Démarrage avec Quick Setup - AWS Systems Manager
Rôles et autorisations IAM pour Quick Setup intégrationIntégration manuelle pour travailler avec Quick Setup API par programmation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démarrage avec Quick Setup

Utilisez les informations de cette rubrique pour vous préparer à utiliser Quick Setup.

Rôles et autorisations IAM pour Quick Setup intégration

Quick Setup a lancé une nouvelle expérience de console et une nouvelle API. Vous pouvez désormais interagir avec cette API à l'aide de la console AWS CLI, AWS CloudFormation, et SDKs. Si vous optez pour la nouvelle expérience, vos configurations existantes sont recréées à l’aide de la nouvelle API. En fonction du nombre de configurations existantes dans votre compte, ce processus peut prendre plusieurs minutes.

Pour utiliser le nouveau Quick Setup console, vous devez disposer des autorisations nécessaires pour effectuer les actions suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PassRole",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Pour limiter les utilisateurs aux autorisations de lecture seule, autorisez ssm-quicksetup:List* et effectuez uniquement les ssm-quicksetup:Get* opérations pour Quick Setup API.

Lors de l'intégration, Quick Setup crée les rôles AWS Identity and Access Management (IAM) suivants en votre nom :

  • AWS-QuickSetup-LocalExecutionRole : octroie à AWS CloudFormation les autorisations pour utiliser n’importe quel modèle (à l’exception du modèle de politique de correctif) et créer les ressources nécessaires.

  • AWS-QuickSetup-LocalAdministrationRole— Accorde l'autorisation AWS CloudFormation d'assumerAWS-QuickSetup-LocalExecutionRole.

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Accorde l'autorisation AWS CloudFormation d'utiliser le modèle de politique de correctifs et de créer les ressources nécessaires.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Accorde l'autorisation AWS CloudFormation d'assumerAWS-QuickSetup-PatchPolicy-LocalExecutionRole.

Si vous créez un compte de gestion, c'est-à-dire le compte dans lequel vous créez une organisation, AWS OrganizationsQuick Setup crée également les rôles suivants en votre nom :

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer : octroie des autorisations au runbook Automation AWS-EnableExplorer. Le AWS-EnableExplorer runbook configure Explorer, un outil de Systems Manager, permettant d'afficher des informations pour plusieurs Comptes AWS et Régions AWS.

  • AWSServiceRoleForAmazonSSM— Un rôle lié à un service qui donne accès aux AWS ressources gérées et utilisées par Systems Manager.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery— Rôle lié à un service qui autorise Systems Manager à appeler pour découvrir des Compte AWS informations lors Services AWS de la synchronisation des données. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour collecter des Compte AWS informations pour OpsCenter and Explorer.

Lorsque vous créez un compte de gestion, Quick Setup permet un accès fiable entre AWS Organizations et CloudFormation pour le déploiement Quick Setup configurations au sein de votre organisation. Pour activer l'accès approuvé, votre compte de gestion doit disposer d'autorisations d'administrateur. Après l'intégration, vous n'avez plus besoin d'autorisations d'administrateur. Pour de plus amples informations, consultez Activer l'accès approuvé avec Organizations.

Pour plus d'informations sur les types de AWS Organizations comptes, consultez AWS Organizations la terminologie et les concepts du Guide de AWS Organizations l'utilisateur.

Note

Quick Setup utilise AWS CloudFormation StackSets pour déployer vos configurations dans toutes Comptes AWS les régions. Si le nombre de comptes cibles multiplié par le nombre de régions dépasse 10 000, le déploiement de la configuration échoue. Nous vous recommandons de revoir votre cas d'utilisation et de créer des configurations qui utilisent moins de cibles pour s'adapter à la croissance de votre organisation. Les instances de piles ne sont pas déployées sur le compte de gestion de votre organisation. Pour plus d'informations, consultez Considérations lors de la création d'un ensemble de piles avec des autorisations gérées par le service.

