本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

使用 AMS SSP 在您的 AMS AWS Systems Manager 账户中配置自动化

使用 AMS 自助服务配置 (SSP) 模式，直接在您的 AMS 托管账户中访问 AWS Systems Manager 自动化功能。 AWS Systems Manager 自动化使用运行手册、操作和服务配额简化了 Amazon Elastic Compute Cloud 实例和其他 AWS 资源的常见维护和部署任务。它使您能够大规模构建、执行和监控自动化。Systems Manager Automation 是一种系统管理器文档，它定义了系统管理器对您的托管实例执行的操作。一本运行手册，用于执行常见的维护和部署任务，例如在托管实例中运行命令或自动化脚本。Systems Manager 包括一些功能，可帮助您使用亚马逊弹性计算云标签定位大量实例，以及帮助您根据定义的限制推出更改的速度控制。运行手册是使用 JavaScript 对象表示法 (JSON) 或 YAML 编写的。但是，通过使用 Systems Manager 自动化中的文档生成器，您可以创建运行手册，而无需使用本机 JSON 或 YAML 创作。或者，您可以使用 Systems Manager 提供的运行手册，其中包含适合您需求的预定义步骤。要了解更多信息，请参阅 AWS Systems Manager 文档中的使用运行手册。

AWS Systems Manager AWS Managed Services 中的自动化常见问题解答

常见问题和答案：

问：如何通过我的 AMS 账户申请访问 Systems Manager Automation？

通过管理 | AWS 服务 | 自配置服务 | 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请 AWS Systems Manager 自动化的访问权限。此 RFC 为您的账户配置以下 IAM 角色:customer_systemsmanager_automation_console_role. 在您的账户中配置该角色后，您必须在联合解决方案中加入该角色。

问：在我的 AMS 账户中使用 AWS Systems Manager 自动化有什么限制？

你需要编写运行手册，只有在托管实例中运行命令 and/or 脚本时，Systems Manager 支持的操作有限。下文概述了可供您执行的操作以及任何限制。

您也可以选择使用 Systems Manager 控制台中的 “运行命令” 功能直接RunPowerShellScript 使用 Systems Manager 提供的运行手册 AWS RunShellScript 和 AWS 运行手册运行命令或脚本。您还可以将这些运行手册嵌套在运行手册中，以满足额外的 and/or 后期验证或任何复杂的自动化逻辑。

该角色遵循最低权限原则，仅提供创作、执行和检索旨在在托管实例中执行命令 and/or 脚本的 runbook 的执行详细信息所需的权限。它不为 AWS Systems Manager 服务提供的任何其他功能提供权限。虽然该功能允许您编写自动化运行手册，但不能将运行手册的执行定向 AMS 拥有的资源。

问：在我的 AMS 账户中使用 AWS Systems Manager 自动化的先决条件或依赖条件是什么？

没有先决条件；但是，在编写运行手册时，必须确保 and/or 遵守内部流程合规性控制。我们还建议在根据生产资源执行运行手册之前，对其进行全面测试。

问：Systems Manager 策略customer_systemsmanager_automation_policy能否附加到其他 IAM 角色？

不可以，与其他启用自行配置的服务不同，此策略只能分配给已配置的默认角色。customer_systemsmanager_automation_console_role

与其他 SSP 角色的策略不同，此 SSM SSP 策略不能与其他自定义 IAM 角色共享，因为此 AMS 服务仅用于在托管实例中运行命令或自动化脚本。如果允许将这些权限附加到其他自定义 IAM 角色（可能具有其他服务的权限），则允许的操作范围可能会扩展到托管服务，并可能降低您账户的安全状况。

要根据我们的 AMS 技术标准评估任何变更请求 (RFCs)，请与您各自的云架构师或服务交付经理合作，请参阅 RFC 安全审查。