Einrichtung Change Manager für eine Organisation (Verwaltungskonto) - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung Change Manager für eine Organisation (Verwaltungskonto)

Die Aufgaben in diesem Thema gelten, wenn Sie Change Manager, ein Tool in AWS Systems Manager, mit einer Organisation, die in eingerichtet ist AWS Organizations. Wenn Sie verwenden möchten Change Manager nur mit einem einzigen AWS-Konto, direkt zum Thema springenKonfigurieren Change Manager Optionen und bewährte Verfahren.

Führen Sie die Aufgaben in diesem Abschnitt in einem aus AWS-Konto , der als Verwaltungskonto in Organizations dient. Weitere Informationen zum Verwaltungskonto und zu anderen Organizations-Konzepten finden Sie unter AWS Organizations -Terminologie und Konzepte.

Wenn Sie Organizations aktivieren und Ihr Konto als Verwaltungskonto angeben müssen, bevor Sie fortfahren, siehe Creating and managing an organization (Erstellen und Verwalten einer Organisation) im AWS Organizations -Benutzerhandbuch.

Anmerkung

Dieser Einrichtungsvorgang kann in den folgenden Fällen nicht ausgeführt werden AWS-Regionen:

  • Europa (Mailand) (eu-south-1)

  • Naher Osten (Bahrain) (me-south-1)

  • Afrika (Kapstadt) (af-south-1)

  • Asien-Pazifik (Hongkong) (ap-east-1)

Stellen Sie sicher, dass Sie für dieses Verfahren in einer anderen Region in Ihrem Verwaltungskonto arbeiten.

Während des Einrichtungsvorgangs führen Sie die folgenden Hauptaufgaben in Quick Setup, ein Tool in AWS Systems Manager.

  • Aufgabe 1: Registrieren eines delegierten Administrators für Ihre Organisation

    Die mit Änderungen verbundenen Aufgaben, die ausgeführt werden mit Change Manager werden in einem Ihrer Mitgliedskonten verwaltet, das Sie als delegiertes Administratorkonto angeben. Das delegierte Administratorkonto, für das Sie sich registrieren Change Manager wird zum delegierten Administratorkonto für all Ihre Systems Manager Manager-Operationen. (Möglicherweise haben Sie Administratorkonten für andere AWS-Services delegiert). Ihr delegiertes Administratorkonto für Change Manager, das nicht mit Ihrem Verwaltungskonto identisch ist, verwaltet die Änderungsaktivitäten in Ihrer gesamten Organisation, einschließlich der jeweiligen Änderungsvorlagen, Änderungsanträge und Genehmigungen. Im delegierten Administratorkonto geben Sie auch andere Konfigurationsoptionen für Change Manager Operationen.

    Wichtig

    Das delegierte Administratorkonto muss das einzige Mitglied der Organisationseinheit (OU) sein, der es in Organizations zugewiesen ist.

  • Aufgabe 2: Definieren und spezifizieren Sie Runbook-Zugriffsrichtlinien für Rollen von Änderungsanforderern oder benutzerdefinierte Jobfunktionen, die Sie für Ihre Change Manager Operationen

    Um Änderungsanträge zu erstellen in Change Managermüssen Benutzern in Ihren Mitgliedskonten AWS Identity and Access Management (IAM) -Berechtigungen erteilt werden, die es ihnen ermöglichen, nur auf die Automation-Runbooks und Änderungsvorlagen zuzugreifen, die Sie ihnen zur Verfügung stellen.

    Anmerkung

    Wenn ein Benutzer einen Änderungsantrag erstellt, wählt er zunächst eine Änderungsvorlage aus. Diese Änderungsvorlage stellt möglicherweise mehrere Runbooks zur Verfügung, der Benutzer kann jedoch nur ein Runbook für den jeweiligen Änderungsantrag auswählen. Änderungsvorlagen können auch so konfiguriert werden, dass Benutzer jedes verfügbare Runbook in ihre Anforderungen aufnehmen können.

