Einrichten von Change Manager für eine Organisation (Management-Konto) - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von Change Manager für eine Organisation (Management-Konto)

Die Aufgaben in diesem Thema geltenChange Manager, wenn Sie eine Funktion von AWS Systems Manager, mit einer Organisation verwenden, die in eingerichtet ist AWS Organizations. Wenn Sie es Change Manager nur mit einer einzigen verwenden möchten AWS-Konto, fahren Sie mit dem Thema fortKonfigurieren von Change Manager-Optionen und bewährten Methoden.

Führen Sie die Aufgaben in diesem Abschnitt in einem aus AWS-Konto , der als Verwaltungskonto in Organizations dient. Weitere Informationen zum Verwaltungskonto und zu anderen Organizations-Konzepten finden Sie unter AWS Organizations -Terminologie und Konzepte.

Wenn Sie Organizations aktivieren und Ihr Konto als Verwaltungskonto angeben müssen, bevor Sie fortfahren, siehe Creating and managing an organization (Erstellen und Verwalten einer Organisation) im AWS Organizations -Benutzerhandbuch.

Anmerkung

Dieser Einrichtungsvorgang kann in den folgenden Fällen nicht ausgeführt werden AWS-Regionen:

  • Europa (Mailand) (eu-south-1)

  • Naher Osten (Bahrain) (me-south-1)

  • Afrika (Kapstadt) (af-south-1)

  • Asien-Pazifik (Hongkong) (ap-east-1)

Stellen Sie sicher, dass Sie für dieses Verfahren in einer anderen Region in Ihrem Verwaltungskonto arbeiten.

Während des Einrichtungsvorgangs führen Sie die folgenden Hauptaufgaben in ausQuick Setup, mit einer Fähigkeit von AWS Systems Manager.

  • Aufgabe 1: Registrieren eines delegierten Administrators für Ihre Organisation

    Die änderungsbezogenen Aufgaben, die mit Change Manager ausgeführt werden, werden in einem Ihrer Mitgliedskonten verwaltet, das Sie als delegiertes Administratorkonto angeben. Das delegierte Administratorkonto, das Sie für Change Manager registrieren wird zum delegierten Administratorkonto für alle Systems Manager-Vorgänge. (Möglicherweise haben Sie Administratorkonten für andere delegiert AWS-Services). Ihr delegiertes Administratorkonto für Change Manager, das nicht mit Ihrem Verwaltungskonto identisch ist, verwaltet Änderungsaktivitäten in Ihrer gesamten Organisation, einschließlich Änderungsvorlagen, Änderungsanforderungen und Genehmigungen für jede. Im delegierten Administratorkonto geben Sie auch andere Konfigurationsoptionen für Ihre Change Manager-Operationen an.

    Wichtig

    Das delegierte Administratorkonto muss das einzige Mitglied der Organisationseinheit (OU) sein, der es in Organizations zugewiesen ist.

  • Aufgabe 2: Definieren und Angeben von Runbook-Zugriffsrichtlinien für Änderungsanfordererrollen oder benutzerdefinierte Auftragsfunktionen, die Sie für Ihre Change Manager-Operationen verwenden möchten.

    Um Änderungsanforderungen in erstellen zu könnenChange Manager, müssen Benutzern in Ihren Mitgliedskonten AWS Identity and Access Management (IAM) -Berechtigungen erteilt werden, die es ihnen ermöglichen, nur auf die Automatisierungs-Runbooks und Änderungsvorlagen zuzugreifen, die Sie ihnen zur Verfügung stellen.

    Anmerkung

    Wenn ein Benutzer einen Änderungsantrag erstellt, wählt er zunächst eine Änderungsvorlage aus. Diese Änderungsvorlage stellt möglicherweise mehrere Runbooks zur Verfügung, der Benutzer kann jedoch nur ein Runbook für den jeweiligen Änderungsantrag auswählen. Änderungsvorlagen können auch so konfiguriert werden, dass Benutzer jedes verfügbare Runbook in ihre Anforderungen aufnehmen können.

