Configuration de Change Manager pour une organisation (compte de gestion) - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de Change Manager pour une organisation (compte de gestion)

Les tâches décrites dans cette rubrique s'appliquent si vous utilisez Change Manager une fonctionnalité de AWS Systems Manager, avec une organisation configurée dans AWS Organizations. Si vous ne souhaitez l'utiliser Change Manager qu'avec un seul Compte AWS, passez à la rubriqueConfiguration d'options et de bonnes pratiques Change Manager.

Effectuez les tâches de cette section dans un compte Compte AWS qui sert de compte de gestion dans Organizations. Pour obtenir des informations sur le compte de gestion et d'autres concepts Organizations, veuillez consulter Terminologie et concepts relatifs àAWS Organizations.

Si vous devez activer Organizations et spécifier votre compte en tant que compte de gestion avant de continuer, veuillez consulter Création et gestion d'une organisation dans le Guide de l'utilisateur AWS Organizations .

Note

Ce processus de configuration ne peut pas être effectué dans les cas suivants Régions AWS :

  • Europe (Milan) (eu-south-1)

  • Moyen-Orient (Bahreïn) (me-south-1)

  • Afrique (Le Cap) (af-south-1)

  • Asie-Pacifique (Hong Kong) (ap-east-1)

Pour cette procédure, vérifiez que vous travaillez bien dans une région différente dans votre compte de gestion.

Au cours de la procédure de configuration, vous effectuez les tâches principales suivantes dans Quick Setup une fonctionnalité de AWS Systems Manager.

  • Tâche 1 : enregistrer un compte administrateur délégué pour votre organisation

    Les tâches liées aux modifications effectuées en utilisant Change Manager sont gérées dans l'un de vos comptes membres spécifié comme compte d'administrateur délégué. Le compte d'administrateur délégué que vous enregistrez pour Change Manager devient le compte d'administrateur délégué pour toutes vos opérations Systems Manager. (Vous avez peut-être délégué des comptes d'administrateur pour d'autres Services AWS). Votre compte d'administrateur délégué pour Change Manager, qui est différent de votre compte de gestion, gère les activités de modification au sein de votre organisation, notamment les modèles de modifications, les demandes de modifications et les approbations qui s'y rapportent. Dans le compte d'administrateur délégué, vous spécifiez également d'autres options de configuration pour vos opérations Change Manager.

    Important

    Le compte d'administrateur délégué doit être le seul membre de l'unité d'organisation (UO) à laquelle il est affecté dans Organizations.

  • Tâche 2 : définir et spécifier des politiques d'accès du runbook pour les rôles de demandeur de modification ou les fonctions professionnelles personnalisées que vous voulez utiliser pour vos Change Manageropérations

    Pour créer des demandes de modification dansChange Manager, les utilisateurs de vos comptes membres doivent disposer AWS Identity and Access Management (IAM) d'autorisations leur permettant d'accéder uniquement aux runbooks d'automatisation et aux modèles de modification que vous choisissez de mettre à leur disposition.

    Note

    Lorsqu'un utilisateur crée une demande de modification, il sélectionne d'abord un modèle de modification. Avec ce modèle de modification, plusieurs runbooks peuvent être disponibles, mais l'utilisateur ne peut en sélectionner qu'un seul pour chaque demande de modification. Les modèles de modifications peuvent également être configurés pour autoriser les utilisateurs à inclure n'importe quel runbook disponible dans leurs demandes.

    Pour accorder les autorisations nécessaires, Change Manager utilise le concept de fonctions professionnelles, également utilisé parIAM. Cependant, contrairement aux politiques AWS gérées pour les fonctions de travail dansIAM, vous spécifiez à la fois les noms de vos fonctions de Change Manager travail et les IAM autorisations pour ces fonctions de travail.

    Lorsque vous configurez une fonction professionnelle, nous vous recommandons de créer une politique personnalisée et de ne fournir que les autorisations nécessaires pour effectuer des tâches de gestion des modifications. Par exemple, vous pouvez spécifier des autorisations limitant les utilisateurs à cet ensemble spécifique de runbooks selon des fonctions professionnelles définies.

    Par exemple, vous pouvez créer une fonction professionnelle avec le nom DBAdmin. Pour cette fonction professionnelle, vous pouvez octroyer uniquement les autorisations nécessaires pour les runbooks liés à des bases de données Amazon DynamoDB, comme AWS-CreateDynamoDbBackup et AWSConfigRemediation-DeleteDynamoDbTable.

