Service-verknüpfte Rollen Service-Prinzipale Den vertrauenswürdigen Zugriff aktivieren So deaktivieren Sie den vertrauenswürdigen Zugriff Aktivieren eines delegierten Administrators Deaktivieren eines delegierten Administratorkontos

AWS Systems Manager und AWS Organizations

AWS Systems Manager ist eine Sammlung von Funktionen, die Transparenz und Kontrolle über Ihre AWS Ressourcen ermöglichen. Die folgenden Systems-Manager-Funktionen funktionieren mit Organizations in allen AWS-Konten Ihres Unternehmens:

Systems Manager Explorer ist ein anpassbares Operations-Dashboard, das Informationen über Ihre AWS Ressourcen meldet. Mithilfe von Organizations und Systems Manager Explorer können Sie Betriebsdaten AWS-Konten in Ihrer gesamten Organisation synchronisieren. Weitere Informationen finden Sie unter Systems Manager Explorer im AWS Systems Manager -Benutzerhandbuch.
Systems Manager Change Manager ist ein unternehmensweites Change-Management-Framework zum Anfordern, Genehmigen, Implementieren und Melden von Betriebsänderungen an Ihrer Anwendungskonfiguration und Infrastruktur. Weitere Informationen finden Sie unter AWS Systems Manager Change Manager im AWS Systems Manager -Benutzerhandbuch.
Systems Manager OpsCenter bietet einen zentralen Ort, an dem Betriebsingenieure und IT-Experten betriebliche Arbeitsaufgaben (OpsItems) im Zusammenhang mit AWS Ressourcen anzeigen, untersuchen und lösen können. Wenn Sie es OpsCenter mit Organizations verwenden, unterstützt es die Arbeit mit OpsItems einem Verwaltungskonto (entweder einem Organisationsverwaltungskonto oder einem delegierten Systems Manager Manager-Administratorkonto) und einem anderen Konto während einer einzigen Sitzung. Nach der Konfiguration können Benutzer die folgenden Arten von Aktionen ausführen:
- OpsItems In einem anderen Konto erstellen, anzeigen und aktualisieren.
- Zeigen Sie detaillierte Informationen zu AWS Ressourcen an, die OpsItems in einem anderen Konto angegeben sind.
- Starten Sie Systems Manager Automation-Runbooks, um Probleme mit AWS Ressourcen in einem anderen Konto zu beheben.
Weitere Informationen finden Sie unter AWS Systems Manager OpsCenter im AWS Systems Manager -Benutzerhandbuch.
Verwenden Sie Quick Setup, um häufig verwendete AWS Dienste und Funktionen schnell zu konfigurieren und dabei empfohlene bewährte Methoden zu verwenden. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup im AWS Systems Manager -Benutzerhandbuch.

Wenn Sie ein AWS Organizations delegiertes Administratorkonto für Systems Manager registrieren, können Sie Quick Setup-Konfigurationsmanager erstellen, aktualisieren, anzeigen und löschen, die auf Organisationseinheiten in einer Organisation abzielen. Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch unter Verwenden eines delegierten Administrators für Quick Setup.
Wenn Sie die integrierte Konsole für Systems Manager einrichten, geben Sie ein delegiertes Administratorkonto ein. Dieses Konto wird verwendet, um AWS Organizations delegierte Administratorkonten bei Quick Setup CloudFormation StackSets, Explorer und Resource Explorer zu registrieren. Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch zur Einrichtung der integrierten Systems Manager Manager-Konsole für ein Unternehmen.

Verwenden Sie die folgenden Informationen zur Unterstützung bei der Integration AWS Systems Manager mit AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit dieser Rolle kann Systems Manager unterstützte Vorgänge innerhalb der Konten Ihrer Organisation in Ihrer Organisation ausführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Systems Manager und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

AWSServiceRoleForAmazonSSM_AccountDiscovery

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Systems Manager verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Serviceprinzipale:

ssm.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit Systems Manager

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können vertrauenswürdigen Zugriff nur mit den Tools für Organizations aktivieren.

Sie können vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder einen API Vorgang in einem der Befehle aufrufen AWS SDKs.

AWS Management Console

So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.
Wählen Sie im Navigationsbereich Services.
Wählen Sie AWS Systems Managerin der Liste der Dienste aus.
Wählen Sie Vertrauenswürdigen Zugriff aktivieren.
Geben Sie im AWS Systems Manager Dialogfeld Vertrauenswürdigen Zugriff aktivieren für zur Bestätigung den Text Enable ein, und wählen Sie dann Enable Trusted Access aus.
Wenn Sie nur der Administrator von sind AWS Organizations, teilen Sie dem Administrator mit, AWS Systems Manager dass er diesen Dienst jetzt von der Servicekonsole AWS Organizations aus für die Arbeit mit diesem Dienst aktivieren kann.