    Um die erforderlichen Berechtigungen zu erteilen, verwendet Change Manager das Konzept von job functions (Auftragsfunktionen), die auch von IAM verwendet wird. Im Gegensatz zu den AWS -verwalteten Richtlinien für Auftragsfunktionen in IAM geben Sie sowohl die Namen Ihrer Change Manager-Auftragsfunktionen und die IAM-Berechtigungen für diese Auftragsfunktionen an.

    Wenn Sie eine Auftragsfunktion konfigurieren, empfiehlt es sich, eine benutzerdefinierte Richtlinie zu erstellen und nur die Berechtigungen bereitzustellen, die zum Ausführen von Änderungsverwaltungsaufgaben erforderlich sind. Sie können beispielsweise Berechtigungen angeben, die Benutzer basierend auf den von Ihnen definierten Auftragsfunktionen auf diesen bestimmten Satz von Runbooks beschränken.

    Sie können beispielsweise eine Auftragsfunktion mit dem Namen DBAdmin erstellen. Für diese Auftragsfunktion können Sie nur Berechtigungen erteilen, die für Runbooks erforderlich sind, die sich auf Amazon DynamoDB-Datenbanken beziehen, z. B. AWS-CreateDynamoDbBackup und AWSConfigRemediation-DeleteDynamoDbTable.

    Als weiteres Beispiel möchten Sie einigen Benutzern möglicherweise nur die Berechtigungen erteilen, die zum Arbeiten mit Runbooks im Zusammenhang mit Amazon Simple Storage Service (Amazon S3)-Buckets erforderlich sind, z. B. AWS-ConfigureS3BucketLoggingund AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock.

    Der Konfigurationsprozess in Quick Setup für Change Manager stellt außerdem eine Reihe vollständiger Administratorberechtigungen für Systems Manager zur Verfügung, die Sie auf eine von Ihnen erstellte Administratorrolle anwenden können.

    Jede Change Manager Quick Setup-Konfiguration, die Sie bereitstellen, erstellt eine Auftragsfunktion in Ihrem delegierten Administratorkonto mit Berechtigungen zum Ausführen von Change Manager-Vorlagen und Automation-Runbooks in den von Ihnen ausgewählten Organisationseinheiten. Sie können bis zu 15 Quick Setup-Konfigurationen für Change Manager erstellen.

  • Aufgabe 3: Wählen Sie aus, welche Mitgliedskonten in Ihrer Organisation mit Change Manager verwendet werden sollen

    Sie können Change Manager mit allen Mitgliedskonten in allen Organisationseinheiten verwenden, die in Organizations eingerichtet sind, und in allen AWS-Regionen in denen sie arbeiten. Wenn Sie möchten, können Sie stattdessen Change Manager mit nur einigen Ihrer Organisationseinheiten verwenden.

Wichtig

Bevor Sie mit diesem Verfahren beginnen, empfehlen wir dringend, die Schritte zu lesen, um die von Ihnen vorgenommenen Konfigurationsoptionen und die Berechtigungen zu verstehen, die Sie erteilen. Planen Sie insbesondere die benutzerdefinierten Auftragsfunktionen, die Sie erstellen, und die Berechtigungen, die Sie jeder Auftragsfunktion zuweisen. Dadurch wird sichergestellt, dass, wenn Sie später die von Ihnen erstellten Auftragsfunktionsrichtlinien an einzelne Benutzer, Benutzergruppen oder IAM-Rollen anhängen, ihnen nur die Berechtigungen erteilt werden, die Sie für diese beabsichtigen.

Es hat sich bewährt, zunächst das delegierte Administratorkonto mit dem Anmeldenamen eines Administrators einzurichten. AWS-Konto Konfigurieren Sie dann Auftragsfunktionen und deren Berechtigungen, nachdem Sie Änderungsvorlagen erstellt und die Runbooks identifiziert haben, die jedes einzelne verwendet.

Um Change Manager für die Verwendung mit einer Organisation einzurichten, führen Sie die folgende Aufgabe im Quick Setup-Bereich der Systems Manager Konsole aus.

