Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des rôles et des autorisations pour Systems Manager Explorer
Le programme d'installation intégré crée et configure automatiquement AWS Identity and Access Management (IAM) des rôles pour AWS Systems Manager Explorer et AWS Systems Manager OpsCenter. Si vous avez terminé l'installation intégrée, vous n'avez pas besoin d'effectuer de tâches supplémentaires pour configurer les rôles et les autorisations pour Explorer. Toutefois, vous devez configurer l'autorisation pour OpsCenter, comme décrit ultérieurement dans cette rubrique.
Table des matières
À propos des rôles créés par l'installation intégrée
L'installation intégrée crée et configure les rôles suivants pour travailler avec Explorer et OpsCenter.
-
AWSServiceRoleForAmazonSSM: fournit l'accès aux ressources gérées par AWS ou utilisées par Systems Manager. -
OpsItem-CWE-Role: autorise CloudWatch les événements et permet EventBridge de créer des événements OpsItems en réponse à des événements courants. -
AWSServiceRoleForAmazonSSM_AccountDiscovery: Permet à Systems Manager d'appeler d'autres personnes AWS services pour découvrir Compte AWS des informations lors de la synchronisation des données. Pour plus d’informations sur ce rôle, consultez À propos du rôle AWSServiceRoleForAmazonSSM_AccountDiscovery. -
AmazonSSMExplorerExport: Permet d'exporter Explorer OpsData vers un fichier de valeurs séparées par des virgules (CSV).
À propos du rôle AWSServiceRoleForAmazonSSM_AccountDiscovery
Si vous configurez Explorer pour afficher les données de plusieurs comptes et régions à l'aide AWS Organizations d'une synchronisation des données de ressources, Systems Manager crée un rôle lié à un service. Systems Manager utilise ce rôle pour obtenir des informations sur vos Comptes AWS dans AWS Organizations. Le rôle utilise la politique d'autorisations suivante.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }
Pour plus d'informations sur le rôle AWSServiceRoleForAmazonSSM_AccountDiscovery, consultez Utilisation des rôles pour collecter des Compte AWS informations pour OpsCenter et Explorer.
Configuration d'autorisations pour Systems Manager OpsCenter
Après avoir terminé l'installation intégrée, vous devez configurer les autorisations d'utilisateur, de groupe ou de rôle afin que les utilisateurs puissent effectuer des actions dans OpsCenter.
Avant de commencer
Vous pouvez configurer votre OpsCenter pour créer et gérer les OpsItems sur plusieurs comptes ou un seul compte. Si vous configurez OpsCenter pour créer et gérer les OpsItems sur plusieurs comptes, le compte de gestion AWS Organizations peut créer, afficher ou modifier des OpsItems manuellement sur d'autres comptes. Si nécessaire, vous pouvez également sélectionner le compte d'administrateur délégué de Systems Manager pour créer et gérer les OpsItems sur les comptes membre. Toutefois, si vous configurez OpsCenter pour un seul compte, vous pouvez uniquement consulter ou modifier les OpsItems du compte sur lequel les OpsItems ont été créés. Vous ne pouvez pas partager ou transférer de l'un OpsItems à l'autre Comptes AWS. Pour cette raison, nous vous recommandons de configurer les autorisations pour OpsCenter Compte AWS ce qui est utilisé pour exécuter vos AWS charges de travail. Vous pouvez ensuite créer des utilisateurs ou groupes dans ce compte. De cette manière, les ingénieurs de plusieurs opérations ou professionnels de l'informatique peuvent créer, afficher et modifier OpsItems dans le même Compte AWS.
Exploreret OpsCenter utilisez les API opérations suivantes. Vous pouvez utiliser toutes les fonctions d'Explorer et d'OpsCenter si votre utilisateur, groupe ou rôle a accès à ces actions. Vous pouvez également créer un accès plus restrictif, comme décrit plus loin dans cette section.
Si vous préférez, vous pouvez spécifier l'autorisation de lecture seule en ajoutant la politique en ligne suivante à votre compte, groupe ou rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }
Pour plus d'informations sur la création et la modification de IAM politiques, consultez la section Création de IAM politiques dans le guide de IAM l'utilisateur. Pour plus d'informations sur la façon d'attribuer cette politique à un IAM groupe, voir Attacher une politique à un IAM groupe.
Créez une autorisation à l'aide des éléments suivants et ajoutez-la à vos utilisateurs, groupes ou rôles :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
En fonction de l'application d'identité que vous utilisez dans votre organisation, vous pouvez sélectionner l'une des options suivantes pour configurer l'accès des utilisateurs.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le Guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
Restriction de l'accès aux OpsItems à l'aide de balises
Vous pouvez également restreindre l'accès à OpsItems en utilisant une IAM politique intégrée qui spécifie les balises. Voici un exemple qui spécifie une clé de balise Service et une valeur de balise Finance. Avec cette politique, l'utilisateur peut uniquement appeler l'GetOpsItemAPIopération pour afficher OpsItems les opérations précédemment étiquetées avec Key=Department et Value=Finance. Les utilisateurs ne peuvent pas afficher les autres OpsItems.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }
Voici un exemple qui indique les API opérations de visualisation et de mise à jourOpsItems. Cette politique spécifie également deux ensembles de paires clé/valeur de balises : ministère des Finances et projet Unity.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }
Pour plus d'informations sur l'ajout de balises à un OpsItem, consultez Créer manuellement OpsItems.