AWS CLI, AWS API

Um den vertrauenswürdigen Dienstzugriff mithilfe der Organizations zu aktivierenCLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API Operationen, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

AWS CLI: enable-aws-service-access

Führen Sie den folgenden Befehl aus, um ihn AWS Systems Manager als vertrauenswürdigen Dienst bei Organizations zu aktivieren.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal ssm.amazonaws.com
```
Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
AWS API: E nableAWSService Access

Deaktivieren des vertrauenswürdigen Zugriffs mit Systems Manager

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Systems Manager benötigt vertrauenswürdigen Zugriff auf AWS Organizations , um Betriebsdaten AWS-Konten in Ihrem Unternehmen zu synchronisieren. Wenn Sie den vertrauenswürdigen Zugriff deaktivieren, können Betriebsdaten in Systems Manager nicht synchronisiert werden, und es wird ein Fehler gemeldet.

Sie können den vertrauenswürdigen Zugriff nur mit den Tools für Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen API Organizations-Vorgang in einem der AWS SDKs.

AWS Management Console

So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.
Wählen Sie im Navigationsbereich Services.
Wählen Sie AWS Systems Managerin der Liste der Dienste aus.
Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.
Geben Sie im AWS Systems Manager Dialogfeld Vertrauenswürdigen Zugriff deaktivieren zur Bestätigung den Text Deaktivieren ein, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.
Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator mit AWS Systems Manager , dass er diesen Dienst jetzt AWS Organizations mithilfe der Servicekonsole oder der Tools deaktivieren kann.

AWS CLI, AWS API

Um den Zugriff auf vertrauenswürdige Dienste mithilfe der Organizations zu deaktivierenCLI/SDK

Sie können die folgenden AWS CLI Befehle oder API Operationen verwenden, um den Zugriff auf vertrauenswürdige Dienste zu deaktivieren:

AWS CLI: disable-aws-service-access

Führen Sie den folgenden Befehl aus, um ihn AWS Systems Manager als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.
```
$ aws organizations disable-aws-service-access \
    --service-principal ssm.amazonaws.com
```
Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
AWS API: D isableAWSService Zugriff

Aktivieren eines delegierten Administratorkontos für Systems Manager

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos Verwaltungsaktionen für Systems Manager ausführen, die ansonsten nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung des Systems Manager zu trennen.

Wenn Sie den Change Manager in einer Organisation verwenden, verwenden Sie ein delegiertes Administratorkonto. Dies ist das Konto AWS-Konto , das als Konto für die Verwaltung von Änderungsvorlagen, Änderungsanträgen, Änderungsrunbooks und Genehmigungsworkflows in Change Manager vorgesehen ist. Das delegierte Konto verwaltet Änderungsaktivitäten in Ihrer gesamten Organisation. Wenn Sie Ihre Organisation für die Verwendung mit dem Change Manager einrichten, geben Sie an, welche Ihrer Konten in dieser Rolle verwendet werden. Es muss nicht das Verwaltungskonto der Organisation sein. Das delegierte Administratorkonto ist nicht erforderlich, wenn Sie Change Manager nur mit einem einzigen Konto verwenden.

Informationen zum Festlegen eines Mitgliedskontos als delegierter Administrator finden Sie in den folgenden Themen im AWS Systems Manager -Benutzerhandbuch:

Informationen zu Explorer und OpsCenter finden Sie unter Konfiguration eines delegierten Administrators.
Informationen zu Change Manager finden Sie unter Einrichten einer Organisation und eines delegierten Kontos für Change Manager.
Informationen zur Schnellinstallation finden Sie unter Registrieren eines delegierten Administrators für Quick Setup.

Deaktivieren eines delegierten Administratorkontos für Systems Manager

Informationen zur Abmeldung eines delegierten Administrators finden Sie in den folgenden Themen im Benutzerhandbuch:AWS Systems Manager

Informationen zu Explorer und finden Sie unter Abmelden OpsCenter eines delegierten Explorer-Administrators.
Informationen zu Change Manager finden Sie unter Einrichten einer Organisation und eines delegierten Kontos für Change Manager.
Informationen zur Schnellinstallation finden Sie unter Abmelden eines delegierten Administrators für Quick Setup.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS IAM Identity Center

AWS-Benutzerbenachrichtigungen