Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
(Opsional) Diatur secara manual OpsCenter untuk mengelola OpsItems seluruh akun secara terpusat
Bagian ini menjelaskan cara mengonfigurasi OpsCenter OpsItem manajemen lintas akun secara manual. Meskipun proses ini masih didukung, itu telah digantikan oleh proses yang lebih baru yang menggunakan Systems ManagerQuick Setup. Untuk informasi selengkapnya, lihat (Opsional) Konfigurasikan OpsCenter untuk mengelola OpsItems seluruh akun dengan menggunakan Quick Setup.
Anda dapat mengatur akun pusat untuk membuat manual OpsItems untuk akun anggota, dan mengelola serta memulihkannya. OpsItems Akun pusat dapat berupa akun AWS Organizations manajemen, atau akun manajemen dan akun administrator yang didelegasikan Systems Manager. AWS Organizations Kami menyarankan Anda menggunakan akun administrator yang didelegasikan Systems Manager sebagai akun pusat. Anda hanya dapat menggunakan fitur ini setelah Anda mengkonfigurasi AWS Organizations.
Dengan AWS Organizations, Anda dapat mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Pengguna akun pusat dapat membuat OpsItems untuk semua akun anggota yang dipilih secara bersamaan, dan mengelolanyaOpsItems.
Gunakan proses di bagian ini untuk mengaktifkan prinsip layanan Systems Manager di Organizations dan mengkonfigurasi AWS Identity and Access Management (IAM) izin untuk bekerja dengan OpsItems lintas akun.
Topik
- Sebelum Anda mulai
- Langkah 1: Membuat sinkronisasi data sumber daya
- Langkah 2: Mengaktifkan prinsip layanan Systems Manager di AWS Organizations
- Langkah 3: Membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan
- Langkah 4: Mengonfigurasi izin untuk bekerja dengan seluruh akun OpsItems
- Langkah 5: Mengonfigurasi izin untuk bekerja dengan sumber daya terkait di seluruh akun
catatan
Hanya OpsItems jenis /aws/issue
yang didukung saat bekerja di OpsCenter seluruh akun.
Sebelum Anda mulai
Sebelum Anda mengatur OpsCenter untuk bekerja dengan OpsItems seluruh akun, pastikan bahwa Anda telah menyiapkan hal-hal berikut:
-
Akun administrator yang didelegasikan oleh Systems Manager. Untuk informasi selengkapnya, lihat Mengkonfigurasi administrator yang didelegasikan untuk Explorer.
-
Satu organisasi diatur dan dikonfigurasi dalam Organizations. Untuk informasi selengkapnya, lihat Membuat dan mengelola organisasi di Panduan AWS Organizations Pengguna.
-
Anda mengonfigurasi Otomasi Systems Manager untuk menjalankan runbook otomatisasi di beberapa Wilayah AWS dan AWS akun. Untuk informasi selengkapnya, lihat Menjalankan otomatisasi di beberapa Wilayah AWS dan akun.
Langkah 1: Membuat sinkronisasi data sumber daya
Setelah menyiapkan dan mengonfigurasi AWS Organizations, Anda dapat menggabungkan OpsItems seluruh organisasi dengan membuat sinkronisasi data sumber daya. OpsCenter Untuk informasi selengkapnya, lihat Membuat sinkronisasi data sumber daya. Saat Anda membuat sinkronisasi, di bagian Tambah akun, pastikan untuk memilih opsi Sertakan semua akun dari AWS Organizations konfigurasi saya.
