設定 Maintenance Windows - AWS Systems Manager

設定 Maintenance Windows

您 AWS 帳戶 中的使用者必須先獲得必要許可,才能使用 Maintenance Windows (AWS Systems Manager 功能) 建立和排程維護時段任務。若要將這些許可授予給使用者,管理員必須執行這兩個任務:

任務 1:設定執行個體的許可

透過執行以下其中一項,將在執行個體上執行維護時段任務所需的 AWS Identity and Access Management (IAM) 許可提供給 Maintenance Windows 服務:

  • 建立用於維護時段任務的自訂服務角色

  • 建立 Systems Manager 的服務連結角色

當您建立維護時段任務時,可以在設定期間指定這些角色的其中之一。這可讓 Systems Manager 代您執行維護時段中的任務。

注意

Systems Manager 的服務連結角色可能已在您的帳戶中建立。目前,服務連結角色也會提供 Systems Manager 庫存和 Systems Manager Explorer 的許可。如需更多詳細資訊,請參閱 使用角色來收集庫存、執行維護期間任務,以及檢視 OpsData:AWSServiceRoleForAmazonSSM

為了協助您決定要搭配維護時段任務使用自訂服務角色或 Systems Manager 服務連結角色,請您參閱 我應該使用服務連結角色還是自訂服務角色來執行維護時段任務?

任務 2:設定允許註冊維護時段任務的使用者許可

針對您 AWS 帳戶 中可指派任務給維護時段的使用者,授予 iam:PassRole 許可。這可讓他們將角色傳遞給維護時段服務。如果沒有此明確 IAM 許可,使用者無法在使用自訂服務角色來執行維護時段任務時,將任務指派到維護時段。

任務 3:設定允許註冊維護時段任務的使用者許可

拒絕 AWS 帳戶 中您不想註冊維護時段任務之使用者的 ssm:RegisterTaskWithMaintenanceWindow 許可。這可防止使用者在維護時段任務登錄請求中使用服務連結的角色來註冊維護時段任務。

開始之前

為了完成本節中的任務,您需要下列其中一個或兩個資源。

  • 您正在將許可指派給 IAM 使用者或群組。這些使用者或群組應該已經獲得維護時段的一般使用許可。您可以透過將 IAM 政策 AmazonSSMFullAccess 指派給使用者或群組,或建立並指派提供 Systems Manager 較小存取許可集的 IAM 政策 (此許可涵蓋維護時段任務) 來這麼做。如需詳細資訊,請參閱建立使用者群組建立使用者並指派許可

  • (選用) 對於執行 Run Command 任務的維護時段,您可以選擇要傳送的 Amazon Simple Notification Service (Amazon SNS) 狀態通知。如需有關設定 Systems Manager 的 Amazon SNS 通知的相關資訊,包括建立用於傳送 SNS 通知之 IAM 角色的資訊,請參閱 使用 Amazon SNS 通知監控 Systems Manager 狀態變更

我應該使用服務連結角色還是自訂服務角色來執行維護時段任務?

若要在目標執行個體上執行維護任務,Maintenance Windows 服務必須被允許在您的執行個體中存取和執行任務。您可以透過指定 Systems Manager 服務連結角色或自訂服務角色當作任務組態的一部分來授與這項許可。

您該選擇哪種類型的角色,取決於下列因素:

自訂服務角色:若是下列案例,請針對維護時段任務使用自訂服務角色:

  • 如果您想要使用 Amazon SNS 來傳送有關 Run Command 任務在維護時段中註冊的資訊。如需詳細資訊,請參閱以下主題:

  • 如果您想要使用比服務連結的角色提供更嚴格的一組權限。此服務連結角色支援非常有限的資源層級限制條件。例如,假設您想要在有限的執行個體上執行維護時段任務,或者您僅想允許特定 Systems Manager 文件 (SSM 文件) 在目標執行個體上執行。在這些情況下,您需要在自訂服務角色上指定更嚴格的權限。

  • 如果您需要比服務連結的角色提供更寬鬆的一組許可。有些 Automation Runbook 中的動作需要寬鬆的許可。

    例如,有些自動化動作搭配 AWS CloudFormation 堆疊運作。因此,cloudformation:CreateStackcloudformation:DescribeStack 以及 cloudformation:DeleteStack 許可是必要的。

    另一個範例:Automation Runbook AWS-CopySnapshot 需要建立 Amazon Elastic Block Store (Amazon EBS) 快照的許可,因此服務角色需要許可 ec2:CreateSnapshot。Systems Manager 的服務連結角色未包含此許可。

    如需 Automation Runbook 所需的角色許可資訊,請參閱 Systems Manager Automation Runbook 參考 中的文件描述。

Systems Manager 服務連結的角色:建議您在所有其他案例也使用 Systems Manager 服務連結的角色。

如需 Systems Manager 服務連結角色的詳細資訊,請參閱 使用 的服務連結角色Systems Manager