创建 IAM 角色以按需修补 AMS Accelerate - AMS 加速用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 IAM 角色以按需修补 AMS Accelerate

在您的账户加入 AMS Accelerate 补丁后,AMS Accelerate 会部署托管策略,即 amspatchmanagedpolicy。此策略包含使用 AMS 自动化文档AWSManagedServices-PatchInstance进行按需修补所需的权限。要使用此自动化文档,账户管理员需要为用户创建一个 IAM 角色。按照以下步骤进行操作:

使用以下方法创建角色 AWS Management Console

  1. 登录 AWS Management Console 并打开 IAM 控制台

  2. 在控制台的导航窗格中,选择角色,然后选择创建角色

  3. 选择其他 AWS 账户角色类型。

  4. 账户 ID 中,输入您想要授予资源访问权限的 AWS 账户 ID。

    指定账户的管理员可向该账户中的任何 IAM 用户授予担任该角色的权限。为此,管理员向用户或群组附加一个策略,授予 sts: AssumeRole 操作的权限。该策略必须将角色的 Amazon 资源名称 (ARN) 指定为资源。请注意以下几点:

    • 如果您向来自您无法控制的账户的用户授予权限,并且这些用户将以编程方式担任此角色,请选择 “需要外部 ID”。外部 ID 可以是您和第三方账户管理员之间达成一致的任何字词或数字。此选项会自动向信任策略添加一个条件,即只有在请求包含正确的 STS: externalID 时,用户才能代入该角色。有关更多信息,请参阅在向第三方授予对您的 AWS 资源的访问权限时如何使用外部 ID

    • 如果要将角色限制为使用多重身份验证 (MFA) 登录的用户,请选择需要 MFA。这将向角色的信任策略中添加用于检查 MFA 登录的条件。需要担任角色的用户必须使用配置的 MFA 设备中的临时一次性密码进行登录。没有 MFA 身份验证的用户无法担任该角色。有关 MFA 的更多信息,请参阅中的使用多重身份验证 (MFA)。 AWS

  5. 选择下一步: 权限

    IAM 包含账户中的策略列表。在 “添加权限” 下,在筛选框中输入 amspatchmanagedpolicy,然后选中此权限策略的复选框。单击下一步

  6. 角色详细信息下,输入角色名称 PatchRole,例如,添加角色描述(推荐),并添加标签以帮助您识别此角色。角色名称不区分大小写,但必须是唯一的 AWS 账户。完成后,单击 “创建角色”。

    注意

    角色名称在创建后无法进行编辑。