Systems Manager 的代入角色配置 - AWS Systems Manager
要为 Systems Manager 快速设置功能创建代入角色,请执行以下操作:权限策略

• AWS Systems Manager Change Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 AWS Systems Manager Change Manager 可用性变更

 

• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 Amazon CloudWatch 控制面板文档

Systems Manager 的代入角色配置

要为 Systems Manager 快速设置功能创建代入角色,请执行以下操作:

Systems Manager 快速设置功能需要一个允许 Systems Manager 在您的账户中安全地执行操作的角色。此角色向 Systems Manager 授予在您的实例上运行命令以及代表您配置 EC2 实例、IAM 角色和其他 Systems Manager 资源所需的权限。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中选择策略,然后选择创建策略

  3. 使用下面的 JSON 添加 SsmOnboardingInlinePolicy 策略。(此策略启用将实例配置文件权限附加到您指定的实例所需的操作。例如,允许创建实例配置文件并将其与 EC2 实例关联)。

  4. 完成后,在左侧导航窗格中选择角色,然后选择创建角色

  5. 对于可信实体类型,请保留默认值(服务)。

  6. 使用案例下,选择 Systems Manager,然后选择下一步

  7. 添加权限页面上:

  8. 添加 SsmOnboardingInlinePolicy 策略。

  9. 选择下一步

  10. 对于角色名称,输入一个描述性名称(例如,AmazonSSMRoleForAutomationAssumeQuickSetup)。

  11. (可选)添加帮助识别和组织角色的标签。

  12. 选择创建角色

重要

该角色必须包括与 ssm.amazonaws.com 的信任关系。当您在步骤 4 中选择 Systems Manager 作为服务时,系统会自动进行配置。

创建角色后,可以在配置快速设置功能时将其选中。该角色使 Systems Manager 能够代表您管理 EC2 实例、IAM 角色和其他 Systems Manager 资源并运行命令,同时通过特定的有限权限维护安全。

权限策略

SsmOnboardingInlinePolicy

以下策略定义了 Systems Manager 快速设置功能的权限:

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:ListInstanceProfilesForRole",
                "ec2:DescribeIamInstanceProfileAssociations",
                "iam:GetInstanceProfile",
                "iam:AddRoleToInstanceProfile"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssociateIamInstanceProfile"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "Null": {
                    "ec2:InstanceProfile": "true"
                },
                "ArnLike": {
                    "ec2:NewInstanceProfile": "arn:aws:iam::*:instance-profile/[INSTANCE_PROFILE_ROLE_NAME]"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/[INSTANCE_PROFILE_ROLE_NAME]",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        }
    ]
        }
信任关系

这是通过上述步骤自动添加的

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
        }