为 Systems Manager 创建 IAM 角色
使用以下过程创建角色,以便 Systems Manager 可以在Maintenance Window中代表您运行任务。
为Maintenance Window创建 IAM 角色
Open the IAM console at https://console.aws.amazon.com/iam/.
在导航窗格中,选择 Roles,然后选择 Create Role。
在 Select type of trusted entity 下,选择 AWS service。在 Choose the service that will use this role 下,选择 EC2。在 Select your use case 下,选择 EC2,然后选择 Next: Permissions。
在策略列表中,选中 AmazonSSMMaintenanceWindowRole 旁边的复选框,然后选择 Next: Review。
在 Role name 中,输入用于将此角色标识为 Maintenance Window 角色的名称。
选择 Create role。系统将让您返回到 Roles 页。
选择刚才创建的角色的名称。
选择 Trust relationships 选项卡,然后选择 Edit trust relationship。
删除当前策略,然后将下面的策略复制并粘贴到 Policy Document 字段中:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":[ "ec2.amazonaws.com", "ssm.amazonaws.com", "sns.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ] }
注意
仅当要使用 Amazon SNS 发送与通过 Run Command 运行的Maintenance Window任务相关的通知时,才需要
"sns.amazonaws.com"
。有关更多信息,请参阅步骤 11。选择 Update Trust Policy,然后复制或记下 Summary 页面上的角色名称和 Role ARN 值。当您创建Maintenance Window时,将要指定此信息。
如果要将Maintenance Window配置为在通过 Run Command 命令任务运行时使用 Amazon SNS 发送有关命令状态的通知,请执行以下操作:
选择 Permissions 选项卡。
选择 Add inline policy,然后选择 JSON 选项卡。
在 Policy Document 中,粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:Pa***ole", "Resource": "sns-access-role-arn" } ] }
sns-access-role-arn
表示用于发送与 Maintenance Window 相关的 SNS 通知的 IAM 角色的 ARN,格式为arn:aws:iam::
例如:account-id
:role/role-name
.arn:aws:iam::111222333444:role/SNS-Access-role
。注意
在 Systems Manager 控制台中,可在 Register run command task 页面上的 IAM Role 列表中选择此 ARN。有关信息,请参阅 向Maintenance Window分配任务。在 Systems Manager API 中,在 SendCommand 请求中作为 ServiceRoleArn 的值输入此 ARN。
选择查看策略。
在 Name 框中键入名称,将其标识为允许发送 Amazon SNS 通知的策略。
选择 Create policy。
将 IAM Pa***ole 策略分配给 IAM 用户账户
在向Maintenance Window注册任务时,需要指定在上一步中创建的角色。这是代表您运行任务时服务要代入的角色。要注册任务,您必须将 IAM Pa***ole 策略分配给 IAM 用户账户。以下过程中的策略提供了向Maintenance Window注册任务所需的最低权限。
将 IAM Pa***ole 策略分配给 IAM 用户账户
在 IAM 控制台导航窗格中,选择用户,然后选择您要更新的用户账户名称。
在权限选项卡的策略列表中,验证是否已列出
AmazonSSMFullAccess
策略,或是否存在可向 IAM 用户授予调用 Systems Manager API 的权限的类似策略。选择添加内联策略。
在创建策略页面的选择服务区域,选择选择服务,然后选择 IAM。
选择选择操作,然后选择 Pa***ole。
提示
在筛选框中键入
pa***
可快速找到 Pa***ole。选择资源行,然后选择添加 ARN。
在 Specify ARN for role 字段中,粘贴您在上一过程中创建的角色 ARN,然后选择保存更改。
选择查看策略。
在查看策略页面上的名称框中键入名称,然后选择创建策略。
转载于:https://blog.51cto.com/rainy0426/2121606