Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
(Optional) Manuell eingerichtetOpsCenter, um OpsItems kontenübergreifend zentral zu verwalten
In diesem Abschnitt wird beschrieben, wie Sie OpsCenter manuell für die kontoübergreifende Verwaltung von OpsItem konfigurieren. Dieser Prozess wird zwar weiterhin unterstützt, wurde jedoch durch einen neueren Prozess ersetzt, der Systems Manager Quick Setup verwendet. Weitere Informationen finden Sie unter (Optional) Konfigurieren Sie OpsCenter für die kontenübergreifende Verwaltung von OpsItems mithilfe von Quick Setup.
Sie können ein zentrales Konto einrichten, um manuelle OpsItems für Mitgliedskonten zu erstellen und diese OpsItems zu verwalten und zu beheben. Das zentrale Konto kann das AWS Organizations Verwaltungskonto oder sowohl das AWS Organizations Verwaltungskonto als auch das delegierte Administratorkonto von Systems Manager sein. Wir empfehlen, dass Sie das delegierte Administratorkonto von Systems Manager als zentrales Konto verwenden. Sie können dieses Feature erst verwenden, nachdem Sie AWS Organizations konfiguriert haben.
Mit AWS Organizations können Sie mehrere zu einer Organisation AWS-Konten zusammenfassen, die Sie zentral erstellen und verwalten. Der Benutzer des zentralen Kontos kann OpsItems für alle ausgewählten Mitgliedskonten gleichzeitig Konten erstellen und diese OpsItems verwalten.
Gehen Sie wie in diesem Abschnitt beschrieben vor, um den Systems Manager Manager-Dienstprinzipal in Organizations zu aktivieren und die Berechtigungen AWS Identity and Access Management (IAM) für die OpsItems kontenübergreifende Arbeit zu konfigurieren.
Themen
- Bevor Sie beginnen
- Schritt 1: Erstellen einer Ressourcen-Datensynchronisierung
- Schritt 2: Aktivieren des Systems Manager Manager-Dienstprinzipals in AWS Organizations
- Schritt 3: Erstellen der AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle
- Schritt 4: Konfigurieren von Berechtigungen für die kontenübergreifende Arbeit mit OpsItems
- Schritt 5: Konfigurieren von Berechtigungen für das kontenübergreifende Arbeiten mit zugehörigen Ressourcen
Anmerkung
Nur OpsItems vom Typ /aws/issue werden bei der kontenübergreifenden Arbeit in OpsCenter unterstützt.
Bevor Sie beginnen
Bevor Sie OpsCenter für die Arbeit mit OpsItems kontenübergreifend einrichten, stellen Sie sicher, dass Sie Folgendes eingerichtet haben:
-
Ein delegiertes Administratorkonto für Systems Manager. Weitere Informationen finden Sie unter Konfiguration eines delegierten Administrators für Explorer.
-
Eine Organisation, die in Organizations eingerichtet und konfiguriert wurde. Weitere Informationen finden Sie unter Erstellen und Verwalten einer Organisation im AWS Organizations -Benutzerhandbuch.
-
Sie haben Systems Manager Automation so konfiguriert, dass Automatisierungs-Runbooks für mehrere AWS-Regionen AWS Konten ausgeführt werden. Weitere Informationen finden Sie unter Ausführen von Automatisierungen in mehreren AWS-Regionen Endkonten.
Schritt 1: Erstellen einer Ressourcen-Datensynchronisierung
Nach der Einrichtung und Konfiguration können Sie die Daten OpsCenter für eine gesamte Organisation zusammenfassen AWS OrganizationsOpsItems, indem Sie eine Ressourcendatensynchronisierung erstellen. Weitere Informationen finden Sie unter Erstellen einer Ressourcendatensynchronisierung. Achten Sie beim Erstellen der Synchronisierung darauf, im Abschnitt Konten hinzufügen die Option Alle Konten aus meiner AWS Organizations Konfiguration einbeziehen auszuwählen.
