Tentang peran yang dibuat oleh penyiapan terpadu Mengonfigurasi izin untuk Systems ManagerOpsCenter

Mengonfigurasi peran dan izin untuk Systems Manager Explorer

Penyiapan Terintegrasi secara otomatis membuat dan mengonfigurasiAWS Identity and Access Management (IAM) role untukAWS Systems Manager Explorer danAWS Systems ManagerOpsCenter. Jika Anda menyelesaikan Penyiapan Terintegrasi, Anda tidak perlu melakukan tugas tambahan apa pun untuk mengonfigurasi peran dan izin untukExplorer. Namun, Anda harus mengonfigurasi izin untukOpsCenter, seperti yang dijelaskan nanti dalam topik ini.

Daftar Isi

Tentang peran yang dibuat oleh penyiapan terpadu
Mengonfigurasi izin untuk Systems ManagerOpsCenter

Tentang peran yang dibuat oleh penyiapan terpadu

Penyiapan Terintegrasi membuat dan mengonfigurasi peran berikut untuk bekerja denganExplorer danOpsCenter.

AWSServiceRoleForAmazonSSM: Menyediakan akses keAWS sumber daya yang dikelola atau digunakan oleh Systems Manager.
OpsItem-CWE-Role: Memungkinkan CloudWatch Acara dan EventBridge untuk membuatOpsItems dalam menanggapi peristiwa umum.
AWSServiceRoleForAmazonSSM_AccountDiscovery: Memungkinkan Systems Manager memanggil lainnyaLayanan AWS untuk menemukanAkun AWS informasi saat menyinkronkan data. Untuk informasi selengkapnya tentang peran ini, lihat Tentang peran AWSServiceRoleForAmazonSSM_AccountDiscovery.
AmazonSSMExplorerExport: MemungkinkanExplorer untuk mengekspor OpsData ke file yang dipisahkan dengan koma (CSV).

Tentang peran `AWSServiceRoleForAmazonSSM_AccountDiscovery`

Jika Anda mengonfigurasiExplorer untuk menampilkan data dari beberapa akun dan Wilayah dengan menggunakanAWS Organizations dan sinkronisasi data sumber daya, lalu Systems Manager membuat peran terkait layanan. Systems Manager menggunakan peran ini untuk mendapatkan informasi tentang Akun AWS Anda dalam AWS Organizations. Peran tersebut menggunakan kebijakan izin berikut.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

Untuk informasi selengkapnya tentang peran AWSServiceRoleForAmazonSSM_AccountDiscovery ini, lihat Menggunakan peran untuk mengumpulkan Akun AWS informasi untuk OpsCenter dan Explorer.

Mengonfigurasi izin untuk Systems ManagerOpsCenter

Setelah Anda menyelesaikan Penyiapan Terintegrasi, Anda harus mengonfigurasi pengguna, grup, atau izin peran untuk mengonfigurasi pengguna, grup, atau izin peranOpsCenter.

Sebelum Anda memulai

Anda dapat mengonfigurasi AndaOpsCenter untuk membuat dan mengelolaOpsItems di beberapa akun atau hanya satu akun. Jika Anda mengonfigurasiOpsCenter untuk membuat dan mengelolaOpsItems di beberapa akun, akunAWS Organizations manajemen dapat membuat, melihat, atau mengeditOpsItems di akun lain secara manual. Jika diperlukan, Anda juga dapat memilih akun administrator yang didelegasikan oleh Systems Manager untuk dibuat dan dikelolaOpsItems di akun anggota. Namun, jika Anda mengkonfigurasiOpsCenter untuk satu akun, Anda hanya dapat melihat atau mengeditOpsItems di akun tempatOpsItems dibuat. Anda tidak dapat membagikan atau mentransferOpsItems di seluruhAkun AWS. Untuk alasan ini, kami menyarankan Anda mengonfigurasi izin untukOpsCenter diAkun AWS yang digunakan untuk menjalankanAWS beban kerja Anda. Anda kemudian dapat membuat pengguna atau grup di akun tersebut. Dengan cara ini, beberapa insinyur operasi atau profesional IT dapat membuat, melihat, dan mengeditOpsItems dalam yang samaAkun AWS.

ExplorerdanOpsCenter gunakan operasi API berikut. Anda dapat menggunakan semua fiturExplorer danOpsCenter jika pengguna, grup, atau peran Anda memiliki akses ke tindakan ini. Anda juga dapat membuat akses yang lebih ketat, seperti yang dijelaskan nanti di bagian ini.

Jika ingin, Anda dapat menentukan izin hanya-baca dengan menambahkan kebijakan inline berikut ke akun, grup, atau peran Anda.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

Untuk informasi selengkapnya tentang membuat dan mengedit kebijakan IAM, lihat Membuat Kebijakan IAM dalam Panduan Pengguna IAM. Untuk informasi tentang cara menetapkan kebijakan ini ke grup IAM, lihatMelampirkan Kebijakan ke Grup IAM.

Buat izin menggunakan yang berikut dan tambahkan ke pengguna, grup, atau peran Anda:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

Tergantung pada aplikasi identitas yang Anda gunakan di organisasi Anda, Anda dapat memilih salah satu opsi berikut untuk mengonfigurasi akses pengguna.

Untuk menyediakan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup diAWS IAM Identity Center:

Buat set izin. Ikuti petunjuk di Buat set izin di PanduanAWS IAM Identity Center Pengguna.
Pengguna yang dikelola dalam IAM melalui penyedia identitas:

Membuat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diasumsikan pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM di Panduan Pengguna IAM.
- (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) di Panduan Pengguna IAM.

Membatasi akses keOpsItems dengan menggunakan tag

Anda juga dapat membatasi aksesOpsItems dengan menggunakan kebijakan inline IAM yang menentukan tag. Berikut adalah contoh yang menentukan kunci tag Departemen dan nilai tag Keuangan. Dengan kebijakan ini, pengguna hanya dapat memanggil operasi GetOpsItemAPI untuk melihatOpsItems yang sebelumnya ditandai dengan Kunci=Departemen dan Nilai=Keuangan. Pengguna tidak dapat melihat yang lainOpsItems.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

Berikut adalah contoh yang menentukan operasi API untuk melihat dan memperbaruiOpsItems. Kebijakan ini juga menentukan dua set pasangan nilai kunci tag: Departemen-Keuangan dan Project-Unity.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

Untuk informasi tentang menambahkan tag ke sebuahOpsItem, lihatBuat OpsItems secara manual.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyiapkan layanan terkait

Mengaktifkan aturan default