(Opsional) Mengatur secara manual OpsCenter untuk mengelola secara terpusat OpsItems di seluruh akun - AWS Systems Manager
Sebelum Anda mulaiLangkah 1: Membuat sinkronisasi data sumber dayaLangkah 2: Mengaktifkan prinsip layanan Systems Manager di AWS OrganizationsLangkah 3: Membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layananLangkah 4: Mengkonfigurasi izin untuk bekerja dengan OpsItems di seluruh akunLangkah 5: Mengonfigurasi izin untuk bekerja dengan sumber daya terkait di seluruh akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

(Opsional) Mengatur secara manual OpsCenter untuk mengelola secara terpusat OpsItems di seluruh akun

Bagian ini menjelaskan cara mengkonfigurasi secara manual OpsCenter untuk cross-account OpsItem manajemen. Meskipun proses ini masih didukung, itu telah digantikan oleh proses yang lebih baru yang menggunakan Systems Manager Quick SetupUntuk informasi selengkapnya, lihat (Opsional) Konfigurasikan OpsCenter untuk mengelola OpsItems di seluruh akun dengan menggunakan Quick Setup.

Anda dapat mengatur akun pusat untuk membuat manual OpsItems untuk akun anggota, dan mengelola dan memulihkannya OpsItems. Akun pusat dapat berupa akun AWS Organizations manajemen, atau akun manajemen dan akun administrator yang didelegasikan Systems Manager. AWS Organizations Kami menyarankan Anda menggunakan akun administrator yang didelegasikan Systems Manager sebagai akun pusat. Anda hanya dapat menggunakan fitur ini setelah Anda mengkonfigurasi AWS Organizations.

Dengan AWS Organizations, Anda dapat mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Pengguna akun pusat dapat membuat OpsItems untuk semua akun anggota yang dipilih secara bersamaan, dan kelola OpsItems.

Gunakan proses di bagian ini untuk mengaktifkan prinsip layanan Systems Manager di Organizations and configure AWS Identity and Access Management (IAM) izin untuk bekerja dengan OpsItems di seluruh akun.

catatan

Hanya OpsItems tipe /aws/issue didukung saat bekerja di OpsCenter di seluruh akun.

Sebelum Anda mulai

Sebelum Anda mengatur OpsCenter untuk bekerja dengan OpsItems di seluruh akun, pastikan bahwa Anda telah menyiapkan yang berikut:

Langkah 1: Membuat sinkronisasi data sumber daya

Setelah Anda mengatur dan mengkonfigurasi AWS Organizations, Anda dapat menggabungkan OpsItems in OpsCenter untuk seluruh organisasi dengan membuat sinkronisasi data sumber daya. Untuk informasi selengkapnya, lihat Membuat sinkronisasi data sumber daya. Saat Anda membuat sinkronisasi, di bagian Tambah akun, pastikan untuk memilih opsi Sertakan semua akun dari AWS Organizations konfigurasi saya.

Langkah 2: Mengaktifkan prinsip layanan Systems Manager di AWS Organizations

Untuk memungkinkan pengguna untuk bekerja dengan OpsItems di seluruh akun, prinsipal layanan Systems Manager harus diaktifkan AWS Organizations. Jika sebelumnya Anda mengonfigurasi Systems Manager untuk skenario multi-akun menggunakan alat lain, prinsipal layanan Systems Manager mungkin sudah dikonfigurasi di Organizations. Jalankan perintah berikut dari AWS Command Line Interface (AWS CLI) untuk memverifikasi. Jika Anda belum mengonfigurasi Systems Manager untuk skenario multi-akun lainnya, lewati ke prosedur berikutnya, Untuk mengaktifkan prinsip layanan Systems Manager. AWS Organizations

Untuk memverifikasi, prinsipal layanan Systems Manager diaktifkan di AWS Organizations

  1. Unduh versi terbaru dari AWS CLI ke mesin lokal Anda.

  2. Buka AWS CLI, dan jalankan perintah berikut untuk menentukan kredensil Anda dan file. Wilayah AWS

    aws configure

    Sistem meminta Anda untuk menentukan yang berikut ini. Dalam contoh berikut, ganti masing-masing user input placeholder dengan informasi Anda sendiri.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  3. Jalankan perintah berikut untuk memverifikasi bahwa prinsipal layanan Systems Manager diaktifkan AWS Organizations.

    aws organizations list-aws-service-access-for-organization

    Perintah mengembalikan informasi yang mirip dengan yang ditunjukkan dalam contoh berikut.

    {
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}
Untuk mengaktifkan prinsip layanan Systems Manager di AWS Organizations

Jika sebelumnya Anda belum mengonfigurasi prinsip layanan Systems Manager untuk Organizations, gunakan prosedur berikut untuk melakukannya. Untuk informasi selengkapnya tentang perintah ini, lihat enable-aws-service-accessdi Referensi AWS CLI Perintah.