Schritt 2: Aktivieren des Systems Manager Manager-Dienstprinzipals in AWS Organizations
Damit ein Benutzer OpsItems kontenübergreifend arbeiten kann, muss der Systems Manager Manager-Dienstprinzipal aktiviert sein AWS Organizations. Wenn Sie Systems Manager zuvor mit anderen Funktionen für Szenarios mit mehreren Konten konfiguriert haben, ist der Systems-Manager-Service-Prinzipal möglicherweise bereits in Organizations konfiguriert. Führen Sie zur Überprüfung die folgenden Befehle von AWS Command Line Interface (AWS CLI) aus. Wenn Sie Systems Manager nicht für andere Szenarien mit mehreren Konten konfiguriert haben, fahren Sie mit dem nächsten Schritt fort: So aktivieren Sie den Systems-Manager-Service-Prinzipal in AWS Organizations.
So überprüfen Sie, ob der Systems Manager Manager-Dienstprinzipal aktiviert ist in AWS Organizations
-
Laden Sie
die neueste Version von AWS CLI auf Ihren lokalen Computer herunter. -
Öffnen Sie den AWS CLI und führen Sie den folgenden Befehl aus, um Ihre Anmeldeinformationen und eine anzugeben AWS-Region.
aws configureSie werden aufgefordert, Folgendes anzugeben: Ersetzen Sie im folgenden Beispiel jeden
user input placeholdermit Ihren eigenen Informationen.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Systems-Manager-Service-Prinzipal für AWS Organizations aktiviert ist.
aws organizations list-aws-service-access-for-organizationDer Befehl gibt ähnliche Informationen wie im folgenden Beispiel zurück.
{ "EnabledServicePrincipals": [ { "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com", "DateEnabled": "2020-12-11T16:32:27.732000-08:00" }, { "ServicePrincipal": "opsdatasync.ssm.amazonaws.com", "DateEnabled": "2022-01-19T12:30:48.352000-08:00" }, { "ServicePrincipal": "ssm.amazonaws.com", "DateEnabled": "2020-12-11T16:32:26.599000-08:00" } ] }
So aktivieren Sie den Systems Manager Manager-Dienstprinzipal in AWS Organizations
Wenn Sie den Systems-Manager-Service-Prinzipal für Organizations noch nicht konfiguriert haben, verwenden Sie dazu das folgende Verfahren. Weitere Informationen zu diesem Befehl finden Sie enable-aws-service-access
-
Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben. Weitere Informationen finden Sie unter Installation CLI und Konfiguration CLI.
-
Laden Sie
die neueste Version von AWS CLI auf Ihren lokalen Computer herunter. -
Öffnen Sie den AWS CLI und führen Sie den folgenden Befehl aus, um Ihre Anmeldeinformationen und eine anzugeben AWS-Region.
aws configureSie werden aufgefordert, Folgendes anzugeben: Ersetzen Sie im folgenden Beispiel jeden
user input placeholdermit Ihren eigenen Informationen.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Führen Sie den folgenden Befehl aus, um den Systems-Manager-Service-Prinzipal für AWS Organizations zu aktivieren.
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
Schritt 3: Erstellen der AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle
Eine dienstbezogene Rolle wie die AWSServiceRoleForAmazonSSM_AccountDiscovery Rolle ist ein einzigartiger Rollentyp, der IAM direkt mit einer verknüpft ist AWS-Service, z. B. Systems Manager. Dienstbezogene Rollen sind vom Dienst vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere in AWS-Services Ihrem Namen anzurufen. Weitere Informationen zur serviceverknüpften AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Systems Manager Kontoermittlung.
Verwenden Sie das folgende Verfahren, um die serviceverknüpfte AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle mithilfe der AWS CLI zu erstellen. Weitere Informationen zu dem in diesem Verfahren verwendeten Befehl finden Sie create-service-linked-role
So erstellen Sie die serviceverknüpfte AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle
-
Melden Sie sich beim AWS Organizations Verwaltungskonto an.
