Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
(Optional) Manuell eingerichtet OpsCenter zur zentralen Verwaltung OpsItems kontenübergreifend
In diesem Abschnitt wird die manuelle Konfiguration beschrieben OpsCenter für kontoübergreifende OpsItem Verwaltung. Dieser Prozess wird zwar weiterhin unterstützt, wurde jedoch durch einen neueren Prozess ersetzt, der Systems Manager verwendet Quick Setup. Weitere Informationen finden Sie unter(Optional) Konfigurieren OpsCenter zu verwalten OpsItems kontenübergreifend mit Quick Setup.
Sie können ein zentrales Konto einrichten, um manuell zu erstellen OpsItems für Mitgliedskonten und diese verwalten und korrigieren OpsItems. Das zentrale Konto kann das AWS Organizations Verwaltungskonto oder sowohl das AWS Organizations Verwaltungskonto als auch das delegierte Administratorkonto von Systems Manager sein. Wir empfehlen, dass Sie das delegierte Administratorkonto von Systems Manager als zentrales Konto verwenden. Sie können dieses Feature erst verwenden, nachdem Sie AWS Organizations konfiguriert haben.
Mit AWS Organizations können Sie mehrere zu einer Organisation AWS-Konten zusammenfassen, die Sie zentral erstellen und verwalten. Das zentrale Konto kann der Benutzer erstellen OpsItems für alle ausgewählten Mitgliedskonten gleichzeitig und diese verwalten OpsItems.
Verwenden Sie den Prozess in diesem Abschnitt, um den Systems Manager Manager-Dienstprinzipal in Organizations zu aktivieren und AWS Identity and Access Management (IAM) -Berechtigungen für die Arbeit mit zu konfigurieren OpsItems kontenübergreifend.
Themen
- Bevor Sie beginnen
- Schritt 1: Erstellen einer Ressourcen-Datensynchronisierung
- Schritt 2: Aktivieren des Systems Manager Manager-Dienstprinzipals in AWS Organizations
- Schritt 3: Erstellen der AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle
- Schritt 4: Konfiguration der Berechtigungen, mit denen gearbeitet werden soll OpsItems kontenübergreifend
- Schritt 5: Konfigurieren von Berechtigungen für das kontenübergreifende Arbeiten mit zugehörigen Ressourcen
Anmerkung
Nur OpsItems vom Typ /aws/issue werden unterstützt, wenn Sie in arbeiten OpsCenter kontenübergreifend.
Bevor Sie beginnen
Bevor du es einrichtest OpsCenter um damit zu arbeiten OpsItems Stellen Sie für alle Konten sicher, dass Sie Folgendes eingerichtet haben:
-
Ein delegiertes Administratorkonto für Systems Manager. Weitere Informationen finden Sie unter Konfigurierung eines delegierten Administrators für Explorer.
-
Eine Organisation, die in Organizations eingerichtet und konfiguriert wurde. Weitere Informationen finden Sie unter Erstellen und Verwalten einer Organisation im AWS Organizations -Benutzerhandbuch.
-
Sie haben Systems Manager Automation so konfiguriert, dass Automatisierungs-Runbooks für mehrere AWS-Regionen AWS Konten ausgeführt werden. Weitere Informationen finden Sie unter Automatisierungen in mehreren Konten AWS-Regionen ausführen.
Schritt 1: Erstellen einer Ressourcen-Datensynchronisierung
Nach der Einrichtung und Konfiguration AWS Organizations können Sie aggregieren OpsItems in OpsCenter für eine gesamte Organisation, indem Sie eine Ressourcendatensynchronisierung erstellen. Weitere Informationen finden Sie unter Erstellen einer Ressourcendatensynchronisierung. Achten Sie beim Erstellen der Synchronisierung darauf, im Abschnitt Konten hinzufügen die Option Alle Konten aus meiner AWS Organizations -Konfiguration einbeziehen auszuwählen.
