再建議將此角色及其關聯政策 AmazonSSMServiceRolePolicy，用於維護時段任務。如果您現在將此角色用於維護時段任務，我們建議您停止使用。相反，請建立您自己的 IAM 角色，以便在執行維護時段任務時，Systems Manager 可跟其他 AWS 服務 溝通。

任務 3：向註冊維護時段任務的使用者授予使用服務角色的許可

為使用者提供存取自訂維護時段角色的許可，會允許他們在維護時段任務時使用。這是您已經授予他們使用該Maintenance Windows功能的 Systems Manager API 命令的權限之外的附加權限。此角色傳遞了執行維護時段任務所需的許可。因此，如果無法傳遞這些 IAM 許可，使用者就無法使用您的自訂服務角色向維護時段指派任務。

任務 4：(選用)明確拒絕不允許註冊維護時段任務的使用者權限

您可以拒絕您 AWS 帳戶 不想在維護視窗中註冊工作的使用者的ssm:RegisterTaskWithMaintenanceWindow權限。這針對不應註冊維護時段任務的使用者提供了額外的保護層。

主題

• 利用主控台設定維護時段許可