    Um die erforderlichen Berechtigungen zu gewähren, Change Manager verwendet das Konzept der Jobfunktionen, das auch von IAM verwendet wird. Im Gegensatz zu den AWS verwalteten Richtlinien für Jobfunktionen in IAM geben Sie jedoch beide Namen Ihrer Change Manager Jobfunktionen und die IAM-Berechtigungen für diese Jobfunktionen.

    Wenn Sie eine Auftragsfunktion konfigurieren, empfiehlt es sich, eine benutzerdefinierte Richtlinie zu erstellen und nur die Berechtigungen bereitzustellen, die zum Ausführen von Änderungsverwaltungsaufgaben erforderlich sind. Sie können beispielsweise Berechtigungen angeben, die Benutzer basierend auf den von Ihnen definierten Auftragsfunktionen auf diesen bestimmten Satz von Runbooks beschränken.

    Sie können beispielsweise eine Auftragsfunktion mit dem Namen DBAdmin erstellen. Für diese Auftragsfunktion können Sie nur Berechtigungen erteilen, die für Runbooks erforderlich sind, die sich auf Amazon DynamoDB-Datenbanken beziehen, z. B. AWS-CreateDynamoDbBackup und AWSConfigRemediation-DeleteDynamoDbTable.

    Als weiteres Beispiel möchten Sie einigen Benutzern möglicherweise nur die Berechtigungen erteilen, die zum Arbeiten mit Runbooks im Zusammenhang mit Amazon Simple Storage Service (Amazon S3)-Buckets erforderlich sind, z. B. AWS-ConfigureS3BucketLoggingund AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock.

    Der Konfigurationsprozess in Quick Setup for Change Manager stellt Ihnen außerdem eine Reihe von vollständigen Systems Manager Manager-Administratorberechtigungen zur Verfügung, die Sie auf eine von Ihnen erstellte Administratorrolle anwenden können.

    Jeder Change Manager Quick Setup Durch die von Ihnen bereitgestellte Konfiguration wird in Ihrem delegierten Administratorkonto eine Auftragsfunktion mit Ausführungsberechtigungen erstellt Change Manager Vorlagen und Automatisierungs-Runbooks in den von Ihnen ausgewählten Organisationseinheiten. Sie können bis zu 15 erstellen Quick Setup Konfigurationen für Change Manager.

  • Aufgabe 3: Wählen Sie aus, mit welchen Mitgliedskonten in Ihrer Organisation Sie diese verwenden möchten Change Manager

    Sie können Folgendes verwenden … Change Manager mit allen Mitgliedskonten in all Ihren Organisationseinheiten, die in Organizations eingerichtet sind, und in allen, in denen AWS-Regionen sie tätig sind. Wenn Sie möchten, können Sie stattdessen verwenden Change Manager mit nur einigen Ihrer Organisationseinheiten.

Wichtig

Bevor Sie mit diesem Verfahren beginnen, empfehlen wir dringend, die Schritte zu lesen, um die von Ihnen vorgenommenen Konfigurationsoptionen und die Berechtigungen zu verstehen, die Sie erteilen. Planen Sie insbesondere die benutzerdefinierten Auftragsfunktionen, die Sie erstellen, und die Berechtigungen, die Sie jeder Auftragsfunktion zuweisen. Dadurch wird sichergestellt, dass, wenn Sie später die von Ihnen erstellten Auftragsfunktionsrichtlinien an einzelne Benutzer, Benutzergruppen oder IAM-Rollen anhängen, ihnen nur die Berechtigungen erteilt werden, die Sie für diese beabsichtigen.

Es hat sich bewährt, zunächst das delegierte Administratorkonto mit dem Anmeldenamen eines AWS-Konto Administrators einzurichten. Konfigurieren Sie dann Auftragsfunktionen und deren Berechtigungen, nachdem Sie Änderungsvorlagen erstellt und die Runbooks identifiziert haben, die jedes einzelne verwendet.

So führen Sie die Einrichtung durch: Change Manager Führen Sie zur Verwendung mit einer Organisation die folgende Aufgabe in der Quick Setup Bereich der Systems Manager Manager-Konsole.

