Rôles liés à un service Principaux de service Activer l'accès approuvé Désactiver l'accès approuvé Activation d'un compte administrateur délégué

AWS Systems Manager et AWS Organizations

AWS Systems Manager est un ensemble de fonctionnalités qui permettent la visibilité et le contrôle de vos AWS ressources. Les fonctionnalités suivantes de Systems Manager fonctionnent avec Organizations sur l'ensemble des Comptes AWS de votre organisation :

Systems Manager Explorer est un tableau de bord des opérations personnalisable qui fournit des informations sur vos AWS ressources. Vous pouvez synchroniser les données opérationnelles Comptes AWS dans l'ensemble de votre organisation à l'aide de Organizations and Systems Manager Explorer. Pour plus d'informations, consultez Systems Manager Explorer dans le Guide de l'utilisateur AWS Systems Manager .
Systems Manager Change Manager est une structure de gestion des changements d'entreprise qui permet de demander, d'approuver, de mettre en œuvre et de générer des rapports sur les modifications opérationnelles apportées à la configuration et à l'infrastructure de votre application. Pour plus d'informations, consultez AWS Systems Manager Change Manager dans le Guide de l'utilisateur AWS Systems Manager .
Systems Manager OpsCenter fournit un emplacement central où les ingénieurs des opérations et les professionnels de l'informatique peuvent consulter, étudier et résoudre les éléments de travail opérationnels (OpsItems) liés aux AWS ressources. Lorsque vous l'utilisez OpsCenter avec Organizations, il permet de travailler OpsItems depuis un compte de gestion (soit un compte de gestion Organizations, soit un compte d'administrateur délégué de Systems Manager) et un autre compte au cours d'une seule session. Une fois la configuration terminée, les utilisateurs peuvent effectuer les types d'actions suivants :
- Créez, consultez et mettez à jour OpsItems dans un autre compte.
- Afficher des informations détaillées sur les AWS ressources spécifiées OpsItems dans un autre compte.
- Démarrez les runbooks de Systems Manager Automation pour résoudre les problèmes liés aux AWS ressources d'un autre compte.
Pour plus d'informations, consultez AWS Systems Manager OpsCenterle guide de AWS Systems Manager l'utilisateur.

Utilisez les informations suivantes pour vous aider AWS Systems Manager à intégrer AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Systems Manager d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Systems Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.

AWSServiceRoleForAmazonSSM_AccountDiscovery

Mandataires de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Systems Manager autorisent l'accès aux mandataires de service suivants :

ssm.amazonaws.com

Activation de l'accès approuvé avec Systems Manager

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Vous pouvez activer l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDK.

AWS Management Console

Pour activer l'accès approuvé aux services à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez AWS Systems Managerdans la liste des services.
Choisissez Enable trusted access (Activer l'accès approuvé).
Dans la boîte de AWS Systems Manager dialogue Activer l'accès sécurisé pour, tapez enable pour le confirmer, puis choisissez Activer l'accès sécurisé.
Si vous êtes l'administrateur de AWS Organizations Only, indiquez-lui AWS Systems Manager qu'il peut désormais activer ce service à l'aide de sa console AWS Organizations.

AWS CLI, AWS API

Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour activer un accès sécurisé aux services :

AWS CLI: enable-aws-service-access

Vous pouvez exécuter la commande suivante pour l'activer AWS Systems Manager en tant que service fiable auprès des Organizations.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal ssm.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API : Activer AWSServiceAccess

Désactivation de l'accès approuvé avec Systems Manager

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Systems Manager a besoin d'un accès fiable AWS Organizations pour synchroniser les données opérationnelles au Comptes AWS sein de votre organisation. Si vous désactivez l'accès approuvé, Systems Manager ne parvient pas à synchroniser les données opérationnelles et signale une erreur.

Vous pouvez désactiver l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDK.

AWS Management Console

Pour désactiver l'accès approuvé à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez AWS Systems Managerdans la liste des services.
Choisissez Disable trusted access (Désactiver l'accès approuvé).
Dans la boîte de AWS Systems Manager dialogue Désactiver l'accès sécurisé pour, tapez désactiver pour le confirmer, puis choisissez Désactiver l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, indiquez-lui AWS Systems Manager qu'il peut désormais désactiver ce service à l'aide de sa console ou de ses outils AWS Organizations.

AWS CLI, AWS API

Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :

AWS CLI: disable-aws-service-access

Vous pouvez exécuter la commande suivante pour la désactiver AWS Systems Manager en tant que service sécurisé auprès des Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal ssm.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API : Désactiver AWSServiceAccess

Activation d'un compte administrateur délégué pour Systems Manager

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Systems Manager qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Systems Manager.

Si vous utilisez Change Manager dans une organisation, vous utilisez un compte administrateur délégué. Il s'agit du compte Compte AWS qui a été désigné pour gérer les modèles de modification, les demandes de modification, les livrets de modifications et les flux de travail d'approbation dans Change Manager. Le compte délégué gère les activités de modification dans l'ensemble de votre organisation. Lorsque vous configurez votre organisation pour l'utiliser avec Change Manager, vous spécifiez lequel de vos comptes est utilisé dans ce rôle. Ce n'est pas nécessairement le compte de gestion de l'organisation. Le compte administrateur délégué n'est pas obligatoire si vous utilisez Change Manager avec un seul compte.

Pour désigner un compte de membre comme administrateur délégué, consultez les rubriques suivantes du Guide de l'utilisateur AWS Systems Manager :

Pour Explorer et OpsCenter, voir Configuration d'un administrateur délégué.
Pour Change Manager, consultez Configuration d'une organisation et d'un compte délégué pour Change Manager.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS IAM Identity Center

Politiques de balises