Abfragen von Bestandsdaten aus mehreren Regionen und Konten - AWS Systems Manager
Konfigurieren des ZugriffsAbfragen von Daten auf der Seite „Inventory Detailed View (Detaillierte Bestandsansicht)“

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abfragen von Bestandsdaten aus mehreren Regionen und Konten

AWS Systems Manager -Bestand ist in Amazon Athena integriert, um Ihnen bei der Abfrage von Lagerbestandsdaten aus mehreren AWS-Regionen und AWS-Konten zu helfen. Die Athena-Integration verwendet Resource Data Sync, sodass Sie Bestandsdaten aus allen verwalteten Knoten auf der Seite Detailed View (Detailansicht) in der AWS Systems Manager -Konsole anzeigen können.

Wichtig

Diese Funktion verwendet AWS Glue , um die Daten in Ihrem Amazon Simple Storage Service (Amazon S3) -Bucket zu crawlen, und Amazon Athena, um die Daten abzufragen. Abhängig davon, wie viele Daten durchsucht und abgefragt werden, werden Ihnen diese Services in Rechnung gestellt. Mit AWS Glue zahlen Sie einen sekundengenauen Stundensatz für Crawler (Datenermittlung) und ETL Jobs (Verarbeitung und Laden von Daten). Bei Athena richtet sich die Gebühr nach der Menge der pro Abfrage durchsuchten Daten. Wir empfehlen Ihnen, die Preisrichtlinien für diese Services zu lesen, bevor Sie die Amazon Athena-Integration mit Systems Manager Inventory verwenden. Weitere Informationen finden Sie unter Amazon Athena – Preise und AWS Glue -Preise.

Sie können Inventory-Daten auf der Seite Detailed View (Detailsansicht in allen AWS-Regionen anzeigen, in denen Amazon Athena verfügbar ist. Eine Liste der unterstützten Regionen finden Sie unter Amazon Athena-Service-Endpunkte im Allgemeine Amazon Web Services-Referenz.

Bevor Sie beginnen

Die Athena-Integration verwendet Resource Data Sync. Sie müssen Resource Data Sync einrichten und konfigurieren, um dieses Feature zu verwenden. Weitere Informationen finden Sie unter Walkthrough: Verwenden von Resource Data Sync zum Aggregieren von Bestandsdaten.

Beachten Sie außerdem, dass die Detailed View (Detailansicht Bestandsdaten für den Besitzer des zentralen Amazon S3-Buckets anzeigt, der von Resource Data Sync verwendet wird. Wenn Sie nicht der Besitzer des zentralen Amazon S3-Buckets sind, werden Ihnen auf der Seite Detailed View (Detailansicht) keine Bestandsdaten angezeigt.

Konfigurieren des Zugriffs

Bevor Sie Daten aus mehreren Konten und Regionen auf der Seite Detailsansicht in der Systems-Manager-Konsole abfragen und anzeigen können, müssen Sie Ihre IAM Entität mit Berechtigungen zur Ansicht der Daten konfigurieren.

Wenn die Bestandsdaten in einem Amazon-S3-Bucket gespeichert sind, der AWS Key Management Service (AWS KMS) -Verschlüsselung verwendet, müssen Sie optional auch Ihre IAM Entität und die Amazon-GlueServiceRoleForSSM Servicerolle für AWS KMS -Verschlüsselung konfigurieren.

Konfigurieren Ihrer IAM Entität für den Zugriff auf die Seite Detailansicht

Im Folgenden werden die Mindestberechtigungen beschrieben, die zum Anzeigen von Bestandsdaten auf der Seite Detailansicht erforderlich sind.