Intégration manuelle pour travailler avec Quick Setup API par programmation

Si vous utilisez la console pour travailler avec Quick Setup, le service gère les étapes d'intégration pour vous. Si vous envisagez d'utiliser SDKs ou AWS CLI de travailler avec le Quick Setup API, vous pouvez toujours utiliser la console pour effectuer les étapes d'intégration à votre place afin de ne pas avoir à les effectuer manuellement. Cependant, certains clients doivent suivre les étapes d'intégration pour Quick Setup par programmation sans interagir avec la console. Si cette méthode correspond à votre cas d’utilisation, vous devez suivre les étapes suivantes. Toutes ces étapes doivent être effectuées depuis votre compte AWS Organizations de gestion.

Pour terminer l'intégration manuelle pour Quick Setup

  1. Activez un accès sécurisé pour AWS CloudFormation les Organisations. Cela fournit au compte de gestion les autorisations nécessaires pour créer et gérer StackSets pour votre organisation. Vous pouvez utiliser AWS CloudFormation l'action de l'ActivateOrganizationsAccessAPI pour terminer cette étape. Pour plus d’informations, consultez ActivateOrganizationsAccess dans la Référence d’API AWS CloudFormation .

  2. Activez l’intégration de Systems Manager avec Organizations. Cela permet à Systems Manager de créer un rôle lié à un service dans tous les comptes de votre organisation. Cela permet également à Systems Manager d’effectuer en votre nom les opérations dans votre organisation et ses comptes. Vous pouvez utiliser AWS Organizations l'action de l'EnableAWSServiceAccessAPI pour terminer cette étape. Le principal service de Systems Manager est ssm.amazonaws.com .Pour plus d'informations, consultez la section Activer l'AWSServiceaccès dans le guide de référence des AWS Organizations API.

  3. Créez le rôle IAM requis pour Explorer. Cela permet Quick Setup pour créer des tableaux de bord pour vos configurations afin de consulter les statuts de déploiement et d'association. Créez un rôle IAM et attachez‑y la politique gérée AWSSystemsManagerEnableExplorerExecutionPolicy. Modifiez la politique d’approbation pour le rôle pour qu’elle corresponde à ce qui suit. Remplacez chacune account ID par vos informations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*"
                }
            }
        }
    ]
}

  4. Mettez à jour le Quick Setup paramètre de service pour Explorer. Vous pouvez utiliser Quick Setupaction d'UpdateServiceSettingsAPI pour terminer cette étape. Spécifiez l’ARN du rôle IAM que vous avez créé à l’étape précédente pour le paramètre de demande ExplorerEnablingRoleArn. Pour plus d'informations, consultez UpdateServiceSettings dans le Quick Setup Référence d'API.

  5. Créez les rôles IAM requis AWS CloudFormation StackSets à utiliser. Vous devez créer un rôle d’exécution et un rôle d’administration.

    1. Créer le rôle d'exécution. Au moins l’une des politiques gérées AWSQuickSetupDeploymentRolePolicy ou AWSQuickSetupPatchPolicyDeploymentRolePolicy doit être attachée au rôle d’exécution. Si vous créez uniquement des configurations de politiques de correctifs, vous pouvez utiliser la politique gérée AWSQuickSetupPatchPolicyDeploymentRolePolicy. Toutes les autres configurations utilisent la politique AWSQuickSetupDeploymentRolePolicy. Modifiez la politique d’approbation pour le rôle pour qu’elle corresponde à ce qui suit. Remplacez chacun account ID et administration role name par vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account ID:role/administration role name"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    2. Créez le rôle d’administration. La politique d’autorisations doit correspondre à ce qui suit. Remplacez chacun account ID et execution role name par vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:*:iam::account ID:role/execution role name",
            "Effect": "Allow"
        }
    ]
}

      Modifiez la politique d’approbation pour le rôle pour qu’elle corresponde à ce qui suit. Remplacez chacune account ID par vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}