Schritt 2: Aktivieren des Systems Manager Manager-Dienstprinzipals in AWS Organizations
Um einem Benutzer die Arbeit mit zu ermöglichen OpsItems Für alle Konten muss der Systems Manager Manager-Dienstprinzipal aktiviert sein AWS Organizations. Wenn Sie Systems Manager zuvor mit anderen Tools für Szenarien mit mehreren Konten konfiguriert haben, ist der Systems Manager Manager-Dienstprinzipal möglicherweise bereits in Organizations konfiguriert. Führen Sie zur Überprüfung die folgenden Befehle von AWS Command Line Interface (AWS CLI) aus. Wenn Sie Systems Manager nicht für andere Szenarien mit mehreren Konten konfiguriert haben, fahren Sie mit dem nächsten Schritt fort: So aktivieren Sie den Systems-Manager-Service-Prinzipal in AWS Organizations.
So überprüfen Sie, ob der Systems Manager Manager-Dienstprinzipal aktiviert ist in AWS Organizations
-
Laden Sie
die neueste Version von AWS CLI auf Ihren lokalen Computer herunter. -
Öffnen Sie den AWS CLI und führen Sie den folgenden Befehl aus, um Ihre Anmeldeinformationen und eine anzugeben AWS-Region.
aws configureSie werden aufgefordert, Folgendes anzugeben: Ersetzen Sie im folgenden Beispiel jede
user input placeholderdurch Ihre eigenen Informationen.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Systems-Manager-Service-Prinzipal für AWS Organizations aktiviert ist.
aws organizations list-aws-service-access-for-organizationDer Befehl gibt ähnliche Informationen wie im folgenden Beispiel zurück.
{ "EnabledServicePrincipals": [ { "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com", "DateEnabled": "2020-12-11T16:32:27.732000-08:00" }, { "ServicePrincipal": "opsdatasync.ssm.amazonaws.com", "DateEnabled": "2022-01-19T12:30:48.352000-08:00" }, { "ServicePrincipal": "ssm.amazonaws.com", "DateEnabled": "2020-12-11T16:32:26.599000-08:00" } ] }
So aktivieren Sie den Systems Manager Manager-Dienstprinzipal in AWS Organizations
Wenn Sie den Systems-Manager-Service-Prinzipal für Organizations noch nicht konfiguriert haben, verwenden Sie dazu das folgende Verfahren. Weitere Informationen zu diesem Befehl finden Sie enable-aws-service-access
-
Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben. Informationen finden Sie unter Installation der CLI und Konfiguration der CLI.
-
Laden Sie
die neueste Version von AWS CLI auf Ihren lokalen Computer herunter. -
Öffnen Sie den AWS CLI und führen Sie den folgenden Befehl aus, um Ihre Anmeldeinformationen und eine anzugeben AWS-Region.
aws configureSie werden aufgefordert, Folgendes anzugeben: Ersetzen Sie im folgenden Beispiel jede
user input placeholderdurch Ihre eigenen Informationen.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Führen Sie den folgenden Befehl aus, um den Systems-Manager-Service-Prinzipal für AWS Organizations zu aktivieren.
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
Schritt 3: Erstellen der AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle
Eine dienstbezogene Rolle wie die AWSServiceRoleForAmazonSSM_AccountDiscovery Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit einer verknüpft ist AWS-Service, z. B. Systems Manager. Mit Diensten verknüpfte Rollen sind vom Dienst vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS-Services in Ihrem Namen anzurufen. Weitere Informationen zur serviceverknüpften AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Systems Manager Kontoermittlung.
Verwenden Sie das folgende Verfahren, um die serviceverknüpfte AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle mithilfe der AWS CLI zu erstellen. Weitere Informationen zu dem in diesem Verfahren verwendeten Befehl finden Sie create-service-linked-role
So erstellen Sie die serviceverknüpfte AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle
-
Melden Sie sich beim AWS Organizations Verwaltungskonto an.