Sie wiederholen diese Aufgabe für jede Auftragsfunktion, die Sie für Ihre Organisation erstellen möchten. Jede Auftragsfunktion, die Sie erstellen, kann Berechtigungen für einen anderen Satz von Organisationseinheiten haben.

Um eine Organisation einzurichten für Change Manager im Verwaltungskonto der Organizations

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Quick Setup.

  3. Auf dem Change ManagerWählen Sie auf der Karte Erstellen aus.

  4. Geben Sie für das delegierte Administratorkonto die ID des Kontos ein, das AWS-Konto Sie für die Verwaltung von Änderungsvorlagen, Änderungsanforderungen und Runbook-Workflows verwenden möchten Change Manager.

    Wenn Sie zuvor ein delegiertes Administratorkonto für Systems Manager angegeben haben, wird seine ID bereits in diesem Feld gemeldet.

    Wichtig

    Das delegierte Administratorkonto muss das einzige Mitglied der Organisationseinheit (OU) sein, der es in Organizations zugewiesen ist.

    Wenn das delegierte Administratorkonto, das Sie registrieren, später von dieser Rolle abgemeldet wird, entfernt das System seine Berechtigungen für die gleichzeitige Verwaltung von Systems Manager-Vorgängen. Denken Sie daran, dass Sie dazu zurückkehren müssen Quick Setup, weisen Sie ein anderes delegiertes Administratorkonto zu und geben Sie alle Jobfunktionen und Berechtigungen erneut an.

    Wenn Sie verwenden Change Manager Wir empfehlen unternehmensweit, Änderungen immer vom delegierten Administratorkonto aus vorzunehmen. Obwohl Sie Änderungen von anderen Konten in der Organisation vornehmen, werden diese Änderungen nicht im delegierten Administratorkonto gemeldet oder können nicht angezeigt werden.

  5. Im Bereich Berechtigungen zum Anfordern und Vornehmen von Änderungen gehen Sie wie folgt vor.

    Anmerkung

    Jede von Ihnen erstellte Bereitstellungskonfiguration stellt die Berechtigungsrichtlinie für nur eine Auftragsfunktion bereit. Sie können zurückkehren zu Quick Setup später, um weitere Jobfunktionen zu erstellen, wenn Sie Änderungsvorlagen erstellt haben, die Sie in Ihren Vorgängen verwenden können.

    So erstellen Sie eine Administratorrolle - Für eine Administratorauftragsfunktion, die IAM-Berechtigungen für alle AWS -Aktionen hat, gehen Sie wie folgt vor.

    Wichtig

    Das Erteilen von vollständigen Administratorberechtigungen sollte sparsam und nur dann erfolgen, wenn für die Rollen der vollständige Zugriff auf Systems Manager erforderlich ist. Wichtige Informationen zu Sicherheitsüberlegungen für den Zugriff auf Systems Manager finden Sie unter Identitäts- und Zugriffsmanagement für AWS Systems Manager und Bewährte Sicherheitsmethoden für Systems Manager.

    1. Für Auftragsfunktion geben Sie einen Namen zur Identifizierung dieser Rolle und ihrer Berechtigungen ein, z. B. My AWS Admin.

    2. Für die Option Rolle und Berechtigungen wählen Sie Administratorberechtigungen.

    So erstellen Sie andere Auftragsfunktionen - Gehen Sie wie folgt vor, um eine nicht-administrative Rolle zu erstellen:

    1. Geben Sie für Auftragsfunktion einen Namen ein, um diese Rolle zu identifizieren und ihre Berechtigungen vorzuschlagen. Der von Ihnen gewählte Name sollte den Bereich der Runbooks repräsentieren, für die Sie Berechtigungen erteilen werden, z. B. DBAdmin oder S3Admin.

    2. Für die Option Rolle und Berechtigungen wählen Sie Benutzerdefinierte Berechtigungen.

    3. Geben Sie im Editor Berechtigungsrichtlinie die IAM-Berechtigungen im JSON-Format ein, die dieser Auftragsfunktion gewährt werden sollen.

