• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息
Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM_AccountDiscovery`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色调用其他 AWS 服务来发现 AWS 账户 信息。
## Systems Manager 账户发现的服务相关角色权限
`AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色信任以下服务代入该角色:
+ `accountdiscovery.ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
如果要跨多个 AWS 账户使用 Explorer 和 OpsCenter(都是 Systems Manager 中的工具),则必须创建服务相关角色。对于 OpsCenter,您必须手动创建服务相关角色。有关更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。
对于 Explorer,如果您使用 AWS 管理控制台 中的 Systems Manager 创建资源数据同步,则可以通过选择 **Create role**(创建角色)按钮创建服务相关角色。如果要以编程方式创建资源数据同步,则必须在创建资源数据同步之前创建角色。您可以使用 [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 操作创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
您必须首先删除所有 Explorer 资源数据同步,然后才能使用 IAM 删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
### 手动删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色的区域
Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
## 对 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服务相关角色的更新
查看有关 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服务相关角色更新(从该服务开始跟踪这些变更开始)的详细信息。要获得有关此页面更改的自动提示,请订阅 Systems Manager [文档历史记录](systems-manager-release-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 已添加新权限 | 此服务相关角色现在包括 `organizations:DescribeOrganizationalUnit` 和 `organizations:ListRoots` 权限。这些权限让 AWS Organizations 管理账户或 Systems Manager 委派管理员账户可以跨账户使用 OpsItems。有关更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 | 2022 年 10 月 17 日 |