• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 Amazon CloudWatch Dashboard 文件。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Azure 聯合角色
Azure 聯合角色可讓 Systems Manager 從 AWS Security Token Service (AWS STS) 取得 Web 身分字符,並透過 OIDC 聯合交換 Azure 憑證。Automation 在執行 Runbook 期間擔任此角色,以向您的 Azure 租用戶進行身分驗證。Systems Manager 服務也會直接擔任此角色,以便在存在任何State Manager關聯之前驗證 Cloud Connector。
角色名稱模式: SSM-AzureRole-connector-name-id8
信任政策包含兩個陳述式:
-
第一個陳述式可讓客戶的 AWS 帳戶 擔任角色,但前提是呼叫委託人是自動化擔任角色或自動化分派角色 (與
aws:PrincipalArn條件相符),且該委託人會加上 標籤caller=SSM。Principal-ARN 比對需要擔任角色和分派角色,才能位於/service-role/IAM 路徑下。 -
第二個陳述式可讓 Systems Manager 服務主體直接擔任該角色。
aws:SourceAccount和aws:SourceArn條件透過限制對 AWS 帳戶 和 Cloud Connector ARN 的信任,提供混淆代理人保護。
123456789012 以您的 AWS 帳戶 ID 取代 。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Condition": { "StringEquals": { "aws:PrincipalTag/caller": "SSM" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/service-role/SSM-AzureAssumeRole*", "arn:aws:iam::123456789012:role/service-role/SSM-AzureDispatchRole*" ] } } }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "Service": "ssm.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:ssm:*:123456789012:connector/*" } } } ] }
許可政策可讓角色取得 Web 身分字符,其對象僅限於 api://AzureADTokenExchange,這是 Microsoft Entra ID 為 OIDC 聯合所需的對象。
許可詳細資訊
此政策包含以下許可。
-
sts:GetWebIdentityToken– 允許角色從 AWS STS Systems Manager 可以向 Microsoft Entra ID 呈現的 Web 身分字符,以交換 Azure 憑證。 -
sts:TagGetWebIdentityToken– 允許 Systems Manager 將身分標籤 (例如連接器 ID) 新增至發行的 Web 身分字符。這可讓您將 Microsoft Entra ID 聯合規則範圍限定為特定 Cloud Connector。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:GetWebIdentityToken", "sts:TagGetWebIdentityToken" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "sts:IdentityTokenAudience": [ "api://AzureADTokenExchange" ] } } } ] }