(Optional) Manuelle Einrichtung von OpsCenter für die zentrale kontenübergreifende Verwaltung von OpsItems

In diesem Abschnitt wird beschrieben, wie Sie OpsCenter manuell für die kontoübergreifende Verwaltung von OpsItem konfigurieren. Dieser Prozess wird zwar weiterhin unterstützt, wurde jedoch durch einen neueren Prozess ersetzt, der Systems Manager Quick Setup verwendet. Weitere Informationen finden Sie unter (Optional) Konfigurieren Sie OpsCenter für die kontenübergreifende Verwaltung von OpsItems mithilfe von Quick Setup.

Sie können ein zentrales Konto einrichten, um manuelle OpsItems für Mitgliedskonten zu erstellen und diese OpsItems zu verwalten und zu beheben. Das zentrale Konto kann das AWS Organizations-Verwaltungskonto oder sowohl das AWS Organizations-Verwaltungskonto als auch das delegierte Administratorkonto von Systems Manager sein. Wir empfehlen, dass Sie das delegierte Administratorkonto von Systems Manager als zentrales Konto verwenden. Sie können dieses Feature erst verwenden, nachdem Sie AWS Organizations konfiguriert haben.

Mit AWS Organizations können Sie mehrere AWS-Konten in einer zentral erstellten und verwalteten Organisation konsolidieren. Der Benutzer des zentralen Kontos kann OpsItems für alle ausgewählten Mitgliedskonten gleichzeitig Konten erstellen und diese OpsItems verwalten.

Verwenden Sie die Verfahren in diesem Abschnitt, um den Systems-Manager-Service-Prinzipal in Organizations zu aktivieren und AWS Identity and Access Management (IAM)-Berechtigungen für die kontenübergreifende Arbeit mit OpsItems zu konfigurieren.

Bevor Sie beginnen

Bevor Sie OpsCenter für die Arbeit mit OpsItems kontenübergreifend einrichten, stellen Sie sicher, dass Sie Folgendes eingerichtet haben:

Schritt 1: Erstellen einer Ressourcen-Datensynchronisierung

Nachdem Sie AWS Organizations eingerichtet und konfiguriert haben, können Sie OpsItems in OpsCenter für eine gesamte Organisation aggregieren, indem Sie eine Ressourcendaten-Synchronisierung erstellen. Weitere Informationen finden Sie unter Erstellen einer Ressourcendatensynchronisierung. Achten Sie beim Erstellen der Synchronisierung darauf, im Abschnitt Konten hinzufügen die Option Alle Konten aus meiner AWS Organizations-Konfiguration einbeziehen auszuwählen.

Schritt 2: Aktivieren des Systems-Manager-Service-Prinzipals in AWS Organizations

Damit ein Benutzer kontenübergreifend mit OpsItems arbeiten kann, muss der Systems-Manager-Service-Prinzipal in AWS Organizations aktiviert sein. Wenn Sie Systems Manager zuvor mit anderen Funktionen für Szenarios mit mehreren Konten konfiguriert haben, ist der Systems-Manager-Service-Prinzipal möglicherweise bereits in Organizations konfiguriert. Führen Sie zur Überprüfung die folgenden Befehle von AWS Command Line Interface (AWS CLI) aus. Wenn Sie Systems Manager nicht für andere Szenarien mit mehreren Konten konfiguriert haben, fahren Sie mit dem nächsten Schritt fort: So aktivieren Sie den Systems-Manager-Service-Prinzipal in AWS Organizations.

Schritt 3: Erstellen der AWSServiceRoleForAmazonSSM_AccountDiscovery-serviceverknüpften Rolle

Eine serviceverknüpfte Rolle wie die AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle ist eine eindeutige Art von IAM-Rolle, die direkt mit einem AWS-Service wie Systems Manager verknüpft ist. Serviceverknüpfte Rollen werden vom Service vordefiniert und enthalten alle Berechtigungen, die der Service benötigt, um andere AWS-Services in Ihrem Namen aufzurufen. Weitere Informationen zur serviceverknüpften AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle finden Sie unter Berechtigungen von serviceverknüpften Rollen für Systems Manager-Kontoerkennung.

Verwenden Sie das folgende Verfahren, um die serviceverknüpfte AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle mithilfe der AWS CLI zu erstellen. Weitere Informationen zu dem in diesem Verfahren verwendeten Befehl finden Sie unter create-service-linked-role in der AWS CLI-Befehlsreferenz.

Schritt 4: Konfigurieren von Berechtigungen für die kontenübergreifende Arbeit mit OpsItems

Verwenden Sie AWS CloudFormation-Stacksets, um eine OpsItemGroup-Ressourcenrichtlinie und eine IAM-Ausführungsrolle zu erstellen, die Benutzern Berechtigungen für das kontenübergreifende Arbeiten mit OpsItems gewähren. Laden Sie zunächst die OpsCenterCrossAccountMembers.zip-Datei herunter und entpacken Sie sie. Diese Datei enthält die OpsCenterCrossAccountMembers.yaml AWS CloudFormation-Vorlagendatei. Wenn Sie mithilfe dieser Vorlage einen Stack-Set erstellen, erstellt CloudFormation automatisch die OpsItemCrossAccountResourcePolicy-Ressourcenrichtlinie und die OpsItemCrossAccountExecutionRole-Ausführungsrolle im Konto. Weitere Informationen zum Erstellen eines Stack-Sets finden Sie unter Erstellen eines Stack-Sets im AWS CloudFormation-Benutzerhandbuch.

Schritt 5: Konfigurieren von Berechtigungen für das kontenübergreifende Arbeiten mit zugehörigen Ressourcen

Eine OpsItem kann detaillierte Informationen über betroffene Ressourcen wie Amazon Elastic Compute Cloud (Amazon EC2)-Instances oder Amazon Simple Storage Service (Amazon S3)-Buckets enthalten. Die OpsItemCrossAccountExecutionRole-Ausführungsrolle, die Sie im vorherigen Schritt 4 erstellt haben, stellt OpsCenter mit schreibgeschützten Berechtigungen für Mitgliedskonten zum Anzeigen zugehöriger Ressourcen bereit. Sie müssen auch eine IAM-Rolle erstellen, um Verwaltungskonten die Berechtigung zum Anzeigen und Interagieren mit verwandten Ressourcen zu gewähren. Dies werden Sie in dieser Aufgabe durchführen.

Laden Sie zunächst die OpsCenterCrossAccountManagementRole.zip-Datei herunter und entpacken Sie sie. Diese Datei enthält die OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation-Vorlagendatei. Wenn Sie mit dieser Vorlage einen Stack erstellen, erstellt CloudFormation automatisch die OpsCenterCrossAccountManagementRole-IAM-Rolle im Konto. Weitere Informationen zum Erstellen eines Stacks finden Sie unter Erstellen eines Stacks in der AWS CloudFormation-Konsole im AWS CloudFormation-Benutzerhandbuch.