Die von AWSQuicksightAthenaAccess verwaltete Richtlinie

Die folgende PassRole und der zusätzliche erforderliche Berechtigungsblock

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGlue",
            "Effect": "Allow",
            "Action": [
                "glue:GetCrawler",
                "glue:GetCrawlers",
                "glue:GetTables",
                "glue:StartCrawler",
                "glue:CreateCrawler"
            ],
            "Resource": "*"
        },
        {
            "Sid": "iamPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "glue.amazonaws.com"
                }
            }
        },
        {
            "Sid": "iamRoleCreation",
           "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::account_ID:role/*"
        },
        {
            "Sid": "iamPolicyCreation",
            "Effect": "Allow",
            "Action": "iam:CreatePolicy",
            "Resource": "arn:aws:iam::account_ID:policy/*"
        }
    ]
}

(Optional) Wenn der Amazon S3 S3-Bucket, der zum Speichern von Bestandsdaten verwendet wird AWS KMS, mithilfe von verschlüsselt wird, müssen Sie der Richtlinie auch den folgenden Block hinzufügen.

{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:Region:account_ID:key/key_ARN"
    ]
}

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

(Optional) Konfigurieren von Berechtigungen für die Anzeige von AWS KMS verschlüsselten Daten

Wenn der Amazon S3 S3-Bucket, der zum Speichern von Inventardaten verwendet wird, mithilfe von AWS Key Management Service (AWS KMS) verschlüsselt ist, müssen Sie Ihre IAM Entität und die GlueServiceRoleForSSMAmazon-Rolle mit kms:Decrypt Berechtigungen für den AWS KMS Schlüssel konfigurieren.

Bevor Sie beginnen

Um die kms:Decrypt Berechtigungen für den AWS KMS -Schlüssel bereitzustellen, fügen Sie Ihrer IAM Entität den folgenden Richtlinienblock hinzu:

{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:Region:account_ID:key/key_ARN"
    ]
}

Wenn Sie es noch nicht getan haben, führen Sie dieses Verfahren aus und fügen Sie kms:Decrypt Berechtigungen für den AWS KMS -Schlüssel hinzu.

Gehen Sie wie folgt vor, um die GlueServiceRoleForSSMAmazon-Rolle mit den kms:Decrypt Berechtigungen für den AWS KMS Schlüssel zu konfigurieren.

Um die GlueServiceRoleForSSMAmazon-Rolle mitkms:Decrypt Berechtigungen zu konfigurieren

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus und verwenden Sie dann das Suchfeld, um die GlueServiceRoleForSSMAmazon-Rolle zu suchen. Die Seite Summary (Übersicht) wird geöffnet.

  3. Verwenden Sie das Suchfeld, um die GlueServiceRoleForSSMAmazon-Rolle zu finden. Wählen Sie den Rollennamen aus. Die Seite Summary (Übersicht) wird geöffnet.

  4. Wählen Sie den Rollennamen aus. Die Seite Summary (Übersicht) wird geöffnet.

  5. Wählen Sie Inline-Richtlinie hinzufügen. Die Seite Create policy (Richtlinie erstellen) wird geöffnet.

  6. Wählen Sie den JSONTab.

  7. Löschen Sie den vorhandenen JSON Text im Editor, kopieren Sie dann die folgende Richtlinie und fügen Sie sie in den JSON Editor ein. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:Region:account_ID:key/key_ARN"
            ]
        }
    ]
}

  8. Wählen Sie Review policy (Richtlinie überprüfen) aus.

  9. Geben Sie auf der Seite Review Policy (Richtlinie überprüfen) im Feld Name einen Namen ein.

  10. Wählen Sie Create Policy (Richtlinie erstellen) aus.

Abfragen von Daten auf der Seite „Inventory Detailed View (Detaillierte Bestandsansicht)“

Führen Sie die folgenden Schritte aus, um Bestandsdaten aus mehreren AWS-Regionen und AWS-Konten auf der Seite Systems Manager Inventory Detailed View (Detaillierte Systems Manager Inventory-Ansicht) anzuzeigen.