Sie wiederholen diese Aufgabe für jede Auftragsfunktion, die Sie für Ihre Organisation erstellen möchten. Jede Auftragsfunktion, die Sie erstellen, kann Berechtigungen für einen anderen Satz von Organisationseinheiten haben.

So richten Sie eine Organisation für Change Manager im Organizations-Verwaltungskonto ein

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Quick Setup aus.

  3. Wählen Sie auf der Change Manager-Registerkarte Create (Erstellen) aus.

  4. Geben Sie für Delegiertes Administratorkonto die ID des AWS-Konto ein, das Sie zum Verwalten von Änderungsvorlagen, Änderungsanforderungen und Runbook-Workflows in Change Manager verwenden möchten.

    Wenn Sie zuvor ein delegiertes Administratorkonto für Systems Manager angegeben haben, wird seine ID bereits in diesem Feld gemeldet.

    Wichtig

    Das delegierte Administratorkonto muss das einzige Mitglied der Organisationseinheit (OU) sein, der es in Organizations zugewiesen ist.

    Wenn das delegierte Administratorkonto, das Sie registrieren, später von dieser Rolle abgemeldet wird, entfernt das System seine Berechtigungen für die gleichzeitige Verwaltung von Systems Manager-Vorgängen. Denken Sie daran, dass es notwendig sein wird, dass Sie zum Quick Setup zurückkehren, ein anderes delegiertes Administratorkonto festlegen, und alle Auftragsfunktionen und -Berechtigungen erneut angeben.

    Wenn Sie den Change Manager in einer Organisation verwenden, empfehlen wir, Änderungen immer über das delegierte Administratorkonto vorzunehmen. Obwohl Sie Änderungen von anderen Konten in der Organisation vornehmen, werden diese Änderungen nicht im delegierten Administratorkonto gemeldet oder können nicht angezeigt werden.

  5. Im Bereich Berechtigungen zum Anfordern und Vornehmen von Änderungen gehen Sie wie folgt vor.

    Anmerkung

    Jede von Ihnen erstellte Bereitstellungskonfiguration stellt die Berechtigungsrichtlinie für nur eine Auftragsfunktion bereit. Sie können zum Quick Setup zurückkehren, um weitere Auftragsfunktionen zu erstellen, wenn Sie Änderungsvorlagen zur Verwendung in Ihren Vorgängen erstellt haben.

    So erstellen Sie eine Administratorrolle - Für eine Administratorauftragsfunktion, die IAM-Berechtigungen für alle AWS -Aktionen hat, gehen Sie wie folgt vor.

    Wichtig

    Das Erteilen von vollständigen Administratorberechtigungen sollte sparsam und nur dann erfolgen, wenn für die Rollen der vollständige Zugriff auf Systems Manager erforderlich ist. Wichtige Informationen zu Sicherheitsüberlegungen für den Zugriff auf Systems Manager finden Sie unter Identity and Access Management für AWS Systems Manager und Bewährte Methoden für die Sicherheit für Systems Manager.

    1. Für Auftragsfunktion geben Sie einen Namen zur Identifizierung dieser Rolle und ihrer Berechtigungen ein, z. B. My AWS Admin.

    2. Für die Option Rolle und Berechtigungen wählen Sie Administratorberechtigungen.

    So erstellen Sie andere Auftragsfunktionen - Gehen Sie wie folgt vor, um eine nicht-administrative Rolle zu erstellen:

    1. Geben Sie für Auftragsfunktion einen Namen ein, um diese Rolle zu identifizieren und ihre Berechtigungen vorzuschlagen. Der von Ihnen gewählte Name sollte den Bereich der Runbooks repräsentieren, für die Sie Berechtigungen erteilen werden, z. B. DBAdmin oder S3Admin.

    2. Für die Option Rolle und Berechtigungen wählen Sie Benutzerdefinierte Berechtigungen.

    3. Geben Sie im Editor Berechtigungsrichtlinie die IAM-Berechtigungen im JSON-Format ein, die dieser Auftragsfunktion gewährt werden sollen.

