Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren von Rollen und Berechtigungen für Systems Manager Explorer
Das integrierte Setup erstellt und konfiguriert automatisch AWS Identity and Access Management-(IAM)-Rollen für AWS Systems Manager-Explorer und AWS Systems Manager OpsCenter. Wenn Sie das integrierte Setup abgeschlossen haben, müssen Sie keine zusätzlichen Aufgaben ausführen, um Rollen und Berechtigungen für Explorer zu konfigurieren. Sie müssen jedoch die Berechtigung für OpsCenter konfigurieren, wie weiter unten in diesem Thema beschrieben.
Das integrierte Setup erstellt und konfiguriert die folgenden Rollen für die Arbeit mit Explorer und OpsCenter.
-
AWSServiceRoleForAmazonSSM: Bietet Zugriff auf AWS-Ressourcen, die von Systems Manager verwaltet oder verwendet werden. -
OpsItem-CWE-Role: Erlaubt CloudWatch Events und EventBridge die Erstellung von OpsItems als Reaktion auf häufig vorkommende Ereignisse. -
AWSServiceRoleForAmazonSSM_AccountDiscovery: Ermöglicht Systems Manager, andere AWS-Services aufzurufen, um AWS-Konto-Informationen beim Synchronisieren von Daten zu entdecken. Weitere Informationen über diese Rolle finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter and Explorer. -
AmazonSSMExplorerExport: Ermöglicht Explorer den Export von OpsData in eine Datei mit durch Komma getrennten Werten (CSV).
Wenn Sie Explorer zur Anzeige von Daten aus mehreren Konten und Regionen mithilfe von AWS Organizations und einer Ressourcendatensynchronisierung konfigurieren, erstellt Systems Manager eine service-verknüpfte AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle. Systems Manager verwendet diese Rolle, um Informationen über Ihren AWS-Konten in AWS Organizations zu erhalten. Die Rolle verwendet die folgende Berechtigungsrichtlinie.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }
Weitere Informationen zur AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter and Explorer.
Konfigurieren von Berechtigungen für Systems Manager OpsCenter
Nachdem Sie die integrierte Einrichtung abgeschlossen haben, müssen Sie Benutzer-, Gruppen- oder Rollenberechtigungen konfigurieren, damit Benutzer Aktionen in OpsCenter ausführen können.
Bevor Sie beginnen
Sie können OpsCenter so konfigurieren, dass OpsItems für ein einzelnes Konto oder über mehrere Konten hinweg erstellt und verwaltet wird. Wenn Sie OpsCenter so konfigurieren, dass OpsItems über mehrere Konten hinweg erstellt und verwaltet wird, können Sie entweder das delegierte Administratorkonto von Systems Manager oder das AWS Organizations-Verwaltungskonto verwenden, umOpsItems in anderen Konten manuell zu erstellen, anzuzeigen oder zu bearbeiten. Weitere Informationen zu dem delegierten Administratorkonto von Systems Manager finden Sie unter Konfigurierung eines delegierten Administrators für Explorer.
Wenn Sie OpsCenter für ein einzelnes Konto konfigurieren, können Sie OpsItems nur in dem Konto anzeigen oder bearbeiten, in dem OpsItems erstellt wurden. Sie können OpsItems nicht über AWS-Konten freigeben oder übertragen. Aus diesem Grund empfehlen wir Ihnen, Berechtigungen für OpsCenter in dem AWS-Konto zu konfigurieren, das für die Ausführung Ihrer AWS-Workloads verwendet wird. Anschließend können Sie in diesem Konto -Benutzer oder -Gruppen erstellen. Auf diese Weise können mehrere Betriebstechniker oder IT-Experten OpsItems in demselben AWS-Konto erstellen, einsehen und bearbeiten.
Explorer und OpsCenter verwenden die folgenden API-Operationen. Sie können alle Funktionen von Explorer und OpsCenter verwenden, wenn Ihre Benutzer, Gruppe oder Rolle über Zugriff für diese Aktionen verfügen. Sie können auch strengere Zugriffsberechtigungen erstellen, wie weiter unten in diesem Abschnitt beschrieben.
Wenn Sie möchten, können Sie eine schreibgeschützte Berechtigung angeben, indem Sie Ihrem Konto, Ihrer Gruppe oder Rolle die folgende Inline-Richtlinie hinzufügen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }
Weitere Informationen zum Erstellen von IAM-Benutzer-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch. Weitere Informationen zum Zuweisen dieser Richtlinie zu einer IAM-Gruppe finden Sie unter Zuordnen einer Richtlinie zu einer IAM-Gruppe.
Erstellen Sie wie folgt eine Berechtigung und fügen Sie sie Ihren Benutzern, Gruppen oder Rollen hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
Abhängig von der Identitätsanwendung, die Sie in Ihrer Organisation verwenden, können Sie eine der folgenden Optionen auswählen, um den Benutzerzugriff zu konfigurieren.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Einschränken des Zugriffs auf OpsItems mithilfe von Tags
Sie können auch den Zugriff auf OpsItems einschränken, indem Sie eine IAM-Inlinerichtlinie verwenden, die Tags festlegt. Hier sehen Sie ein Beispiel, das einen Tag-Schlüssel für Abteilung und einen Tag-Wert für Finanzen angibt. Mit dieser Richtlinie kann der Benutzer nur den API-Vorgang GetOpsItem aufrufen, um OpsItems einzusehen, die zuvor mit den Tags Schlüssel=Abteilung und Wert=Finanzen markiert wurden. Benutzer haben keinen Zugriff auf andere OpsItems.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }
Hier sehen Sie ein Beispiel, das API-Vorgänge zum Einsehen und Aktualisieren von OpsItems angibt. Diese Richtlinie gibt auch zwei Sätze von Tag-Schlüssel-Wert-Paaren an: Abteilung-Finanzen und Projekt-Unity.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }
Weitere Informationen zum Hinzufügen von Tags zu einem OpsItem finden Sie unter Erstellen OpsItems manuell.