-
Führen Sie den folgenden Befehl aus, während Sie mit dem Organizations-Verwaltungskonto angemeldet sind.
aws iam create-service-linked-role \ --aws-service-name accountdiscovery.ssm.amazonaws.com \ --description "Systems Manager account discovery for AWS Organizations service-linked role"
Schritt 4: Konfiguration der Berechtigungen, mit denen gearbeitet werden soll OpsItems kontenübergreifend
Verwenden Sie AWS CloudFormation Stacksets, um eine OpsItemGroup Ressourcenrichtlinie und eine IAM-Ausführungsrolle zu erstellen, mit denen Benutzer arbeiten dürfen OpsItems kontenübergreifend. Laden Sie zunächst die OpsCenterCrossAccountMembers.zip-Datei herunter und entpacken Sie sie. Diese Datei enthält die OpsCenterCrossAccountMembers.yaml AWS CloudFormation
Vorlagendatei. Wenn Sie mithilfe dieser Vorlage ein Stack-Set erstellen, CloudFormation werden automatisch die OpsItemCrossAccountResourcePolicy Ressourcenrichtlinie und die OpsItemCrossAccountExecutionRole Ausführungsrolle im Konto erstellt. Weitere Informationen zum Erstellen eines Stack-Sets finden Sie unter Erstellen eines Stack-Sets im AWS CloudFormation -Benutzerhandbuch.
Wichtig
Berücksichtigen Sie für diese Aufgabe die folgenden wichtigen Informationen:
-
Sie müssen das Stackset bereitstellen, während Sie beim AWS Organizations -Verwaltungskonto angemeldet sind.
-
Sie müssen dieses Verfahren wiederholen, während Sie bei jedem Konto angemeldet sind, mit dem Sie arbeiten möchten OpsItems kontenübergreifend, einschließlich des delegierten Administratorkontos.
-
Wenn Sie kontenübergreifend aktivieren möchten OpsItems Verwaltung in verschiedenen Bereichen AWS-Regionen, wählen Sie im Abschnitt Regionen angeben der Vorlage die Option Alle Regionen hinzufügen aus. Kontoübergreifend OpsItem Die Verwaltung wird für Opt-in-Regionen nicht unterstützt.
Schritt 5: Konfigurieren von Berechtigungen für das kontenübergreifende Arbeiten mit zugehörigen Ressourcen
Importieren in &S3; OpsItem kann detaillierte Informationen zu betroffenen Ressourcen wie Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder Amazon Simple Storage Service (Amazon S3) -Buckets enthalten. Die OpsItemCrossAccountExecutionRole Ausführungsrolle, die Sie im vorherigen Schritt 4 erstellt haben, bietet OpsCenter mit Nur-Lese-Rechten für Mitgliedskonten zum Anzeigen verwandter Ressourcen. Sie müssen auch eine IAM-Rolle erstellen, um Verwaltungskonten die Berechtigung zum Anzeigen und Interagieren mit verwandten Ressourcen zu gewähren. Dies werden Sie in dieser Aufgabe durchführen.
Laden Sie zunächst die OpsCenterCrossAccountManagementRole.zip-Datei herunter und entpacken Sie sie. Diese Datei enthält die OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation Vorlagendatei. Wenn Sie mithilfe dieser Vorlage einen Stack erstellen, CloudFormation wird automatisch die OpsCenterCrossAccountManagementRole IAM-Rolle im Konto erstellt. Weitere Informationen zum Erstellen eines Stacks finden Sie im AWS CloudFormation Benutzerhandbuch unter Erstellen eines Stacks auf der AWS CloudFormation Konsole.
Wichtig
Berücksichtigen Sie für diese Aufgabe die folgenden wichtigen Informationen:
-
Wenn Sie vorhaben, ein Konto als delegierter Administrator anzugeben für OpsCenter, stellen Sie sicher, dass Sie dies angeben, AWS-Konto wenn Sie den Stack erstellen.
-
Sie müssen dieses Verfahren ausführen, während Sie beim AWS Organizations -Verwaltungskonto angemeldet sind, und erneut, während Sie beim delegierten Administratorkonto angemeldet sind.
