使用以下过程创建角色,以便 Systems Manager 可以在Maintenance Window中代表您运行任务。

为Maintenance Window创建 IAM 角色

  1. Open the IAM console at                              https://console.aws.amazon.com/iam/.

  2. 在导航窗格中,选择 Roles,然后选择 Create Role

  3. Select type of trusted entity 下,选择 AWS service。在 Choose the service that will use this role 下,选择 EC2。在 Select your use case 下,选择 EC2,然后选择 Next: Permissions

  4. 在策略列表中,选中 AmazonSSMMaintenanceWindowRole 旁边的复选框,然后选择 Next: Review

  5. Role name 中,输入用于将此角色标识为 Maintenance Window 角色的名称。

  6. 选择 Create role。系统将让您返回到 Roles 页。

  7. 选择刚才创建的角色的名称。

  8. 选择 Trust relationships 选项卡,然后选择 Edit trust relationship

  9. 删除当前策略,然后将下面的策略复制并粘贴到 Policy Document 字段中:


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":[
               "ec2.amazonaws.com",
               "ssm.amazonaws.com",
               "sns.amazonaws.com"
            ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


  1. 注意

    仅当要使用 Amazon SNS 发送与通过 Run Command 运行的Maintenance Window任务相关的通知时,才需要 "sns.amazonaws.com"。有关更多信息,请参阅步骤 11。

  2. 选择 Update Trust Policy,然后复制或记下 Summary 页面上的角色名称和 Role ARN 值。当您创建Maintenance Window时,将要指定此信息。

  3. 如果要将Maintenance Window配置为在通过 Run Command 命令任务运行时使用 Amazon SNS 发送有关命令状态的通知,请执行以下操作:

    1. 选择 Permissions 选项卡。

    2. 选择 Add inline policy,然后选择 JSON 选项卡。

    3. Policy Document 中,粘贴以下内容:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:Pa***ole",
      "Resource": "sns-access-role-arn"
    }
  ]
}


    1. sns-access-role-arn 表示用于发送与 Maintenance Window 相关的 SNS 通知的 IAM 角色的 ARN,格式为 arn:aws:iam::account-id:role/role-name.例如:arn:aws:iam::111222333444:role/SNS-Access-role

      注意

      在 Systems Manager 控制台中,可在 Register run command task 页面上的 IAM Role 列表中选择此 ARN。有关信息,请参阅 向Maintenance Window分配任务。在 Systems Manager API 中,在 SendCommand 请求中作为 ServiceRoleArn 的值输入此 ARN。

    2. 选择查看策略

    3. Name 框中键入名称,将其标识为允许发送 Amazon SNS 通知的策略。

  2. 选择 Create policy


将 IAM Pa***ole 策略分配给 IAM 用户账户

    在向Maintenance Window注册任务时,需要指定在上一步中创建的角色。这是代表您运行任务时服务要代入的角色。要注册任务,您必须将 IAM Pa***ole 策略分配给 IAM 用户账户。以下过程中的策略提供了向Maintenance Window注册任务所需的最低权限。

将 IAM Pa***ole 策略分配给 IAM 用户账户

  1. 在 IAM 控制台导航窗格中,选择用户,然后选择您要更新的用户账户名称。

  2. 权限选项卡的策略列表中,验证是否已列出 AmazonSSMFullAccess 策略,或是否存在可向 IAM 用户授予调用 Systems Manager API 的权限的类似策略。

  3. 选择添加内联策略

  4. 创建策略页面的选择服务区域,选择选择服务,然后选择 IAM

  5. 选择选择操作,然后选择 Pa***ole

    提示

    在筛选框中键入 pa*** 可快速找到 Pa***ole

  6. 选择资源行,然后选择添加 ARN

  7. Specify ARN for role 字段中,粘贴您在上一过程中创建的角色 ARN,然后选择保存更改

  8. 选择查看策略

  9. 查看策略页面上的名称框中键入名称,然后选择创建策略