Verwenden von Rollen zum Aktivieren des just-in-time Knotenzugriffs - AWS Systems Manager
Dienstbezogene Rollenberechtigungen für Systems Manager just-in-time den KnotenzugriffErstellen einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems ManagerBearbeiten einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems ManagerLöschen einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems ManagerUnterstützte Regionen für die Systems Manager AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpfte Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Rollen zum Aktivieren des just-in-time Knotenzugriffs

Systems Managerverwendet die benannte dienstverknüpfte Rolle. AWSServiceRoleForSystemsManagerJustInTimeAccess AWS Systems Manager verwendet diese IAM-Dienstrolle, um den just-in-time Knotenzugriff zu ermöglichen.

Dienstbezogene Rollenberechtigungen für Systems Manager just-in-time den Knotenzugriff

Die serviceverknüpfte Rolle AWSServiceRoleForSystemsManagerJustInTimeAccess vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • ssm.amazonaws.com

Die Rollenberechtigungsrichtlinie erlaubt Systems Manager die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:

  • ssm:CreateOpsItem

  • ssm:GetOpsItem

  • ssm:UpdateOpsItem

  • ssm:DescribeOpsItems

  • ssm:DescribeSessions

  • ssm:ListTagsForResource

  • ssm-guiconnect:ListConnections

  • identitystore:ListGroupMembershipsForMember

  • identitystore:DescribeUser

  • identitystore:GetGroupId

  • identitystore:GetUserId

  • sso-directory:DescribeUsers

  • sso-directory:IsMemberInGroup

  • sso:ListInstances

  • sso:DescribeRegisteredRegions

  • sso:ListDirectoryAssociations

  • ec2:DescribeTags

Die verwaltete Richtlinie, die zum Bereitstellen von Berechtigungen für die AWSServiceRoleForSystemsManagerJustInTimeAccess-Rolle verwendet wird, ist AWSSystemsManagerEnableJustInTimeAccessPolicy. Einzelheiten zu den Berechtigungen, gewährt werden, finden Sie unter AWS verwaltete Richtlinie: AWSSystems ManagerJustInTimeAccessServicePolicy.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems Manager

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie den just-in-time Knotenzugriff in aktivieren AWS Management Console, Systems Manager wird die dienstverknüpfte Rolle für Sie erstellt.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Außerdem, wenn Sie den Systems Manager Dienst vor dem 19. November 2024 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, dann Systems Manager haben Sie die AWSServiceRoleForSystemsManagerJustInTimeAccess Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter In meinem IAM-Konto wird eine neue Rolle angezeigt.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie den just-in-time Knotenzugriff in aktivieren AWS Management Console, Systems Manager wird die dienstverknüpfte Rolle erneut für Sie erstellt.

Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit der AWS Servicerolle zu erstellen, die es Systems Manager ermöglicht, den just-in-time Knotenzugriff zu aktivieren. Anwendungsfall. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem ssm.amazonaws.com Dienstnamen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

Bearbeiten einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems Manager

Systems Manager lässt die Bearbeitung der serviceverknüpften Rolle namens AWSServiceRoleForSystemsManagerJustInTimeAccess nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpften Rolle für Systems Manager

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Systems Manager-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So löschen Sie die AWSServiceRoleForSystemsManagerJustInTimeAccess-servicegebundene Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForSystemsManagerJustInTimeAccess dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für die Systems Manager AWSServiceRoleForSystemsManagerJustInTimeAccess-serviceverknüpfte Rolle

AWS-Region Name Regions-ID Unterstützung in Systems Manager
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Ja
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Ja
Asien-Pazifik (Seoul) ap-northeast-2 Ja
Asien-Pazifik (Singapore) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Ja
Europa (Frankfurt) eu-central-1 Ja
Europa (Ireland) eu-west-1 Ja
Europa (London) eu-west-2 Ja
Europa (Paris) eu-west-3 Ja
Europa (Stockholm) eu-north-1 Ja
Südamerika (São Paulo) sa-east-1 Ja
AWS GovCloud (US) us-gov-west-1 Nein