View a markdown version of this page

Rôles IAM créés par la console Systems Manager - AWS Systems Manager

• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la documentation Amazon CloudWatch Dashboard.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles IAM créés par la console Systems Manager

Lorsque vous créez un Cloud Connector dans le Systems Manager AWS Management Console, Systems Manager crée et configure trois rôles IAM en votre Compte AWS nom. Il attribue également un rôle d'instance gérée aux machines virtuelles Azure enregistrées via le connecteur. Les rôles établissent la chaîne de confiance entre Systems ManagerState Manager, Automation et Azure via la fédération OpenID Connect (OIDC). Cette chaîne de confiance permet à Systems Manager d'exécuter des runbooks d'automatisation sur vos machines virtuelles Azure sans avoir à conserver de secrets de longue date.

Chaque nom de rôle utilise le modèleSSM-AzureType-connector-name-id8, où se connector-name trouve le nom d'affichage que vous avez fourni (nettoyé en caractères alphanumériques, tirets et traits de soulignement, puis tronqué pour correspondre à la limite de 64 caractères du nom de rôle d'IAM) et id8 se compose des huit premiers caractères d'un UUID. Les rôles sont créés dans le chemin /service-role/ IAM.

La console crée les rôles dans cet ordre :

  1. Rôle de fédération Azure, avec une politique de confiance qui désigne initialement uniquement le principal du service Systems Manager comme entité de confiance.

  2. L'automatisation assume un rôle et le rôle de répartition de l'automatisation.

  3. La console met ensuite à jour la politique de confiance du rôle de fédération Azure pour ajouter le rôle d'automatisation et le rôle de distribution d'automatisation en tant que principes fiables. Après cette mise à jour, la politique de confiance est celle présentée dansRôle de fédération Azure.

Note

La console Systems Manager crée ces rôles uniquement lors de l'assistant de configuration de Cloud Connector. Si vous créez un Cloud Connector avec AWS CLI (comme décrit dansÉtape 2 : Création d'un connecteur Cloud Systems Manager), vous devez créer les rôles vous-même. Les politiques de confiance et d'autorisation présentées dans cette section indiquent le JSON que vous pouvez utiliser pour les recréer. Si vous recréez les rôles, procédez comme suit :

  • Créez les trois rôles (fédération Azure, hypothèse d'automatisation et répartition automatique) dans le chemin /service-role/ IAM. Les politiques d'autorisation et la politique de confiance du rôle de fédération Azure font référence aux rôles des ARN qui incluent ce chemin.

  • Marquez le rôle d'automatisation et le rôle de répartition de l'automatisation avec la balise principalecaller=SSM. La politique de confiance du rôle de fédération Azure nécessite cette balise.

Tous les appels d'API effectués par ces rôles sont enregistrés dans AWS CloudTrail (CloudTrail). Pour plus d'informations sur la connexion à Systems Manager CloudTrail, consultezJournalisation des appels d' AWS Systems Manager API avec AWS CloudTrail.