Démarrage avec Quick Setup - AWS Systems Manager
IAMrôles et autorisations pour Quick Setup embarquementIntégration manuelle pour travailler avec Quick Setup APIprogrammatiquement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démarrage avec Quick Setup

Utilisez les informations de cette rubrique pour vous aider à vous préparer à utiliser Quick Setup.

IAMrôles et autorisations pour Quick Setup embarquement

Quick Setup a lancé une nouvelle expérience de console et une nouvelleAPI. Vous pouvez désormais interagir avec cela API à l'aide de la console AWS CLI, AWS CloudFormation, etSDKs. Si vous optez pour la nouvelle expérience, vos configurations existantes sont recréées à l'aide de la nouvelleAPI. Selon le nombre de configurations existantes dans votre compte, ce processus peut prendre plusieurs minutes.

Pour utiliser le nouveau Quick Setup console, vous devez disposer des autorisations nécessaires pour effectuer les actions suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PassRole",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Pour limiter les utilisateurs aux autorisations de lecture seule, autorisez ssm-quicksetup:List* et effectuez uniquement les ssm-quicksetup:Get* opérations pour le Quick Setup API.

Au cours de l'intégration, Quick Setup crée les AWS Identity and Access Management (IAM) rôles suivants en votre nom :

  • AWS-QuickSetup-LocalExecutionRole— Accorde l' AWS CloudFormation autorisation d'utiliser n'importe quel modèle, à l'exception du modèle de politique de correctif, et de créer les ressources nécessaires.

  • AWS-QuickSetup-LocalAdministrationRole— Accorde l'autorisation AWS CloudFormation d'assumerAWS-QuickSetup-LocalExecutionRole.

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Accorde l'autorisation AWS CloudFormation d'utiliser le modèle de politique de correctifs et de créer les ressources nécessaires.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Accorde l'autorisation AWS CloudFormation d'assumerAWS-QuickSetup-PatchPolicy-LocalExecutionRole.

Si vous créez un compte de gestion, c'est-à-dire le compte dans lequel vous créez une organisation, AWS OrganizationsQuick Setup crée également les rôles suivants en votre nom :

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer : octroie des autorisations au runbook Automation AWS-EnableExplorer. Le AWS-EnableExplorer runbook configure Explorer, une fonctionnalité de Systems Manager, permettant d'afficher des informations pour plusieurs Comptes AWS et Régions AWS.

  • AWSServiceRoleForAmazonSSM— Un rôle lié à un service qui donne accès aux AWS ressources gérées et utilisées par Systems Manager.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery— Rôle lié à un service qui autorise Systems Manager à appeler pour découvrir des Compte AWS informations lors Services AWS de la synchronisation des données. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour collecter des Compte AWS informations pour OpsCenter and Explorer.

Lorsque vous créez un compte de gestion, Quick Setup permet un accès fiable entre AWS Organizations et CloudFormation pour le déploiement Quick Setup configurations au sein de votre organisation. Pour activer l'accès approuvé, votre compte de gestion doit disposer d'autorisations d'administrateur. Après l'intégration, vous n'avez plus besoin d'autorisations d'administrateur. Pour de plus amples informations, consultez Activer l'accès approuvé avec Organizations.

Pour plus d'informations sur les types de AWS Organizations comptes, consultez AWS Organizations la terminologie et les concepts du Guide de AWS Organizations l'utilisateur.

Note

Quick Setup utilise AWS CloudFormation StackSets pour déployer vos configurations dans toutes Comptes AWS les régions. Si le nombre de comptes cibles multiplié par le nombre de régions dépasse 10 000, le déploiement de la configuration échoue. Nous vous recommandons de revoir votre cas d'utilisation et de créer des configurations qui utilisent moins de cibles pour s'adapter à la croissance de votre organisation. Les instances de piles ne sont pas déployées sur le compte de gestion de votre organisation. Pour plus d'informations, consultez Considérations lors de la création d'un ensemble de piles avec des autorisations gérées par le service.

