(Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas - AWS Systems Manager
Antes de empezarPaso 1: creación de una sincronización de datos de recursosPaso 2: habilitación de la entidad principal del servicio de Systems Manager en AWS OrganizationsPaso 3: creación del rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscoveryPaso 4: configuración de permisos para trabajar con OpsItems entre cuentasPaso 5: configuración de permisos para trabajar con recursos relacionados entre cuentas

(Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas

En esta sección se describe cómo configurar manualmente OpsCenter en la administración multicuenta de OpsItem. Si bien este proceso sigue siendo compatible, se ha sustituido por un proceso más reciente que utiliza Quick Setup de Systems Manager. Para obtener más información, consulte (Opcional) Configuración de OpsCenter para administrar OpsItems en todas las cuentas mediante Quick Setup.

Puede configurar una cuenta central para crear OpsItems manuales para las cuentas de miembros y administrar y corregir esos OpsItems. La cuenta central puede ser la cuenta de administración de AWS Organizations o tanto la cuenta de administración de AWS Organizations como la cuenta de administrador de Systems Manager. Le recomendamos que utilice la cuenta de administrador delegado de Systems Manager como cuenta central. Solo puede utilizar esta función después de configurar AWS Organizations.

Con AWS Organizations, puede consolidar varias Cuentas de AWS en una organización que puede crear y administrar de forma centralizada. El usuario de la cuenta central puede crear OpsItems simultáneamente en todas las cuentas de los miembros seleccionados y administrar los OpsItems.

Utilice el proceso de esta sección para habilitar la entidad principal del servicio System Manager en Organizations y configure los permisos de AWS Identity and Access Management (IAM) para trabajar con OpsItems entre cuentas.

nota

Solo se admiten OpsItems de tipo /aws/issue cuando se trabaja con OpsCenter entre cuentas.

Antes de empezar

Antes de configurar OpsCenter para trabajar con OpsItems entre cuentas, asegúrese de haber configurado lo siguiente:

Paso 1: creación de una sincronización de datos de recursos

Después de instalar y configurar AWS Organizations, puede agregar OpsItems en OpsCenter para toda una organización si crea una sincronización de datos de recursos. Para obtener más información, consulte Creación de una sincronización de datos de recursos. Cuando se cree la sincronización, en la sección Agregar cuentas, seleccione la opción Incluir todas las cuentas de mi configuración de AWS Organizations.

Paso 2: habilitación de la entidad principal del servicio de Systems Manager en AWS Organizations

Para permitir que un usuario trabaje con OpsItems en varias cuentas, la entidad principal de servicio de Systems Manager debe estar habilitada en AWS Organizations. Si anteriormente configuró Systems Manager para escenarios de cuentas múltiples con otras funciones, es posible que la entidad principal de servicio de Systems Manager ya esté configurada en Organizations. Ejecute los siguientes comandos desde la AWS Command Line Interface (AWS CLI) para verificarlo. Si no ha configurado Systems Manager para otras situaciones de cuentas múltiples, pase al siguiente procedimiento, Para habilitar la entidad principal del servicio de Systems Manager en AWS Organizations.

Para comprobar que la entidad principal de servicio de Systems Manager está activada en AWS Organizations

  1. Descargue la versión más reciente de la AWS CLI en su máquina local.

  2. Abra la AWS CLI y ejecute el siguiente comando para especificar sus credenciales y una Región de AWS.

    aws configure

    El sistema le solicita que especifique lo siguiente. En el siguiente ejemplo, reemplace cada marcador de posición del usuario con su propia información.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  3. Ejecute el siguiente comando para comprobar que la entidad principal de servicio de Systems Manager está habilitada para AWS Organizations.

    aws organizations list-aws-service-access-for-organization

    El comando devuelve información similar a la que se muestra en el siguiente ejemplo.

    {
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}
Para habilitar la entidad principal de servicio de Systems Manager en AWS Organizations

Si no ha configurado la entidad principal de servicio de Systems Manager para Organizations, utilice el siguiente procedimiento. Para obtener más información sobre este comando, consulte enable-aws-service-access en la Referencia de comandos de la AWS CLI.

  1. Si aún no lo ha hecho, instale y configure la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Instalación de la CLI y Configuración de la CLI.