    Ou alors vous pouvez octroyer à certains utilisateurs uniquement les autorisations nécessaires pour utiliser les runbooks liés à des compartiments Amazon Simple Storage Service (Amazon S3), comme AWS-ConfigureS3BucketLogging et AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock.

    Le processus de configuration de Change Manager dans Quick Setup met également à votre disposition un ensemble d'autorisations administratives complètes de Systems Manager, que vous pouvez appliquer au rôle administratif que vous créez.

    Chaque configuration de Quick Setup dans Change Manager déployée crée une fonction professionnelle dans votre compte d'administrateur délégué avec les autorisations d'exécuter des modèles Change Manager et des runbooks Automation dans les unités organisationnelles que vous avez sélectionnées. Vous pouvez créer jusqu'à 15 configurations Quick Setup pour Change Manager.

  • Tâche 3 : choisir les comptes membres de votre organisation à utiliser avec Change Manager

    Vous pouvez utiliser Change Manager avec tous les comptes membres de toutes vos unités organisationnelles configurées dans Organizations, et dans toutes les Régions AWS où ils fonctionnent. Si vous préférez, vous pouvez utiliser Change Manager avec seulement quelques-unes de vos unités organisationnelles.

Important

Avant de commencer cette procédure, nous vous recommandons vivement de prendre connaissance des différentes étapes qui la composent, afin de comprendre les choix de configuration que vous effectuez et les autorisations que vous octroyez. En particulier, planifiez les fonctions professionnelles personnalisées que vous allez créer et les autorisations que vous affectez à chaque fonction professionnelle. Cela garantit que lorsque vous associerez ultérieurement les politiques relatives aux fonctions professionnelles que vous créez à des utilisateurs individuels, à des groupes d'utilisateurs ou à des IAM rôles, ils ne reçoivent que les autorisations que vous souhaitez leur accorder.

Il est recommandé de commencer par configurer le compte d'administrateur délégué à l'aide de l'identifiant d'un Compte AWS administrateur. Ensuite, configurez les fonctions professionnelles et leurs autorisations après avoir créé des modèles de modifications et identifié les runbooks que chacun d'entre eux utilise.

Pour configurer Change Manager pour une utilisation avec une organisation,, exécutez la tâche suivante dans la zone Quick Setup de la console Systems Manager.

Répétez cette tâche pour chaque fonction professionnelle que vous voulez créer pour votre organisation. Chaque fonction professionnelle créée peut avoir des autorisations pour un ensemble différent d'unités organisationnelles.

Pour configurer une organisation pour Change Manager dans le compte de gestion Organizations
  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Quick Setup.

  3. Sur la carte Change Manager, choisissez Create (Créer).

  4. Pour Delegated administrator account (Compte d'administrateur délégué), saisissez l'ID du Compte AWS que vous voulez utiliser pour gérer les modèles de modifications, les demandes de modifications et les flux de travail de runbook dans Change Manager.

    Si vous avez précédemment spécifié un compte d'administrateur délégué pour Systems Manager, son ID figure déjà dans ce champ.

    Important

    Le compte d'administrateur délégué doit être le seul membre de l'unité d'organisation (UO) à laquelle il est affecté dans Organizations.

    Si le compte d'administrateur délégué que vous enregistrez est désinscrit ultérieurement de ce rôle, le système supprime ses autorisations pour gérer les opérations du Systems Manager en même temps. N'oubliez pas que vous devrez revenir à Quick Setup, désigner un compte d'administrateur délégué différent et spécifier à nouveau toutes les fonctions professionnelles et les autorisations.

    Si vous utilisez Change Manager au sein d'une organisation, nous vous recommandons de toujours apporter les modifications à partir du compte d'administrateur délégué. Bien qu'il soit possible d'apporter des modifications à partir d'autres comptes de l'organisation, celles-ci ne seront pas signalées ou affichées à partir du compte d'administrateur délégué.

  5. Dans la section Autorisations de demander et d'apporter des modifications, procédez comme suit.

    Note

    Chaque configuration de déploiement que vous créez fournit la politique d'autorisations d'une seule fonction professionnelle. Vous pourrez revenir à Quick Setup ultérieurement pour créer d'autres fonctions professionnelles lorsque vous aurez créé des modèles de modifications à utiliser dans vos opérations.

    Pour créer un rôle administratif : pour une fonction d'administrateur dotée d'IAMautorisations pour toutes les AWS actions, procédez comme suit.