    Tipp

    Es wird empfohlen, dass Sie den IAM-Richtlinien-Editor verwenden, um Ihre Richtlinie zu erstellen und dann den Richtlinien-JSON-Code in das Feld Berechtigungsrichtlinie kopieren.

    Beispielrichtlinie: DynamoDB-Datenbankverwaltung

    Sie könnten zum Beispiel mit Richtlinieninhalten beginnen, die Berechtigungen für die Arbeit mit den Systems Manager-Dokumenten (SSM-Dokumenten) vorsehen, auf die die Auftragsfunktion Zugriff benötigt. Hier ist ein Beispiel für einen Richtlinieninhalt, der Zugriff auf alle AWS verwalteten Automation-Runbooks gewährt, die sich auf DynamoDB-Datenbanken beziehen, sowie auf zwei Änderungsvorlagen AWS-Konto 123456789012, die im Beispiel in der Region USA Ost (Ohio) erstellt wurden (). us-east-2

    Die Richtlinie umfasst auch die Genehmigung für StartChangeRequestExecutionVorgang, der für die Erstellung einer Änderungsanforderung in erforderlich ist Change Calendar.

    Anmerkung

    Dieses Beispiel ist nicht umfassend. Für die Arbeit mit anderen AWS Ressourcen wie Datenbanken und Knoten sind möglicherweise zusätzliche Berechtigungen erforderlich.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateDocument",
                "ssm:DescribeDocument",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeDocumentPermission",
                "ssm:GetDocument",
                "ssm:ListDocumentVersions",
                "ssm:ModifyDocumentPermission",
                "ssm:UpdateDocument",
                "ssm:UpdateDocumentDefaultVersion"
            ],
            "Resource": [
                "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
                "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate",
                "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*"
        }
    ]
}

    Weitere Informationen zu IAM-Richtlinien finden Sie unter Zugriffsverwaltung für AWS -Ressourcen und Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch

  6. Im Bereich Targets wählen Sie aus, ob Sie der gesamten Organisation oder nur einigen Organisationseinheiten Berechtigungen für die Auftragsfunktion gewähren möchten, die Sie erstellen.

    Fahren Sie mit Schritt 9 fort, wenn Sie Ganze Organisation wählen.

    Fahren Sie mit Schritt 8 fort, wenn Sie Benutzerdefiniert wählen.

  7. Wählen Sie im OUs Abschnitt Ziel die Kontrollkästchen der Organisationseinheiten aus, mit denen Sie die Option verwenden möchten Change Manager.

  8. Wählen Sie Create (Erstellen) aus.

Nachdem das System die Einrichtung abgeschlossen hat Change Manager für Ihre Organisation wird eine Zusammenfassung Ihrer Bereitstellungen angezeigt. Diese zusammenfassenden Informationen enthalten den Namen der Rolle, die für die von Ihnen konfigurierte Jobfunktion erstellt wurde. Beispiel, AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole.

Anmerkung

Quick Setup verwendet AWS CloudFormation StackSets , um Ihre Konfigurationen bereitzustellen. Sie können auch Informationen zu einer abgeschlossenen Bereitstellungskonfiguration in der AWS CloudFormation -Konsole einsehen. Weitere Informationen zu StackSets finden Sie unter Arbeiten mit AWS CloudFormation StackSets im AWS CloudFormation Benutzerhandbuch.

Ihr nächster Schritt besteht darin, weitere zu konfigurieren Change Manager Optionen. Sie können diese Aufgabe entweder in Ihrem delegierten Administratorkonto oder in einem beliebigen Konto in einer Organisationseinheit ausführen, für das Sie die Verwendung zugelassen haben Change Manager. Sie konfigurieren Optionen wie die Auswahl einer Option für das Benutzeridentitätsmanagement, geben an, welche Benutzer Änderungsvorlagen und Änderungsanträge prüfen und genehmigen oder ablehnen können, und wählen aus, welche bewährten Methoden für Ihr Unternehmen gelten. Weitere Informationen finden Sie unter Konfigurieren Change Manager Optionen und bewährte Verfahren.