Configuración de permisos para Systems Manager OpsCenter

Configuración de roles y permisos para Systems Manager Explorer

La instalación integrada crea y configura de forma automática roles de AWS Identity and Access Management (IAM) para AWS Systems Manager Explorer y AWS Systems Manager OpsCenter. Si completó la instalación integrada, no tendrá que realizar ninguna tarea adicional para configurar roles y permisos de Explorer. Sin embargo, debe configurar el permiso para OpsCenter, como se describe más adelante en este tema.

El programa de instalación integrada crea y configura los siguientes roles para trabajar con Explorer y OpsCenter.

AWSServiceRoleForAmazonSSM: proporciona acceso a recursos de AWS administrados o utilizados por Systems Manager.
OpsItem-CWE-Role: permite que CloudWatch Events y EventBridge creen OpsItems en respuesta a eventos comunes.
AWSServiceRoleForAmazonSSM_AccountDiscovery: permite que Systems Manager llame a otros Servicios de AWS para encontrar información de Cuenta de AWS cuando se sincronizan los datos. Para obtener más información acerca de este rol, consulte Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer.
AmazonSSMExplorerExport: permite que Explorer exporte OpsData a un archivo de valores separados por comas (CSV).

Si configura Explorer para mostrar datos de varias cuentas y regiones mediante AWS Organizations y una sincronización de datos de recursos, Systems Manager creará el rol vinculado a servicios AWSServiceRoleForAmazonSSM_AccountDiscovery. Systems Manager utiliza este rol para obtener información acerca de su Cuentas de AWS en AWS Organizations. El rol utiliza la siguiente política de permisos.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

Para obtener más información acerca de los roles de AWSServiceRoleForAmazonSSM_AccountDiscovery, consulte Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer.

Configuración de permisos para Systems Manager OpsCenter

Después de completar la instalación integrada, debe configurar los permisos de usuario, grupo o rol para que los usuarios puedan realizar acciones en OpsCenter.

Antes de empezar

Puede configurar OpsCenter para crear y administrar OpsItems en una sola cuenta o en varias cuentas. Si configura OpsCenter para crear y administrar OpsItems en varias cuentas, puede usar la cuenta de administrador delegado de Systems Manager o la cuenta de administrador AWS Organizations para crear, ver o editar OpsItems en otras cuentas de forma manual. Para obtener más información acerca de la cuenta de administrador delegado de Systems Manager, consulte Configurar un administrador delegado para Explorer.

Si configura OpsCenter para una sola cuenta, solo podrá ver o editar OpsItems en la cuenta en la que se crearon los OpsItems. No se pueden compartir ni transferir OpsItems entre Cuentas de AWS. Por este motivo, le recomendamos que configure los permisos para OpsCenter en la Cuenta de AWS que se utiliza para ejecutar las cargas de trabajo de AWS. A continuación, puede crear usuarios o grupos de en dicha cuenta. De esta forma, varios ingenieros de operaciones o profesionales de TI pueden crear, ver y editar OpsItems en la misma Cuenta de AWS.

Explorer y OpsCenter utilizan las siguientes operaciones de la API. Puede utilizar todas las características de Explorer y OpsCenter si el usuario, grupo o rol tiene acceso a esas acciones. También puede crear un acceso más restrictivo, tal y como se describe más adelante en esta sección.

Si lo prefiere, puede especificar un permiso de solo lectura mediante la adición de la siguiente política insertada a su cuenta, grupo o rol.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

Para obtener más información acerca de la creación y edición de políticas de IAM, consulte Creación de políticas de IAM en la Guía del usuario de IAM. Para obtener información acerca de cómo asignar esta política a un grupo de IAM, consulte Asociación de una política a un grupo de IAM.

Cree un permiso con lo siguiente y agréguelo a sus usuarios, grupos o roles:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

Según la aplicación de identidad que utilice en su organización,  puede seleccionar cualquiera de las siguientes opciones para configurar el acceso de los usuarios.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
Usuarios administrados en IAM a través de un proveedor de identidades:

Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
Usuarios de IAM:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Restricción del acceso a OpsItems mediante etiquetas

También puede restringir el acceso a OpsItems mediante la aplicación de una política de IAM en línea que especifique etiquetas. A continuación se muestra un ejemplo que especifica una clave de etiqueta de Department (Departamento) y un valor de etiqueta de Finance (Finanzas). Con esta política, el usuario solo puede llamar a la operación GetOpsItem de la API para ver OpsItems etiquetados anteriormente con Key=Department (Clave=Departamento) y Value=Finance (Valor=Finanzas). Los usuarios no pueden ver otros OpsItems.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

A continuación se muestra un ejemplo que especifica las operaciones de la API para ver y actualizar OpsItems. Esta política también especifica dos conjuntos de pares de etiquetas clave-valor: Department-Finance (Departamento-Finanzas) y Project-Unity (Proyecto-Unidad).


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

Para obtener más información acerca de cómo añadir etiquetas a un OpsItem, consulte Crear OpsItems manualmente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de servicios relacionados para Explorer

Comprender las reglas de EventBridge predeterminadas creadas por la instalación integrada