使用角色來收集庫存、執行維護期間任務,以及檢視 OpsData:AWSServiceRoleForAmazonSSM - AWS Systems Manager

使用角色來收集庫存、執行維護期間任務,以及檢視 OpsData:AWSServiceRoleForAmazonSSM

AWS Systems Manager 使用 AWS Identity and Access Management (IAM) 服務連結的角色。服務連結角色是直接連結至 Systems Manager 的一種特殊 IAM 角色類型。服務連結角色由 Systems Manager 預先定義,且內含該服務代您呼叫其他 AWS 服務所需的所有許可。

服務連結的角色可讓設定 Systems Manager 更為簡單,因為您不必手動新增必要的許可。Systems Manager​ 定義其服務連結角色的許可,除非另有定義,否則僅有 Systems Manager 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。

您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您 Systems Manager 的資源,避免您不小心移除資源的存取許可。

如需關於支援服務連結角色的其他服務資訊,請參閱《可搭配 IAM 運作的 AWS 服務》,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。

Systems Manager 的服務連結角色許可

Systems Manager 使用名為 AWSServiceRoleForAmazonSSM 的服務連結角色 – AWS Systems Manager 使用此 IAM 服務角色來代表您管理 AWS 資源。

AWSServiceRoleForAmazonSSM 服務連結角色僅信任 ssm.amazonaws.com 服務擔任此角色。

三個 Systems Manager 功能使用服務連結角色:

  • 庫存功能需要服務連結角色。角色允許系統從標籤和資源群組收集庫存中繼資料。

  • Systems Manager Maintenance Windows 可以選擇使用服務連結角色。此角色允許 Maintenance Windows 服務在目標節點上執行維護任務。Systems Manager 的服務連結角色不一定會提供所有案例需要的許可。如需詳細資訊,請參閱 我應該使用服務連結角色還是自訂服務角色來執行維護時段任務?

  • Explorer 功能使用服務連結角色,以便從多個帳戶中檢視 OpsData 和 OpsItems。當您從 Explorer 或 OpsCenter 中允許 Security Hub 作為資料來源時,此服務連結角色也允許 Explorer 建立受管規則。

用於為 AWSServiceRoleForAmazonSSM 角色提供許可的受管政策是 AmazonSSMServiceRolePolicy。如需授予許可的詳細資訊,請參閱 AWS 受管政策:AmazonSSMServiceRolePolicy

建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

您可以在 IAM 主控台透過 EC2 使用案例建立服務連結角色。使用 AWS Command Line Interface (AWS CLI) 中的 IAM 命令或使用 IAM API,建立使用 ssm.amazonaws.com 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的建立服務連結角色

若是維護時段,您便不需要手動建立服務連結角色 (僅限維護時段)。在 AWS Management Console、AWS CLI 或 Systems Manager API 中建立維護時段任務時,如果您選擇不提供自訂服務角色,Systems Manager 會為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。

編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

Systems Manager 不允許您編輯 AWSServiceRoleForAmazonSSM 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台、AWS CLI 或 IAM API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

由於 AWSServiceRoleForAmazonSSM 服務連結角色可同時由多個功能使用,試圖將該角色刪除前,請先確認功能都沒有在使用中。

  • 庫存:如果您刪除庫存功能使用的服務連結角色,則標籤和 Resource Groups 的庫存資料將不再同步。手動刪除服務連結角色之前,您必須先清理資源。

  • Maintenance Windows:如果任何維護時段任務正在使用該服務連結角色,您便無法刪除該角色。您必須先從任務移除服務連結角色,才能刪除該角色。

  • Explorer:如果您使用 Explorer 功能刪除服務連結角色,則跨帳戶和跨區域 OpsData 與 OpsItems 不再可檢視。

注意

若 Systems Manager 服務在您嘗試刪除標籤、資源群組或維護時段任務時正在使用該角色,刪除便可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForAmazonSSM 所使用的 Systems Manager 資源

  1. 若要刪除標籤,請參閱在個別資源上新增和刪除標籤

  2. 若要刪除資源群組,請參閱從 AWS Resource Groups 刪除群組

  3. 若要刪除維護時段任務,請參閲《更新或取消註冊維護時段任務 (主控台)》。

若要使用 IAM 手動刪除 AWSServiceRoleForAmazonSSM 服務連結角色

使用 IAM 主控台、AWS CLI 或 IAM API 刪除 AWSServiceRoleForAmazonSSM 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

Systems ManagerAWSServiceRoleForAmazonSSM 服務連結角色的支援區域

Systems Manager 支援在所有提供服務的 AWS 區域 中,使用 AWSServiceRoleForAmazonSSM 服務連結角色。如需詳細資訊,請參閱 AWS Systems Manager 端點和配額