    Important

    L'octroi d'autorisations administratives complètes aux utilisateurs doit être effectué avec parcimonie, et uniquement si leurs rôles nécessitent un accès complet à Systems Manager. Pour obtenir des informations importantes sur les considérations de sécurité relatives à l'accès à Systems Manager, veuillez consulter Gestion des identités et des accès pour AWS Systems Manager et Bonnes pratiques en matière de sécurité pour Systems Manager.

    1. Pour Job function (Fonction professionnelle), saisissez un nom pour identifier ce rôle et ses autorisations, My AWS Admin par exemple.

    2. Pour Role and permissions option (Option de rôle et d'autorisations), sélectionnez Autorisations d'administrateur.

    Pour créer d'autres fonctions professionnelles : pour créer un rôle non administratif, procédez comme suit :

    1. Pour Job function (Fonction professionnelle), saisissez un nom pour identifier ce rôle et suggérer ses autorisations. Le nom que vous sélectionnez doit représenter la portée des runbooks pour lesquels vous fournirez des autorisations, DBAdmin ou S3Admin par exemple.

    2. Pour Role and permissions option (Option de rôle et d'autorisations), sélectionnez Custom persmissions (Autorisations personnalisées).

    3. Dans l'éditeur de politique d'autorisations, entrez les IAM autorisations, au JSON format, à accorder à cette fonction de travail.

    Astuce

    Nous vous recommandons d'utiliser l'éditeur de IAM stratégie pour créer votre politique, puis de la coller JSON dans le champ Politique d'autorisations.

    Exemple de politique : gestion de la base de données DynamoDB

    Par exemple, vous pouvez commencer par un contenu de politique qui fournit des autorisations pour travailler avec les documents Systems Manager (SSMdocuments) auxquels la fonction de travail doit accéder. Voici un exemple de contenu de politique qui donne accès à tous les runbooks d'automatisation AWS gérés liés aux bases de données DynamoDB et à deux modèles de modification créés dans l' Compte AWS 123456789012exemple, dans la région USA Est (Ohio) (). us-east-2

    La politique inclut également l'autorisation pour l'opération StartChangeRequestExecution, qui est obligatoire pour créer une demande de modification dans Change Calendar.

    Note

    Cet exemple n'est pas exhaustif. Des autorisations supplémentaires peuvent être nécessaires pour travailler avec d'autres AWS ressources, telles que des bases de données et des nœuds.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate", "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*" } ] }

    Pour plus d'informations sur IAM les politiques, voir Gestion de l'accès aux AWS ressources et Création de IAM politiques dans le Guide de IAM l'utilisateur.

  6. Dans la section Cibles, choisissez d'octroyer des autorisations pour la fonction professionnelle que vous créez à l'ensemble de votre organisation ou à certaines de vos unités organisationnelles uniquement.

    Si vous sélectionnez Ensemble de l'organisation, passez à l'étape 9.

    Si vous sélectionnez Custom (Personnalisé), passez à l'étape 8.

  7. Dans la OUs section Cible, cochez les cases des unités organisationnelles à utiliser avecChange Manager.

  8. Sélectionnez Create (Créer).

Une fois que le système a terminé de configurer Change Managerpour votre organisation, il affiche un résumé de vos déploiements. Ces informations récapitulatives incluent le nom du rôle créé pour la fonction professionnelle que vous avez configurée. Par exemple, AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole.

Note

Quick Setuputilise AWS CloudFormation StackSets pour déployer vos configurations. Vous pouvez également afficher des informations sur une configuration de déploiement terminée dans la console AWS CloudFormation . Pour plus d'informations StackSets, consultez la section Travailler avec AWS CloudFormation StackSets dans le guide de AWS CloudFormation l'utilisateur.

Dans l'étape suivante, vous allez configurer des options Change Manager supplémentaires. Vous pouvez effectuer cette tâche dans votre compte d'administrateur délégué ou dans n'importe quel compte d'une unité d'organisation dont vous avez autorisé l'utilisation avec Change Manager. Parmi les options que vous configurez, vous pouvez choisir une option de gestion des identités utilisateur, spécifier les utilisateurs qui peuvent vérifier et approuver ou rejeter les modèles de modifications et les demandes de modifications, et choisir les options de bonnes pratiques à autoriser pour votre organisation. Pour plus d’informations, veuillez consulter Configuration d'options et de bonnes pratiques Change Manager.