  1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya. Untuk selengkapnya, lihat Menginstal CLI dan Mengkonfigurasi CLI.

  2. Unduh versi terbaru dari AWS CLI ke mesin lokal Anda.

  3. Buka AWS CLI, dan jalankan perintah berikut untuk menentukan kredensil Anda dan file. Wilayah AWS

    aws configure

    Sistem meminta Anda untuk menentukan yang berikut ini. Dalam contoh berikut, ganti masing-masing user input placeholder dengan informasi Anda sendiri.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  4. Jalankan perintah berikut untuk mengaktifkan prinsip layanan Systems Manager untuk AWS Organizations.

    aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

Langkah 3: Membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan

Peran terkait layanan seperti peran adalah jenis unik AWSServiceRoleForAmazonSSM_AccountDiscovery peran IAM yang ditautkan langsung ke Layanan AWS, seperti Systems Manager. Peran terkait layanan telah ditentukan sebelumnya oleh layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil orang lain Layanan AWS atas nama Anda. Untuk informasi selengkapnya tentang peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan, lihat. Izin peran terkait layanan untuk Systems Manager penemuan akun

Gunakan prosedur berikut untuk membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan dengan menggunakan. AWS CLI Untuk informasi selengkapnya tentang perintah yang digunakan dalam prosedur ini, lihat create-service-linked-roledi AWS CLI Command Reference.

Untuk membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan

  1. Masuk ke akun AWS Organizations manajemen.

  2. Saat masuk ke akun manajemen Organizations, jalankan perintah berikut.

    aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

Langkah 4: Mengkonfigurasi izin untuk bekerja dengan OpsItems di seluruh akun

Gunakan AWS CloudFormation stacksets untuk membuat kebijakan OpsItemGroup sumber daya dan peran eksekusi IAM yang memberikan izin kepada pengguna untuk bekerja dengannya OpsItems di seluruh akun. Untuk memulai, unduh dan unzip OpsCenterCrossAccountMembers.zipfile. File ini berisi file OpsCenterCrossAccountMembers.yaml AWS CloudFormation template. Saat Anda membuat kumpulan tumpukan menggunakan templat ini, CloudFormation secara otomatis membuat kebijakan OpsItemCrossAccountResourcePolicy sumber daya dan peran OpsItemCrossAccountExecutionRole eksekusi di akun. Untuk informasi selengkapnya tentang membuat kumpulan tumpukan, lihat Membuat kumpulan tumpukan di Panduan AWS CloudFormation Pengguna.

penting

Perhatikan informasi penting berikut tentang tugas ini:

  • Anda harus menerapkan stackset saat masuk ke akun manajemen. AWS Organizations

  • Anda harus mengulangi prosedur ini saat masuk ke setiap akun yang ingin Anda targetkan untuk dikerjakan OpsItems di seluruh akun, termasuk akun administrator yang didelegasikan.

  • Jika Anda ingin mengaktifkan cross-account OpsItems administrasi berbeda Wilayah AWS, pilih Tambahkan semua wilayah di bagian Tentukan wilayah dari templat. Lintas akun OpsItem administrasi tidak didukung untuk Wilayah keikutsertaan.

Sesi OpsItem dapat menyertakan informasi terperinci tentang sumber daya yang terkena dampak seperti instans Amazon Elastic Compute Cloud (Amazon EC2) atau bucket Amazon Simple Storage Service (Amazon S3). Peran OpsItemCrossAccountExecutionRole eksekusi, yang Anda buat di Langkah 4 sebelumnya, menyediakan OpsCenter dengan izin hanya-baca untuk akun anggota untuk melihat sumber daya terkait. Anda juga harus membuat peran IAM untuk memberikan izin kepada akun manajemen untuk melihat dan berinteraksi dengan sumber daya terkait, yang akan Anda selesaikan dalam tugas ini.

Untuk memulai, unduh dan unzip OpsCenterCrossAccountManagementRole.zipfile. File ini berisi file OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation template. Saat Anda membuat tumpukan dengan menggunakan templat ini, CloudFormation secara otomatis membuat peran OpsCenterCrossAccountManagementRole IAM di akun. Untuk informasi selengkapnya tentang membuat tumpukan, lihat Membuat tumpukan di AWS CloudFormation konsol di Panduan AWS CloudFormation Pengguna.

penting

Perhatikan informasi penting berikut tentang tugas ini:

  • Jika Anda berencana untuk menentukan akun sebagai administrator yang didelegasikan untuk OpsCenter, pastikan untuk menentukan itu Akun AWS saat Anda membuat tumpukan.

  • Anda harus melakukan prosedur ini saat masuk ke akun AWS Organizations manajemen dan lagi saat masuk ke akun administrator yang didelegasikan.