Wichtig

Die Seite Inventory Detailed View (Detailansicht) ist nur in AWS-Regionen verfügbar, die Amazon Athena anbieten. Wenn die folgenden Registerkarten nicht auf der Seite Systems Manager Inventory angezeigt werden, bedeutet dies, dass Athena nicht in der Region verfügbar ist und Sie die Detailansicht nicht verwenden können, um Daten abzufragen.

Anzeigen des Inventory-Dashboards | Detailed View (Detailansicht) | Registerkarte „Settings“ (Einstellungen)
Bestandsdaten aus mehreren Regionen und Konten in der AWS Systems Manager -Konsole anzeigen

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Inventory.

  3. Wählen Sie die Registerkarte Detailed View (Detaillierte Ansicht) aus.

    Zugreifen auf die Seite der AWS Systems Manager -Bestandsdetailansicht

  4. Wählen Sie die Resource Data Sync aus, für die Sie Daten abfragen möchten.

    Anzeigen von Bestandsdaten in der AWS Systems Manager -Konsole

  5. Wählen Sie in der Liste Inventory Type (Bestandstyp) den Typ der Bestandsdaten aus, die Sie abfragen möchten, und drücken Sie dann Enter.

    Auswählen eines Bestandstyps in der AWS Systems Manager -Konsole

  6. Um die Daten zu filtern, wählen Sie die Filterleiste aus und wählen Sie dann eine Filteroption aus.

    Filtern von Bestandsdaten in der AWS Systems Manager -Konsole

Sie können die CSV Schaltfläche Exportieren nach verwenden, um den aktuellen Abfragesatz in einer Tabellenkalkulationsanwendung wie Microsoft Excel anzuzeigen. Sie können auch die Schaltflächen Query History (Abfrageverlauf) und Run Advanced Queries (Erweiterte Abfragen ausführen) verwenden, um mit Ihren Daten in Amazon Athena zu interagieren.

Bearbeiten des Zeitplans für den AWS Glue -Crawler

AWS Glue durchsucht standardmäßig zweimal täglich die Bestandsdaten im zentralen Amazon S3 S3-Bucket. Wenn Sie häufig die Arten der auf Ihren Knoten zu erfassenden Daten ändern, möchten Sie möglicherweise Sie die Daten häufiger durchsuchen, wie im folgenden Verfahren beschrieben.

Wichtig

AWS Glue berechnet für Ihr AWS-Konto einen sekundengenauen Stundensatz für Crawler (Datenermittlung) und ETL Aufträge (Verarbeitung und Laden von Daten). Bevor Sie den Crawler-Zeitplan anzeigen, rufen Sie die AWS Glue -Preisliste auf.

So ändern Sie den Bestandsdatencrawler-Zeitplan

  1. Öffnen Sie die AWS Glue Konsole unter. https://console.aws.amazon.com/glue/

  2. Wählen Sie im Navigationsbereich Crawlers (Crawler) aus.

  3. Wählen Sie in der Liste der Crawler die Option neben dem Systems Manager Inventory-Crawler aus. Der Crawler-Name verwendet das folgende Format:

    AWSSystemsManager-s3-bucket-name-Region-account_ID

  4. Wählen Sie Action (Aktion) und Edit crawler (Crawler bearbeiten) aus.

  5. Wählen Sie im Navigationsbereich Schedule (Zeitplan) aus.

  6. Geben Sie im Feld Cron expression (cron-Ausdruck) einen neuen Zeitplan mit einem Cron-Format an. Weitere Informationen zum Cron-Format finden Sie unter Zeitpläne für Aufträge und Crawler im AWS Glue Developer Guide.

Wichtig

Sie können den Crawler anhalten, damit keine Gebühren mehr von anfallen. AWS Glue Wenn Sie den Crawler aussetzen oder die Häufigkeit ändern, damit die Daten weniger häufig durchsucht werden, zeigt Inventory Detailed View (Detaillierte Ansicht) möglicherweise Daten an, die nicht aktuell sind.