Systems Manager 的擔任角色組態 - AWS Systems Manager
若要建立 Systems Manager Quick Setup 的擔任角色:許可政策

• AWS Systems Manager Change Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems Manager Change Manager可用性變更

 

• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 Amazon CloudWatch Dashboard 文件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Systems Manager 的擔任角色組態

若要建立 Systems Manager Quick Setup 的擔任角色:

Systems Manager Quick Setup 需要一個角色,允許 Systems Manager 在您的帳戶中安全地執行動作。此角色會授予 Systems Manager 在執行個體上執行命令,以及代表您設定 EC2 執行個體、IAM 角色和其他 Systems Manager 資源所需的許可。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇政策,然後選擇建立政策

  3. 使用以下 JSON 新增SsmOnboardingInlinePolicy政策。(此政策會啟用必要動作,以便將執行個體描述檔許可連接至您指定的執行個體。 例如,允許建立執行個體描述檔,並將其與 EC2 執行個體建立關聯)。

  4. 完成後,在導覽窗格中,選擇角色,然後選擇建立角色

  5. 對於信任的實體類型,將其保留為預設值 (服務)。

  6. 使用案例中,選擇 Systems Manager,然後選擇下一步

  7. 新增許可頁面上:

  8. 新增SsmOnboardingInlinePolicy政策

  9. 選擇下一步

  10. 針對角色名稱,輸入描述性名稱 (例如 AmazonSSMRoleForAutomationAssumeQuickSetup)。

  11. (選用) 新增標籤以協助識別和組織角色。

  12. 選擇建立角色

重要

角色必須包含與 的信任關係ssm.amazonaws.com。當您在步驟 4 中選取 Systems Manager 做為服務時,會自動設定此選項。

建立角色之後,您可以在設定快速設定時選取該角色。此角色可讓 Systems Manager 管理 EC2 執行個體、IAM 角色和其他 Systems Manager 資源,並代表您執行命令,同時透過特定的有限許可來維護安全性。

許可政策

SsmOnboardingInlinePolicy

下列政策定義 Systems Manager Quick Setup 的許可:

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:ListInstanceProfilesForRole",
                "ec2:DescribeIamInstanceProfileAssociations",
                "iam:GetInstanceProfile",
                "iam:AddRoleToInstanceProfile"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssociateIamInstanceProfile"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "Null": {
                    "ec2:InstanceProfile": "true"
                },
                "ArnLike": {
                    "ec2:NewInstanceProfile": "arn:aws:iam::*:instance-profile/[INSTANCE_PROFILE_ROLE_NAME]"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/[INSTANCE_PROFILE_ROLE_NAME]",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        }
    ]
        }
信任關係

這會透過上述步驟自動新增

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
        }