Intégration manuelle pour travailler avec Quick Setup APIprogrammatiquement

Si vous utilisez la console pour travailler avec Quick Setup, le service gère les étapes d'intégration pour vous. Si vous envisagez d'utiliser SDKs ou AWS CLI de travailler avec Quick Setup API, vous pouvez toujours utiliser la console pour effectuer les étapes d'intégration à votre place afin de ne pas avoir à les effectuer manuellement. Cependant, certains clients doivent suivre les étapes d'intégration pour Quick Setup par programmation sans interagir avec la console. Si cette méthode correspond à votre cas d'utilisation, vous devez suivre les étapes suivantes. Toutes ces étapes doivent être effectuées depuis votre compte AWS Organizations de gestion.

Pour terminer l'intégration manuelle pour Quick Setup

  1. Activez un accès sécurisé pour AWS CloudFormation les Organisations. Cela fournit au compte de gestion les autorisations nécessaires pour créer et gérer StackSets pour votre organisation. Vous pouvez utiliser AWS CloudFormation l'ActivateOrganizationsAccessAPIaction pour terminer cette étape. Pour plus d'informations, voir ActivateOrganizationsAccessla AWS CloudFormation APIréférence.

  2. Activez l'intégration de Systems Manager avec Organizations. Cela permet à Systems Manager de créer un rôle lié à un service dans tous les comptes de votre organisation. Cela permet également à Systems Manager d'effectuer des opérations en votre nom dans votre organisation et ses comptes. Vous pouvez utiliser AWS Organizations l'EnableAWSServiceAccessAPIaction pour terminer cette étape. Le principal service de Systems Manager est ssm.amazonaws.com .Pour plus d'informations, voir E nableAWSService Access dans le manuel de AWS Organizations APIréférence.

  3. Créez le IAM rôle requis pour Explorer. Cela permet Quick Setup pour créer des tableaux de bord pour vos configurations afin de consulter les statuts de déploiement et d'association. Créez un IAM rôle et associez la politique AWSSystemsManagerEnableExplorerExecutionPolicy gérée. Modifiez la politique de confiance pour le rôle afin qu'elle corresponde à ce qui suit. Remplacez chacun account ID avec vos informations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*"
                }
            }
        }
    ]
}

  4. Mettez à jour le Quick Setup paramètre de service pour Explorer. Vous pouvez utiliser Quick SetupUpdateServiceSettingsAPIaction pour terminer cette étape. Spécifiez ARN le IAM rôle que vous avez créé à l'étape précédente pour le paramètre de ExplorerEnablingRoleArn demande. Pour plus d'informations, consultez UpdateServiceSettingsle Quick Setup APIRéférence.

  5. Créez les IAM rôles requis AWS CloudFormation StackSets à utiliser. Vous devez créer un rôle d'exécution et un rôle d'administration.

    1. Créer le rôle d'exécution. Au rôle d'exécution doit être associée à au moins l'AWSQuickSetupDeploymentRolePolicyune des politiques AWSQuickSetupPatchPolicyDeploymentRolePolicy gérées. Si vous créez uniquement des configurations de politiques de correctifs, vous pouvez utiliser des politiques AWSQuickSetupPatchPolicyDeploymentRolePolicy gérées. Toutes les autres configurations utilisent cette AWSQuickSetupDeploymentRolePolicy politique. Modifiez la politique de confiance pour le rôle afin qu'elle corresponde à ce qui suit. Remplacez chacun account ID and administration role name avec vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account ID:role/administration role name"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    2. Créez le rôle d'administration. La politique d'autorisation doit correspondre à ce qui suit. Remplacez chacun account ID and execution role name avec vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:*:iam::account ID:role/execution role name",
            "Effect": "Allow"
        }
    ]
}

      Modifiez la politique de confiance pour le rôle afin qu'elle corresponde à ce qui suit. Remplacez chacun account ID avec vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}