Erste Schritte mit Quick Setup - AWS Systems Manager
IAM-Rollen und -Berechtigungen für das Quick Setup-OnboardingManuelles Onboarding für die programmatische Arbeit mit der Quick Setup API

Erste Schritte mit Quick Setup

Verwenden Sie die Informationen in diesem Thema, um sich auf die Verwendung von Quick Setup vorzubereiten.

IAM-Rollen und -Berechtigungen für das Quick Setup-Onboarding

Quick Setup hat ein neues Konsolenerlebnis und eine neue API eingeführt. Jetzt können Sie mit dieser API über die Konsole, AWS CLI, AWS CloudFormation, und die SDKs interagieren. Wenn Sie sich für das neue Erlebnis entscheiden, werden Ihre vorhandenen Konfigurationen mithilfe der neuen API neu erstellt. Je nach Anzahl der vorhandenen Konfigurationen in Ihrem Konto kann dieser Vorgang einige Minuten dauern.

Um die neue Quick Setup-Konsole verwenden zu können, müssen Sie über Berechtigungen für die folgenden Aktionen verfügen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/AWS-QuickSetup-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm-quicksetup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Um Benutzern schreibgeschützte Berechtigungen zu gewähren, erlauben Sie nur ssm-quicksetup:List*- und ssm-quicksetup:Get*-Operationen für die Quick Setup-API.

Während des Onboarding erstellt Quick Setup die folgenden AWS Identity and Access Management (IAM) -Rollen in Ihrem Namen:

  • AWS-QuickSetup-LocalExecutionRole – Erteilt AWS CloudFormation Berechtigungen zur Verwendung beliebiger Vorlagen, mit Ausnahme der Patch-Richtlinienvorlage, und zur Erstellung der erforderlichen Ressourcen.

  • AWS-QuickSetup-LocalAdministrationRole – Gewährt AWS CloudFormation die Berechtigung, AWS-QuickSetup-LocalExecutionRole zu übernehmen.

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole – Erteilt AWS CloudFormation Berechtigungen zur Verwendung der Patch-Richtlinienvorlage und zur Erstellung der erforderlichen Ressourcen.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole – Gewährt AWS CloudFormation die Berechtigung, AWS-QuickSetup-PatchPolicy-LocalExecutionRole zu übernehmen.

Wenn Sie ein Verwaltungskonto einrichten – das Konto, in dem Sie eine Organisation in AWS Organizations erstellen – erstellt Quick Setup auch die folgenden Rollen in Ihrem Namen:

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer— Erteilt Berechtigungen dem AWS-EnableExplorer-Automation-Runbook. Das AWS-EnableExplorer-Runbook konfiguriert Explorer, ein Tool von Systems Manager, um Informationen für mehrere AWS-Konten und AWS-Regionen anzuzeigen.

  • AWSServiceRoleForAmazonSSM— Eine serviceverknüpfte Rolle, die Zugriff auf AWS-Ressourcen gewährt, die von Systems Manager verwaltet und verwendet werden.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery – Eine serviceverknüpfte Rolle, die Systems Manager Berechtigungen zum Aufrufen von AWS-Services gewährt, AWS-Konto-Informationen beim Synchronisieren von Daten zu erkennen. Weitere Informationen finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto-Informationen für OpsCenter und Explorer.

Beim Onboarding eines Verwaltungskontos ermöglicht Quick Setup den vertrauenswürdigen Zugriff zwischen AWS Organizationsund CloudFormation zur Bereitstellung von Quick Setup-Konfigurationen in Ihrer gesamten Organisation. Um vertrauenswürdigen Zugriff zu aktivieren, muss Ihr Verwaltungskonto über Administratorberechtigungen verfügen. Nach dem Onboarding benötigen Sie keine Administratorberechtigungen mehr. Weitere Informationen finden Sie unter Enable trusted access with Organizations (Aktivieren des vertrauenswürdigen Zugriffs mit Organizations).

Informationen über AWS Organizations-Kontotypen finden Sie unter AWS Organizations Terminologie und Konzepte im AWS Organizations-Benutzerhandbuch.

Anmerkung

Quick Setup nutzt AWS CloudFormation-StackSets, um Ihre Konfigurationen in AWS-Konten und Regionen bereitzustellen. Wenn die Anzahl der Zielkonten multipliziert mit der Anzahl der Regionen 10 000 übersteigt, kann die Konfiguration nicht bereitgestellt werden. Wir empfehlen Ihnen, Ihren Anwendungsfall zu überprüfen und Konfigurationen zu erstellen, die weniger Ziele verwenden, um dem Wachstum Ihres Unternehmens Rechnung zu tragen. Stack-Instances werden nicht für das Verwaltungskonto Ihrer Organisation bereitgestellt. Weitere Informationen finden Sie unter Considerations when creating a stack set with service-managed permissions (Überlegungen beim Erstellen eines Stack-Sets mit service-verwalteten Berechtigungen).

