Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren von Rollen und Berechtigungen für Systems Manager Explorer
Integrated Setup erstellt und konfiguriert automatisch AWS Identity and Access Management (IAM) Rollen für AWS Systems Manager Explorer und AWS Systems Manager OpsCenter. Wenn Sie das integrierte Setup abgeschlossen haben, müssen Sie keine zusätzlichen Aufgaben ausführen, um Rollen und Berechtigungen für Explorer zu konfigurieren. Sie müssen jedoch die Berechtigung für OpsCenter konfigurieren, wie weiter unten in diesem Thema beschrieben.
Inhalt
Informationen zu den durch das integrierte Setup erstellten Rollen
Das integrierte Setup erstellt und konfiguriert die folgenden Rollen für die Arbeit mit Explorer und OpsCenter.
-
AWSServiceRoleForAmazonSSM: Bietet Zugriff auf AWS -Ressourcen, die von Systems Manager verwaltet oder verwendet werden. -
OpsItem-CWE-Role: Ermöglicht CloudWatch Ereignisse und EventBridge das Erstellen von Inhalten als OpsItems Reaktion auf häufig auftretende Ereignisse. -
AWSServiceRoleForAmazonSSM_AccountDiscovery: Ermöglicht Systems Manager, beim Synchronisieren von Daten andere aufzurufen, AWS -Services um AWS-Konto Informationen zu ermitteln. Weitere Informationen über diese Rolle finden Sie unter Informationen über die AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle. -
AmazonSSMExplorerExport: Ermöglicht Explorer den Export in eine OpsData Datei mit kommagetrennten Werten ()CSV.
Informationen über die AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle
Wenn Sie so konfigurierenExplorer, dass Daten aus mehreren Konten und Regionen mithilfe AWS Organizations einer Ressourcendatensynchronisierung angezeigt werden, erstellt Systems Manager eine dienstverknüpfte Rolle. Systems Manager verwendet diese Rolle, um Informationen über Ihren AWS-Konten in AWS Organizations zu erhalten. Die Rolle verwendet die folgende Berechtigungsrichtlinie.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }
Weitere Informationen zur AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter und Explorer.
Konfigurieren von Berechtigungen für Systems Manager OpsCenter
Nachdem Sie die integrierte Einrichtung abgeschlossen haben, müssen Sie Benutzer-, Gruppen- oder Rollenberechtigungen konfigurieren, damit Benutzer Aktionen in OpsCenter ausführen können.
Bevor Sie beginnen
Sie können Ihr OpsCenter so konfigurieren, dass Sie OpsItems für mehrere Konten oder nur für ein einziges Konto erstellen und verwalten können. Wenn Sie OpsCenter für die Erstellung und Verwaltung von OpsItems für mehrere Konten konfigurieren, kann das AWS Organizations -Verwaltungskonto OpsItems in anderen Konten manuell erstellen, anzeigen oder bearbeiten. Bei Bedarf können Sie auch das delegierte Administratorkonto von Systems Manager auswählen, um OpsItems in Mitgliedskonten zu erstellen und zu verwalten. Wenn Sie jedoch OpsCenter für ein einzelnes Konto konfigurieren, können Sie OpsItems nur in dem Konto anzeigen oder bearbeiten, in dem OpsItems erstellt wurden. Sie können es nicht teilen oder übertragenOpsItems. AWS-Konten Aus diesem Grund empfehlen wir Ihnen, Berechtigungen für OpsCenter das zu konfigurieren AWS-Konto , das zur Ausführung Ihrer AWS Workloads verwendet wird. Anschließend können Sie in diesem Konto -Benutzer oder -Gruppen erstellen. Auf diese Weise können mehrere Betriebstechniker oder IT-Experten OpsItems in demselben AWS-Konto erstellen, einsehen und bearbeiten.
Explorerund OpsCenter verwenden Sie die folgenden API Operationen. Sie können alle Funktionen von Explorer und OpsCenter verwenden, wenn Ihre Benutzer, Gruppe oder Rolle über Zugriff für diese Aktionen verfügen. Sie können auch strengere Zugriffsberechtigungen erstellen, wie weiter unten in diesem Abschnitt beschrieben.
Wenn Sie möchten, können Sie eine schreibgeschützte Berechtigung angeben, indem Sie Ihrem Konto, Ihrer Gruppe oder Rolle die folgende Inline-Richtlinie hinzufügen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }
Weitere Informationen zum Erstellen und Bearbeiten von IAM Richtlinien finden Sie im IAMBenutzerhandbuch unter IAMRichtlinien erstellen. Informationen zum Zuweisen dieser Richtlinie zu einer IAM Gruppe finden Sie unter Anhängen einer Richtlinie an eine IAM Gruppe.
Erstellen Sie wie folgt eine Berechtigung und fügen Sie sie Ihren Benutzern, Gruppen oder Rollen hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
Abhängig von der Identitätsanwendung, die Sie in Ihrer Organisation verwenden, können Sie eine der folgenden Optionen auswählen, um den Benutzerzugriff zu konfigurieren.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
-
IAMBenutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.
-
Einschränken des Zugriffs auf OpsItems mithilfe von Tags
Sie können den Zugriff auch einschränken, OpsItems indem Sie eine IAM Inline-Richtlinie verwenden, die Tags festlegt. Hier sehen Sie ein Beispiel, das einen Tag-Schlüssel für Abteilung und einen Tag-Wert für Finanzen angibt. Mit dieser Richtlinie kann der Benutzer den GetOpsItemAPIVorgang nur aufrufen, um Daten anzuzeigenOpsItems, die zuvor mit Key=Department und Value=Finance gekennzeichnet waren. Benutzer haben keinen Zugriff auf andere OpsItems.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }
Hier ist ein Beispiel, das API Operationen zum Anzeigen und Aktualisieren spezifiziert. OpsItems Diese Richtlinie gibt auch zwei Sätze von Tag-Schlüssel-Wert-Paaren an: Abteilung-Finanzen und Projekt-Unity.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }
Weitere Informationen zum Hinzufügen von Tags zu einem OpsItem finden Sie unter Manuelles Erstellen der OpsItems.
