使用角色來收集庫存和查看 OpsData - AWS Systems Manager
用於庫存、OpsData 和 OpsItems 的服務連結角色許可建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色支援 Systems Manager  AWSServiceRoleForAmazonSSM 服務連結角色的區域

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用角色來收集庫存和查看 OpsData

Systems Manager 使用名為 的服務連結角色AWSServiceRoleForAmazonSSM。 AWS Systems Manager 使用此 IAM 服務角色代表您管理 AWS 資源。

用於庫存、OpsData 和 OpsItems 的服務連結角色許可

AWSServiceRoleForAmazonSSM 服務連結角色僅信任 ssm.amazonaws.com 服務擔任此角色。

您可以將 Systems Manager 服務連結角色 AWSServiceRoleForAmazonSSM 用於下列功能:

  • Systems Manager 庫存工具使用服務連結角色 AWSServiceRoleForAmazonSSM 從標籤和資源群組中收集庫存中繼資料。

  • Explorer 工具使用服務連結角色 AWSServiceRoleForAmazonSSM,以便檢視多個帳戶的 OpsData 和 OpsItems。當您從 Explorer 或 OpsCenter 中啟用 Security Hub 作為資料來源時,此服務連結角色也允許 Explorer 建立受管規則。

重要

先前,Systems Manager 主控台可讓您選擇要AWSServiceRoleForAmazonSSM用作任務維護角色的 AWS 受管 IAM 服務連結角色。不再建議將此角色及其關聯政策 AmazonSSMServiceRolePolicy,用於維護時段任務。如果您現在將此角色用於維護時段任務,我們建議您停止使用。相反地,請建立您自己的 IAM 角色,以便在維護時段任務執行 AWS 服務 時啟用 Systems Manager 與其他 之間的通訊。

如需詳細資訊,請參閱設定 Maintenance Windows

用於為 AWSServiceRoleForAmazonSSM 角色提供許可的受管政策是 AmazonSSMServiceRolePolicy。如需授予許可的詳細資訊,請參閱 AWS 受管政策:AmazonSSMServiceRolePolicy

建立 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

您可以在 IAM 主控台透過 EC2 使用案例建立服務連結角色。使用 AWS Command Line Interface (AWS CLI) 中的 IAM 命令或使用 IAM API,建立使用 ssm.amazonaws.com 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的「建立服務連結角色」。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。

編輯 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

Systems Manager 不允許您編輯 AWSServiceRoleForAmazonSSM 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除 Systems Manager 的 AWSServiceRoleForAmazonSSM 服務連結角色

若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台 AWS CLI、 或 IAM API 來手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

由於 AWSServiceRoleForAmazonSSM 服務連結角色可同時由多個工具使用,試圖將該角色刪除前,請先確認沒有工具在使用此角色。

  • 庫存:如果您刪除庫存工具使用的服務連結角色,則標籤和資源群組的庫存資料將不再同步。手動刪除服務連結角色之前,您必須先清理資源。

  • Explorer:如果您刪除 Explorer 工具使用的服務連結角色,則跨帳戶和跨區域 OpsData 與 OpsItems 不再可檢視。

注意

如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForAmazonSSM 所使用的 Systems Manager 資源

  1. 若要刪除標籤,請參閱在個別資源上新增和刪除標籤

  2. 若要刪除資源群組,請參閱從中刪除群組 AWS Resource Groups

若要使用 IAM 手動刪除 AWSServiceRoleForAmazonSSM 服務連結角色

使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除AWSServiceRoleForAmazonSSM服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

支援 Systems Manager  AWSServiceRoleForAmazonSSM 服務連結角色的區域

Systems Manager 支援在所有提供服務 AWS 區域 的 中使用服務AWSServiceRoleForAmazonSSM連結角色。如需詳細資訊,請參閱 AWS Systems Manager 端點和配額