使用角色收集庫存和檢視 OpsData - AWS Systems Manager
詳細目錄的服務連結角色權限 OpsData、和 OpsItems建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色支援 Systems Manager  AWSServiceRoleForAmazonSSM 服務連結角色的區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用角色收集庫存和檢視 OpsData

Systems Manager使用名為AWSServiceRoleForAmazonSSM的服務連結角色。 AWS Systems Manager 使用此IAM服務角色代表您管理 AWS 資源。

詳細目錄的服務連結角色權限 OpsData、和 OpsItems

AWSServiceRoleForAmazonSSM 服務連結角色僅信任 ssm.amazonaws.com 服務擔任此角色。

您可以將 Systems Manager 服務連結角色 AWSServiceRoleForAmazonSSM 用於下列功能:

  • Systems Manager Inventory 功能使用服務連結角色 AWSServiceRoleForAmazonSSM 從標籤和資源群組中收集庫存中繼資料。

  • 此Explorer功能使用服務連結角色AWSServiceRoleForAmazonSSM來啟用檢視 OpsData 和OpsItems從多個帳戶進行檢視。當您從 Explorer 或 OpsCenter 中啟用 Security Hub 作為資料來源時,此服務連結角色也允許 Explorer 建立受管規則。

重要

之前,Systems Manager 主控台可讓您選擇 AWS 受管理的IAM服務連結角色AWSServiceRoleForAmazonSSM來作為工作的維護角色。不再建議將此角色及其關聯政策 AmazonSSMServiceRolePolicy,用於維護時段任務。如果您現在將此角色用於維護時段任務,我們建議您停止使用。而是建立您自己的IAM角色,以便在維護時段工作執行 AWS 服務 時啟用 Systems Manager 與其他人之間的通訊。

如需詳細資訊,請參閱設定 Maintenance Windows

用於為 AWSServiceRoleForAmazonSSM 角色提供許可的受管政策是 AmazonSSMServiceRolePolicy。如需授予許可的詳細資訊,請參閱 AWS 受管理策略:A mazonSSMService RolePolicy

建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

您可以使用主IAM控台建立具有EC2使用案例的服務連結角色。使用 AWS Command Line Interface (AWS CLI) IAM 中的指令或使用 IAMAPI,建立具有ssm.amazonaws.com服務名稱的服務連結角色。如需詳細資訊,請參閱IAM使用指南中的建立服務連結角色

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。

編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

Systems Manager 不允許您編輯 AWSServiceRoleForAmazonSSM 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色

刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用IAM主控台 AWS CLI、或手動刪除服務連結角色。IAM API若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

由於 AWSServiceRoleForAmazonSSM 服務連結角色可同時由多個功能使用,試圖將該角色刪除前,請先確認功能都沒有在使用中。

  • 庫存:如果您刪除庫存功能使用的服務連結角色,則標籤和資源群組的庫存資料將不再同步。手動刪除服務連結角色之前,您必須先清理資源。

  • Explorer:如果您刪除Explorer功能使用的服務連結角色,則跨帳戶和跨區域 OpsData 將無法再檢視。OpsItems

注意

如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForAmazonSSM 所使用的 Systems Manager 資源

  1. 若要刪除標籤,請參閱在個別資源上新增和刪除標籤

  2. 若要刪除資源群組,請參閱從中刪除群組 AWS Resource Groups

若要使用手動刪除AWSServiceRoleForAmazonSSM服務連結角色 IAM

使用IAM主控台 AWS CLI、或刪除AWSServiceRoleForAmazonSSM服務連結角色。IAM API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色

支援 Systems Manager  AWSServiceRoleForAmazonSSM 服務連結角色的區域

Systems Manager支持在所有AWSServiceRoleForAmazonSSM服務可用的 AWS 區域 地方使用服務鏈接角色。如需詳細資訊,請參閱 AWS Systems Manager 端點和配額