  2. Descargue la versión más reciente de la AWS CLI en su máquina local.

  3. Abra la AWS CLI y ejecute el siguiente comando para especificar sus credenciales y una Región de AWS.

    aws configure

    El sistema le solicita que especifique lo siguiente. En el siguiente ejemplo, reemplace cada marcador de posición del usuario con su propia información.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  4. Ejecute el siguiente comando para habilitar la entidad principal de servicio de Systems Manager para AWS Organizations.

    aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

Paso 3: creación del rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery

Un rol vinculado a servicios, como el rol AWSServiceRoleForAmazonSSM_AccountDiscovery, es un tipo único de rol de IAM que está vinculado directamente a un Servicio de AWS, como Systems Manager. El servicio predefine los roles vinculados a servicios, que incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre. Para obtener más información sobre el rol vinculado al servicio de AWSServiceRoleForAmazonSSM_AccountDiscovery, consulte Permisos de roles vinculados al servicio de detección de cuentas de Systems Manager.

Utilice el siguiente procedimiento para crear el rol vinculado al servicio de AWSServiceRoleForAmazonSSM_AccountDiscovery mediante AWS CLI. Para obtener más información sobre el comando que se utilizó en este procedimiento, consulte create-service-linked-role en la AWS CLIreferencia de comandos.

Para crear el rol vinculado al servicio de AWSServiceRoleForAmazonSSM_AccountDiscovery

  1. Inicie sesión en la consola de administración de AWS Organizations.

  2. Mientras su sesión está iniciada en la cuenta de administración de Organizations, ejecute el siguiente comando.

    aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

Paso 4: configuración de permisos para trabajar con OpsItems entre cuentas

Utilice conjuntos de pilas de AWS CloudFormation para crear una política de recursos de OpsItemGroup y un rol de ejecución de IAM que otorgue a los usuarios permisos para trabajar con OpsItems entre cuentas. Para comenzar, descargue y descomprima el archivo OpsCenterCrossAccountMembers.zip. Este archivo contiene el archivo de plantilla OpsCenterCrossAccountMembers.yaml de AWS CloudFormation. Cuando crea un conjunto de pilas con esta plantilla, CloudFormation genera automáticamente la política de recursos OpsItemCrossAccountResourcePolicy y el rol de ejecución OpsItemCrossAccountExecutionRole en la cuenta. Para obtener más información acerca de la creación de conjuntos de pilas, consulte crear un grupo de pilas en la guía del usuario de AWS CloudFormation.

importante

Tenga en cuenta la siguiente información importante sobre esta tarea:

  • Debe implementar el conjunto de pilas mientras tenga abierta la sesión de la cuenta de administración de AWS Organizations.

  • Debe repetir este procedimiento mientras tenga abierta la sesión en todas las cuentas que desee utilizar para trabajar con OpsItems en todas ellas, incluida la cuenta de administrador delegada.

  • Si desea habilitar la administración OpsItems entre cuentas en diferentes Regiones de AWS, elija agregar todas las regiones en la sección especificar regiones de la plantilla. La administración de OpsItem entre cuentas no es compatible con las regiones habilitadas.

Un OpsItem puede incluir información detallada sobre recursos afectados, por ejemplo, instancias de Amazon Elastic Compute Cloud (Amazon EC2) o buckets de Amazon Simple Storage Service (Amazon S3). El rol de ejecución de OpsItemCrossAccountExecutionRole que creó en el Paso 4 anterior otorga a OpsCenter permisos de solo lectura para que las cuentas miembro vean los recursos relacionados. También debe crear un rol de IAM para proporcionar cuentas de administración con permiso para ver e interactuar con recursos relacionados, que completará en esta tarea.

Para comenzar, descargue y descomprima el archivo OpsCenterCrossAccountManagementRole.zip. Este archivo contiene el archivo de plantilla OpsCenterCrossAccountManagementRole.yaml de AWS CloudFormation. Al crear una pila con esta plantilla, CloudFormation crea automáticamente el rol de IAM OpsCenterCrossAccountManagementRole en la cuenta. Para obtener más información sobre la creación de pilas, consulte Crear pilas en la consola AWS CloudFormation en la Guía del usuario de AWS CloudFormation.

importante

Tenga en cuenta la siguiente información importante sobre esta tarea:

  • Si planea especificar una cuenta como administrador delegado para OpsCenter, asegúrese de especificar esa Cuenta de AWS cuando cree la pila.

  • Debe realizar este procedimiento mientras tenga abierta la sesión en la cuenta de administración de AWS Organizations y nuevamente mientras esté conectado a la cuenta de administrador delegada.