使用角色來收集庫存並查看 OpsData:AWSServiceRoleForAmazonSSM - AWS Systems Manager

使用角色來收集庫存並查看 OpsData:AWSServiceRoleForAmazonSSM

AWS Systems Manager 使用 AWS Identity and Access Management (IAM) 服務連結的角色。服務連結角色是直接連結至 Systems Manager 的一種特殊 IAM 角色類型。服務連結角色由 Systems Manager 預先定義,且內含該服務代您呼叫其他 AWS 服務 所需的所有許可。

服務連結的角色可讓設定 Systems Manager 更為簡單,因為您不必手動新增必要的許可。Systems Manager​ 定義其服務連結角色的許可,除非另有定義,否則僅有 Systems Manager 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。

您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您 Systems Manager 的資源,避免您不小心移除資源的存取許可。

如需關於支援服務連結角色的其他服務資訊,請參閱可搭配 IAM 運作的 AWS 服務,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。

Systems Manager 的服務連結角色許可

Systems Manager 使用名為 AWSServiceRoleForAmazonSSM 的服務連結角色 – AWS Systems Manager 使用此 IAM 服務角色來代表您管理 AWS 資源。

AWSServiceRoleForAmazonSSM 服務連結角色僅信任 ssm.amazonaws.com 服務擔任此角色。

兩個 Systems Manager 功能使用服務連結角色:

  • 庫存功能需要服務連結角色。角色允許系統從標籤和資源群組收集庫存中繼資料。

  • Explorer 功能使用服務連結角色,以便從多個帳戶中檢視 OpsData 和 OpsItems。當您從 Explorer 或 OpsCenter 中允許 Security Hub 作為資料來源時,此服務連結角色也允許 Explorer 建立受管規則。

    重要

    先前,Systems Manager 主控台可讓您選擇 AWS 管理的 IAM 服務連結角色 AWSServiceRoleForAmazonSSM 用作任務的維護角色。不再建議將此角色及其關聯政策 AmazonSSMServiceRolePolicy,用於維護時段任務。如果您現在將此角色用於維護時段任務,我們建議您停止使用。相反,請建立您自己的 IAM 角色,以便在執行維護時段任務時,Systems Manager 可跟其他 AWS 服務 溝通。

    如需詳細資訊,請參閱 設定 Maintenance Windows

用於為 AWSServiceRoleForAmazonSSM 角色提供許可的受管政策是 AmazonSSMServiceRolePolicy。如需授予許可的詳細資訊,請參閱 AWS 受管政策:AmazonSSMServiceRolePolicy

建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

您可以在 IAM 主控台透過 EC2 使用案例建立服務連結角色。使用 AWS Command Line Interface (AWS CLI) 中的 IAM 命令或使用 IAM API,建立使用 ssm.amazonaws.com 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的建立服務連結角色

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。

編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

Systems Manager 不允許您編輯 AWSServiceRoleForAmazonSSM 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台、AWS CLI 或 IAM API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

由於 AWSServiceRoleForAmazonSSM 服務連結角色可同時由多個功能使用,試圖將該角色刪除前,請先確認功能都沒有在使用中。

  • 庫存:如果您刪除庫存功能使用的服務連結角色,則標籤和 Resource Groups 的庫存資料將不再同步。手動刪除服務連結角色之前,您必須先清理資源。

  • Explorer:如果您使用 Explorer 功能刪除服務連結角色,則跨帳戶和跨區域 OpsData 與 OpsItems 不再可檢視。

注意

如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForAmazonSSM 所使用的 Systems Manager 資源

  1. 若要刪除標籤,請參閱在個別資源上新增和刪除標籤

  2. 若要刪除資源群組,請參閱從 AWS Resource Groups 刪除群組

  3. 若要刪除維護時段任務,請參閱《更新或取消註冊維護時段任務 (主控台)》。

若要使用 IAM 手動刪除 AWSServiceRoleForAmazonSSM 服務連結角色

使用 IAM 主控台、AWS CLI 或 IAM API 刪除 AWSServiceRoleForAmazonSSM 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

Systems ManagerAWSServiceRoleForAmazonSSM 服務連結角色的支援區域

Systems Manager 支援在所有提供服務的 AWS 區域 中,使用 AWSServiceRoleForAmazonSSM 服務連結角色。如需詳細資訊,請參閱 AWS Systems Manager 端點和配額