-
Führen Sie den folgenden Befehl aus, während Sie mit dem Organizations-Verwaltungskonto angemeldet sind.
aws iam create-service-linked-role \ --aws-service-name accountdiscovery.ssm.amazonaws.com \ --description "Systems Manager account discovery for AWS Organizations service-linked role"
Schritt 4: Konfigurieren von Berechtigungen für die kontenübergreifende Arbeit mit OpsItems
Verwenden Sie AWS CloudFormation Stacksets, um eine OpsItemGroup Ressourcenrichtlinie und eine IAM Ausführungsrolle zu erstellen, mit denen Benutzer OpsItems kontenübergreifend arbeiten können. Laden Sie zunächst die OpsCenterCrossAccountMembers.zip-Datei herunter und entpacken Sie sie. Diese Datei enthält die OpsCenterCrossAccountMembers.yaml AWS CloudFormation
Vorlagendatei. Wenn Sie mithilfe dieser Vorlage ein Stack-Set erstellen, CloudFormation werden automatisch die OpsItemCrossAccountResourcePolicy Ressourcenrichtlinie und die OpsItemCrossAccountExecutionRole Ausführungsrolle im Konto erstellt. Weitere Informationen zum Erstellen eines Stack-Sets finden Sie unter Erstellen eines Stack-Sets im AWS CloudFormation -Benutzerhandbuch.
Wichtig
Berücksichtigen Sie für diese Aufgabe die folgenden wichtigen Informationen:
-
Sie müssen das Stackset bereitstellen, während Sie beim AWS Organizations -Verwaltungskonto angemeldet sind.
-
Sie müssen dieses Verfahren wiederholen, während Sie bei jedem Konto angemeldet sind, das Sie für die Arbeit mit OpsItems kontenübergreifend festlegen möchten, einschließlich des delegierten Administratorkontos.
-
Wenn Sie die kontoübergreifende OpsItems Verwaltung in verschiedenen Bereichen aktivieren möchten AWS-Regionen, wählen Sie im Abschnitt Regionen angeben der Vorlage die Option Alle Regionen hinzufügen aus. Die kontoübergreifende OpsItem-Verwaltung wird für Opt-in-Regionen nicht unterstützt.
Schritt 5: Konfigurieren von Berechtigungen für das kontenübergreifende Arbeiten mit zugehörigen Ressourcen
Und OpsItem kann detaillierte Informationen zu betroffenen Ressourcen wie Amazon Elastic Compute Cloud (AmazonEC2) -Instances oder Amazon Simple Storage Service (Amazon S3) -Buckets enthalten. Die OpsItemCrossAccountExecutionRole-Ausführungsrolle, die Sie im vorherigen Schritt 4 erstellt haben, stellt OpsCenter mit schreibgeschützten Berechtigungen für Mitgliedskonten zum Anzeigen zugehöriger Ressourcen bereit. Sie müssen außerdem eine IAM Rolle erstellen, um Verwaltungskonten die Erlaubnis zu erteilen, zugehörige Ressourcen anzuzeigen und mit ihnen zu interagieren. Diese Aufgabe erledigen Sie in dieser Aufgabe.
Laden Sie zunächst die OpsCenterCrossAccountManagementRole.zip-Datei herunter und entpacken Sie sie. Diese Datei enthält die OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation Vorlagendatei. Wenn Sie mithilfe dieser Vorlage einen Stack erstellen, CloudFormation wird die OpsCenterCrossAccountManagementRole IAM Rolle automatisch im Konto erstellt. Weitere Informationen zum Erstellen eines Stacks finden Sie im AWS CloudFormation Benutzerhandbuch unter Erstellen eines Stacks auf der AWS CloudFormation Konsole.
Wichtig
Berücksichtigen Sie für diese Aufgabe die folgenden wichtigen Informationen:
-
Wenn Sie beabsichtigen, ein Konto als delegierter Administrator für anzugebenOpsCenter, müssen Sie dies AWS-Konto bei der Erstellung des Stacks angeben.
-
Sie müssen dieses Verfahren ausführen, während Sie beim AWS Organizations -Verwaltungskonto angemeldet sind, und erneut, während Sie beim delegierten Administratorkonto angemeldet sind.
