• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 使用角色启用即时节点访问
<a name="using-service-linked-roles-service-action-8"></a>

Systems Manager 使用名为 **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色启用即时节点访问。

## Systems Manager 即时节点访问的服务相关角色权限
<a name="slr-permissions-service-action-8"></a>

`AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色信任以下服务代入该角色：
+ `ssm.amazonaws.com`

角色权限策略允许 Systems Manager 对指定资源完成以下操作：
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember` 
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`

用于为 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色提供权限的托管策略是 `AWSSystemsManagerEnableJustInTimeAccessPolicy`。有关该策略授予的权限的详细信息，请参阅 [AWS 托管策略：AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 创建 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
<a name="create-slr-service-action-8"></a>

您无需手动创建服务关联角色。您在 AWS 管理控制台中启用即时节点访问时，Systems Manager 会为您创建服务相关角色。

**重要**  
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作，该角色可以显示在您的账户中。此外，如果您在 2024 年 11 月 19 日之前使用 Systems Manager 服务，当它开始支持服务相关角色时，Systems Manager 会在您的账户中创建 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色。要了解更多信息，请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。您在 AWS 管理控制台中启用即时节点访问时，Systems Manager 将再次为您创建服务相关角色。

您也可以使用 IAM 控制台来创建服务相关角色，**以便 AWS 服务角色允许 Systems Manager 启用即时节点访问。**应用场景。在 AWS CLI 或 AWS API 中，使用 `ssm.amazonaws.com` 服务名称创建服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。如果您删除了此服务相关角色，可以使用同样的过程再次创建角色。

## 编辑 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
<a name="edit-slr-service-action-8"></a>

Systems Manager 不允许您编辑 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
<a name="delete-slr-service-action-8"></a>

如果您不再需要使用某个需要服务相关角色的特征或服务，我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是，您必须先清除服务相关角色的资源，然后才能手动删除它。

**注意**  
如果在您试图删除资源时 Systems Manager 服务正在使用该角色，则删除操作可能会失败。如果发生这种情况，请等待几分钟后重试。

**使用 IAM 手动删除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色**

使用 IAM 控制台，即 AWS CLI 或 AWS API 来删除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色。有关更多信息，请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 支持 Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色的区域
<a name="slr-regions-service-action-8"></a>


****  

| AWS 区域 名称 | 区域标识 | 在 Systems Manager 中支持 | 
| --- | --- | --- | 
| 美国东部（弗吉尼亚州北部） | us-east-1 | 是 | 
| 美国东部（俄亥俄州） | us-east-2 | 是 | 
| 美国西部（北加利福尼亚） | us-west-1 | 是 | 
| 美国西部（俄勒冈州） | us-west-2 | 是 | 
| 亚太地区（孟买） | ap-south-1 | 是 | 
| 亚太地区（大阪） | ap-northeast-3 | 是 | 
| 亚太地区（首尔） | ap-northeast-2 | 是 | 
| 亚太地区（新加坡） | ap-southeast-1 | 是 | 
| 亚太地区（悉尼） | ap-southeast-2 | 是 | 
| 亚太地区（东京） | ap-northeast-1 | 是 | 
| 加拿大（中部） | ca-central-1 | 是 | 
| 欧洲地区（法兰克福） | eu-central-1 | 是 | 
| 欧洲地区（爱尔兰） | eu-west-1 | 是 | 
| 欧洲地区（伦敦） | eu-west-2 | 是 | 
| 欧洲地区（巴黎） | eu-west-3 | 是 | 
| 欧洲地区（斯德哥尔摩） | eu-north-1 | 是 | 
| 南美洲（圣保罗） | sa-east-1 | 是 | 
| AWS GovCloud (US)  | us-gov-west-1 | 否 |