Manuelles Onboarding für die programmatische Arbeit mit der Quick Setup API

Wenn Sie die Konsole zum Arbeiten mit Quick Setup verwenden, übernimmt der Service die Onboarding-Schritte für Sie. Wenn Sie SDKs oder die AWS CLI verwenden möchten, um mit der Quick Setup-API zu arbeiten, können Sie die Onboarding-Schritte trotzdem über die Konsole erledigen lassen, sodass Sie sie nicht manuell durchführen müssen. Einige Kunden müssen die Onboarding-Schritte für Quick Setup jedoch programmgesteuert durchführen, ohne mit der Konsole zu interagieren. Wenn diese Methode zu Ihrem Anwendungsfall passt, müssen Sie die folgenden Schritte ausführen. Alle diese Schritte müssen von Ihrem AWS Organizations-Verwaltungskonto aus abgeschlossen werden.

Um das manuelle Onboarding abzuschließen für Quick Setup

  1. Aktivieren Sie den vertrauenswürdigen Zugriff für AWS CloudFormation mit Organizations. Dadurch erhält das Verwaltungskonto Berechtigungen zum Erstellen und Verwalten von StackSets für Ihre Organisation. Sie können die ActivateOrganizationsAccess-API-Aktion von AWS CloudFormation verwenden, um diesen Schritt abzuschließen. Weitere Informationen finden Sie unter ActivateOrganizationsAccess in der API-Referenz zu AWS CloudFormation.

  2. Ermöglichen Sie die Integration von Systems Manager mit Organizations. Auf diese Weise kann Systems Manager eine serviceverknüpfte Rolle für alle Konten Ihrer Organisation erstellen. Auf diese Weise kann Systems Manager auch Vorgänge in Ihrem Namen in Ihrer Organisation und deren Konten ausführen. Sie können die EnableAWSServiceAccess-API-Aktion von AWS Organizations verwenden, um diesen Schritt abzuschließen. Der Serviceprinzipal für Systems Manager ist ssm.amazonaws.com. Weitere Informationen finden Sie unter EnableAWSServiceAccess in der API-Referenz zu AWS Organizations.

  3. Erstellen Sie die erforderliche IAM-Rolle für Explorer. Dadurch kann Quick Setup Dashboards für Ihre Konfigurationen erstellen, sodass Sie Bereitstellungs- und Zuordnungsstatus anzeigen können. Erstellen Sie eine IAM-Rolle und fügen Sie ihr die von AWSSystemsManagerEnableExplorerExecutionPolicy verwaltete Richtlinie hinzu. Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jede Konto-ID mit Ihren Informationen.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:*:ssm:*:111122223333:automation-execution/*"
                }
            }
        }
    ]
}

  4. Aktualisieren Sie die Quick Setup-Serviceeinstellung für Explorer. Sie können die UpdateServiceSettings-API-Aktion von Quick Setup verwenden, um diesen Schritt abzuschließen. Geben Sie den ARN für die IAM-Rolle an, die Sie im vorherigen Schritt für den ExplorerEnablingRoleArn-Anforderungsparameter erstellt haben. Weitere Informationen finden Sie unter UpdateServiceSettings in der API-Referenz zu Quick Setup.

  5. Erstellen Sie die erforderlichen IAM-Rollen, die AWS CloudFormation StackSets verwenden sollen. Sie müssen eine Ausführungsrolle und eine Administratorrolle erstellen.

    1. Erstellen Sie die Ausführungsrolle. Der Ausführungsrolle sollte mindestens eine der AWSQuickSetupDeploymentRolePolicy oder AWSQuickSetupPatchPolicyDeploymentRolePolicy verwalteten Richtlinien zugeordnet sein. Wenn Sie nur Konfigurationen für Patch-Richtlinien erstellen, können Sie AWSQuickSetupPatchPolicyDeploymentRolePolicy verwaltete Richtlinien verwenden. Alle anderen Konfigurationen verwenden die AWSQuickSetupDeploymentRolePolicy-Richtlinie. Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jede Konto-ID und jeden Namen der Administratorrolle durch Ihre Informationen.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/administration role name"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    2. Erstellen Sie die Administratorrolle. Die Berechtigungsrichtlinie muss wie folgt übereinstimmen. Ersetzen Sie jede Konto-ID und jeden Namen der Ausführungsrolle durch Ihre Informationen.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:*:iam::111122223333:role/execution role name",
            "Effect": "Allow"
        }
    ]
}

      Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jede Konto-ID mit Ihren Informationen.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}