使用 建立自動化的服務角色 CloudFormation - AWS Systems Manager
使用 CloudFormation建立服務角色複製自動化的角色資訊

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 建立自動化的服務角色 CloudFormation

您可以從 AWS CloudFormation 範本為 中的工具 Automation AWS Systems Manager建立服務角色。在您建立服務角色之後,您可以使用參數 AutomationAssumeRole 在 Runbook 中指定服務角色。

使用 CloudFormation建立服務角色

使用下列程序建立 Systems Manager Automation 所需的 AWS Identity and Access Management (IAM) 角色 CloudFormation。

建立必要的 IAM 角色

  1. 下載並解壓縮 AWS-SystemsManager-AutomationServiceRole.zip 檔案。此檔案包含 AWS-SystemsManager-AutomationServiceRole.yaml CloudFormation 範本檔案。

  2. 在 https://https://console.aws.amazon.com/cloudformation 開啟 CloudFormation 主控台。

  3. 選擇 Create Stack (建立堆疊)。

  4. Specify template (指定範本) 區段中,選擇 Upload a template file (上傳範本檔案)

  5. 選擇瀏覽,然後選擇AWS-SystemsManager-AutomationServiceRole.yaml CloudFormation 範本檔案。

  6. 選擇下一步

  7. Specify stack details (指定堆疊詳細資訊) 頁面,於 Stack name (堆疊名稱) 欄位輸入名稱。

  8. Configure stack options (設定堆疊選項) 頁面上,您不需要進行任何選取。選擇下一步

  9. 檢閱頁面上,向下捲動並選擇我確認 CloudFormation 可能會建立 IAM 資源選項。

  10. 選擇建立

CloudFormation 會顯示 CREATE_IN_PROGRESS 狀態大約三分鐘。在堆疊建立且您的角色可使用之後,狀態會變更為 CREATE_COMPLETE (CREATE_COMPLETE)

重要

如果您執行可使用 AWS Identity and Access Management (IAM) 服務角色叫用其他服務的自動化工作流程,請注意您必須為該服務角色設定可叫用這些服務的許可。此需求適用於所有 AWS Automation Runbook (AWS-* Runbook),例如 AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance Runbook。此要求也適用於您建立的任何自訂 Automation Runbook, AWS 服務 透過使用呼叫其他 服務的動作來叫用其他 。例如,如果您使用 aws:executeAwsApiaws:createStackaws:copyImage 動作,為服務角色設定可叫用這些服務的許可。您可新增 IAM 內嵌政策到角色,以啟用其他 AWS 服務 的許可。如需詳細資訊,請參閱(選用) 新增自動化內嵌政策或客戶受管政策以叫用其他 AWS 服務

複製自動化的角色資訊

使用下列程序從 CloudFormation 主控台複製 Automation 服務角色的相關資訊。使用 Runbook 時,必須指定這些角色。

注意

如果您執行 AWS-UpdateLinuxAmiAWS-UpdateWindowsAmi Runbook,則不需要使用此程序複製角色資訊。這些 Runbook 已將所需的角色指定為預設值。這些 Runbook 中指定的角色使用 IAM 受管政策。

複製角色名稱

  1. 在 https://https://console.aws.amazon.com/cloudformation 開啟 CloudFormation 主控台。

  2. 選取您在上一個程序中建立的自動化 Stack name (堆疊名稱)

  3. 選擇 Resources (資源) 標籤。

  4. AutomationServiceRole 選擇 Physical ID (實體 ID) 連結。IAM 主控台會開啟自動化服務角色的摘要。

  5. 複製 Role ARN (角色 ARN) 旁邊的 Amazon Resource Name (ARN)。ARN 的格式類似如下:arn:aws:iam::12345678:role/AutomationServiceRole

  6. 將 ARN 貼入文字檔案以供日後使用。

您已完成自動化服務角色的設定。您現在可以在 Runbook 中使用 Automation 服務角色 ARN。