Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren von Rollen und Berechtigungen für Systems Manager Explorer
Integrated Setup erstellt und konfiguriert automatisch AWS Identity and Access Management (IAM) Rollen für AWS Systems Manager Explorer und AWS Systems Manager OpsCenter. Wenn Sie das integrierte Setup abgeschlossen haben, müssen Sie keine zusätzlichen Aufgaben ausführen, um Rollen und Berechtigungen für Explorer zu konfigurieren. Sie müssen jedoch die Berechtigung für OpsCenter konfigurieren, wie weiter unten in diesem Thema beschrieben.
Das integrierte Setup erstellt und konfiguriert die folgenden Rollen für die Arbeit mit Explorer und OpsCenter.
-
AWSServiceRoleForAmazonSSM: Bietet Zugriff auf AWS -Ressourcen, die von Systems Manager verwaltet oder verwendet werden. -
OpsItem-CWE-Role: Ermöglicht CloudWatch Ereignisse und EventBridge das Erstellen von Inhalten als OpsItems Reaktion auf häufig auftretende Ereignisse. -
AWSServiceRoleForAmazonSSM_AccountDiscovery: Ermöglicht Systems Manager, beim Synchronisieren von Daten andere aufzurufen, AWS-Services um AWS-Konto Informationen zu ermitteln. Weitere Informationen über diese Rolle finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter and Explorer. -
AmazonSSMExplorerExport: Ermöglicht Explorer den Export in eine OpsData Datei mit kommagetrennten Werten ()CSV.
Wenn Sie so konfigurierenExplorer, dass Daten aus mehreren Konten und Regionen mithilfe AWS Organizations einer Ressourcendatensynchronisierung angezeigt werden, erstellt Systems Manager die AWSServiceRoleForAmazonSSM_AccountDiscovery dienstverknüpfte Rolle. Systems Manager verwendet diese Rolle, um Informationen über Ihr Konto AWS-Konten abzurufen AWS Organizations. Die Rolle verwendet die folgende Berechtigungsrichtlinie.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }
Weitere Informationen zur AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter and Explorer.
Konfigurieren von Berechtigungen für Systems Manager OpsCenter
Nachdem Sie die integrierte Einrichtung abgeschlossen haben, müssen Sie Benutzer-, Gruppen- oder Rollenberechtigungen konfigurieren, damit Benutzer Aktionen in OpsCenter ausführen können.
Bevor Sie beginnen
Sie können OpsCenter die Konfiguration so konfigurieren, dass sie OpsItems für ein einzelnes Konto oder für mehrere Konten erstellt und verwaltet werden. Wenn Sie so konfigurieren, OpsCenter dass mehrere Konten erstellt OpsItems und verwaltet werden, können Sie entweder das delegierte Systems Manager Manager-Administratorkonto oder das AWS Organizations Verwaltungskonto verwenden, um andere Konten manuell zu erstellen, anzuzeigen oder zu bearbeitenOpsItems. Weitere Informationen zum delegierten Administratorkonto von Systems Manager finden Sie unterKonfiguration eines delegierten Administrators für Explorer.
Wenn Sie OpsCenter die Konfiguration für ein einzelnes Konto vornehmen, können Sie es nur in dem Konto anzeigen oder bearbeiten, OpsItems in dem das Konto erstellt OpsItems wurde. Du kannst es nicht teilen oder OpsItems übertragen AWS-Konten. Aus diesem Grund empfehlen wir Ihnen, Berechtigungen für OpsCenter das zu konfigurieren AWS-Konto , das zur Ausführung Ihrer AWS Workloads verwendet wird. Anschließend können Sie in diesem Konto -Benutzer oder -Gruppen erstellen. Auf diese Weise können mehrere Betriebstechniker oder IT-Experten OpsItems in demselben AWS-Konto erstellen, einsehen und bearbeiten.
Explorerund OpsCenter verwenden Sie die folgenden API Operationen. Sie können alle Funktionen von Explorer und OpsCenter verwenden, wenn Ihre Benutzer, Gruppe oder Rolle über Zugriff für diese Aktionen verfügen. Sie können auch strengere Zugriffsberechtigungen erstellen, wie weiter unten in diesem Abschnitt beschrieben.
Wenn Sie möchten, können Sie eine schreibgeschützte Berechtigung angeben, indem Sie Ihrem Konto, Ihrer Gruppe oder Rolle die folgende Inline-Richtlinie hinzufügen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }
Weitere Informationen zum Erstellen und Bearbeiten von IAM Richtlinien finden Sie im IAMBenutzerhandbuch unter IAMRichtlinien erstellen. Informationen zum Zuweisen dieser Richtlinie zu einer IAM Gruppe finden Sie unter Anhängen einer Richtlinie an eine IAM Gruppe.
Erstellen Sie wie folgt eine Berechtigung und fügen Sie sie Ihren Benutzern, Gruppen oder Rollen hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
Abhängig von der Identitätsanwendung, die Sie in Ihrer Organisation verwenden, können Sie eine der folgenden Optionen auswählen, um den Benutzerzugriff zu konfigurieren.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
-
IAMBenutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.
-
Einschränken des Zugriffs auf OpsItems mithilfe von Tags
Sie können den Zugriff auch einschränken, OpsItems indem Sie eine IAM Inline-Richtlinie verwenden, die Tags festlegt. Hier sehen Sie ein Beispiel, das einen Tag-Schlüssel für Abteilung und einen Tag-Wert für Finanzen angibt. Mit dieser Richtlinie kann der Benutzer den GetOpsItemAPIVorgang nur aufrufen, um Daten anzuzeigenOpsItems, die zuvor mit Key=Department und Value=Finance gekennzeichnet waren. Benutzer haben keinen Zugriff auf andere OpsItems.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }
Im Folgenden finden Sie ein Beispiel, das API Operationen zum Anzeigen und Aktualisieren spezifiziert. OpsItems Diese Richtlinie gibt auch zwei Sätze von Tag-Schlüssel-Wert-Paaren an: Abteilung-Finanzen und Projekt-Unity.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }
Weitere Informationen zum Hinzufügen von Tags zu einem OpsItem finden Sie unter Manuelles Erstellen der OpsItems.