    Tipp

    Es wird empfohlen, dass Sie den IAM-Richtlinien-Editor verwenden, um Ihre Richtlinie zu erstellen und dann den Richtlinien-JSON-Code in das Feld Berechtigungsrichtlinie kopieren.

    Beispielrichtlinie: DynamoDB-Datenbankverwaltung

    Sie könnten zum Beispiel mit Richtlinieninhalten beginnen, die Berechtigungen für die Arbeit mit den Systems Manager-Dokumenten (SSM-Dokumenten) vorsehen, auf die die Auftragsfunktion Zugriff benötigt. Hier ist ein Beispiel für einen Richtlinieninhalt, der Zugriff auf alle AWS verwalteten Automation-Runbooks gewährt, die sich auf DynamoDB-Datenbanken beziehen, sowie auf zwei Änderungsvorlagen AWS-Konto 123456789012, die im Beispiel in der Region USA Ost (Ohio) erstellt wurden (). us-east-2

    Die Richtlinie enthält auch die Berechtigung für die StartChangeRequestExecution Operation, die für die Erstellung eines Änderungsantrags in Change Calendar erforderlich ist.

    Anmerkung

    Dieses Beispiel ist nicht umfassend. Für die Arbeit mit anderen AWS Ressourcen wie Datenbanken und Knoten sind möglicherweise zusätzliche Berechtigungen erforderlich.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateDocument",
                "ssm:DescribeDocument",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeDocumentPermission",
                "ssm:GetDocument",
                "ssm:ListDocumentVersions",
                "ssm:ModifyDocumentPermission",
                "ssm:UpdateDocument",
                "ssm:UpdateDocumentDefaultVersion"
            ],
            "Resource": [
                "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
                "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate",
                "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*"
        }
    ]
}

    Weitere Informationen zu IAM-Richtlinien finden Sie unter Zugriffsverwaltung für AWS -Ressourcen und Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch

  6. Im Bereich Targets wählen Sie aus, ob Sie der gesamten Organisation oder nur einigen Organisationseinheiten Berechtigungen für die Auftragsfunktion gewähren möchten, die Sie erstellen.

    Fahren Sie mit Schritt 9 fort, wenn Sie Ganze Organisation wählen.

    Fahren Sie mit Schritt 8 fort, wenn Sie Benutzerdefiniert wählen.

  7. Wählen Sie im Bereich Ziel-OUs die Kontrollkästchen der Organisationseinheiten, die mit Change Manager verwendet werden sollen.

  8. Wählen Sie Erstellen.

Nachdem das System die Einrichtung von Change Manager für Ihre Organisation abgeschlossen hat, wird eine Zusammenfassung Ihrer Bereitstellungen angezeigt. Diese zusammenfassenden Informationen enthalten den Namen der Rolle, die für die von Ihnen konfigurierte Jobfunktion erstellt wurde. z. B. AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole.

Anmerkung

Quick Setupverwendet AWS CloudFormation StackSets , um Ihre Konfigurationen bereitzustellen. Sie können auch Informationen zu einer abgeschlossenen Bereitstellungskonfiguration in der AWS CloudFormation -Konsole einsehen. Weitere Informationen zu StackSets finden Sie unter Arbeiten mit AWS CloudFormation StackSets im AWS CloudFormation Benutzerhandbuch.

Im nächsten Schritt konfigurieren Sie zusätzliche Change Manager-Optionen. Sie können diese Aufgabe entweder in Ihrem delegierten Administratorkonto oder in einem beliebigen Konto in einer Organisationseinheit ausführen, das Sie für die Verwendung mit Change Manager zugelassen haben. Sie konfigurieren Optionen, wie z. B. die Auswahl einer Option für die Verwaltung der Benutzeridentität, die Festlegung, welche Benutzer Änderungsvorlagen und -Anfragen prüfen und genehmigen oder ablehnen können, und die Auswahl der Optionen zu bewährten Methoden, die für Ihr Unternehmen zulässig sein sollen. Weitere Informationen finden Sie unter Konfigurieren von Change Manager-Optionen und bewährten Methoden.