Langkah 2: Mengaktifkan prinsip layanan Systems Manager di AWS Organizations
Agar pengguna dapat bekerja dengan OpsItems seluruh akun, prinsipal layanan Systems Manager harus diaktifkan AWS Organizations. Jika sebelumnya Anda mengonfigurasi Systems Manager untuk skenario multi-akun menggunakan kemampuan lain, prinsipal layanan Systems Manager mungkin sudah dikonfigurasi di Organizations. Jalankan perintah berikut dari AWS Command Line Interface (AWS CLI) untuk memverifikasi. Jika Anda belum mengonfigurasi Systems Manager untuk skenario multi-akun lainnya, lewati ke prosedur berikutnya, Untuk mengaktifkan prinsip layanan Systems Manager. AWS Organizations
Untuk memverifikasi, prinsipal layanan Systems Manager diaktifkan AWS Organizations
-
Unduh
versi terbaru dari AWS CLI ke mesin lokal Anda. -
Buka AWS CLI, dan jalankan perintah berikut untuk menentukan kredensional Anda dan file. Wilayah AWS
aws configure
Sistem meminta Anda untuk menentukan yang berikut ini. Dalam contoh berikut, ganti masing-masing
user input placeholder
dengan informasi Anda sendiri.AWS Access Key ID [None]:
key_name
AWS Secret Access Key [None]:key_name
Default region name [None]:region
Default output format [None]: ENTER -
Jalankan perintah berikut untuk memverifikasi bahwa prinsipal layanan Systems Manager diaktifkan AWS Organizations.
aws organizations list-aws-service-access-for-organization
Perintah mengembalikan informasi yang mirip dengan yang ditunjukkan dalam contoh berikut.
{ "EnabledServicePrincipals": [ { "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com", "DateEnabled": "2020-12-11T16:32:27.732000-08:00" }, { "ServicePrincipal": "opsdatasync.ssm.amazonaws.com", "DateEnabled": "2022-01-19T12:30:48.352000-08:00" }, { "ServicePrincipal": "ssm.amazonaws.com", "DateEnabled": "2020-12-11T16:32:26.599000-08:00" } ] }
Untuk mengaktifkan prinsip layanan Systems Manager di AWS Organizations
Jika sebelumnya Anda belum mengonfigurasi prinsip layanan Systems Manager untuk Organizations, gunakan prosedur berikut untuk melakukannya. Untuk informasi selengkapnya tentang perintah ini, lihat enable-aws-service-access
-
Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya. Untuk selengkapnya, lihat Menginstal CLI dan Mengkonfigurasi. CLI
-
Unduh
versi terbaru dari AWS CLI ke mesin lokal Anda. -
Buka AWS CLI, dan jalankan perintah berikut untuk menentukan kredensional Anda dan file. Wilayah AWS
aws configure
Sistem meminta Anda untuk menentukan yang berikut ini. Dalam contoh berikut, ganti masing-masing
user input placeholder
dengan informasi Anda sendiri.AWS Access Key ID [None]:
key_name
AWS Secret Access Key [None]:key_name
Default region name [None]:region
Default output format [None]: ENTER -
Jalankan perintah berikut untuk mengaktifkan prinsip layanan Systems Manager untuk AWS Organizations.
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
Langkah 3: Membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery
terkait layanan
Peran terkait layanan seperti peran adalah jenis AWSServiceRoleForAmazonSSM_AccountDiscovery
peran unik yang ditautkan langsung ke AWS layanan, seperti Systems Manager. IAM Peran terkait layanan telah ditentukan sebelumnya oleh layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil orang lain AWS layanan atas nama Anda. Untuk informasi selengkapnya tentang peran AWSServiceRoleForAmazonSSM_AccountDiscovery
terkait layanan, lihat. Izin peran terkait layanan untuk penemuan akun Systems Manager
Gunakan prosedur berikut untuk membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery
terkait layanan dengan menggunakan. AWS CLI Untuk informasi selengkapnya tentang perintah yang digunakan dalam prosedur ini, lihat create-service-linked-role
Untuk membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery
terkait layanan
-
Masuk ke akun AWS Organizations manajemen.
-
Saat masuk ke akun manajemen Organizations, jalankan perintah berikut.
aws iam create-service-linked-role \ --aws-service-name accountdiscovery.ssm.amazonaws.com \ --description "Systems Manager account discovery for AWS Organizations service-linked role"
Langkah 4: Mengonfigurasi izin untuk bekerja dengan seluruh akun OpsItems
Gunakan AWS CloudFormation stacksets untuk membuat kebijakan OpsItemGroup
sumber daya dan peran IAM eksekusi yang memberikan izin kepada pengguna untuk bekerja dengan OpsItems seluruh akun. Untuk memulai, unduh dan unzip OpsCenterCrossAccountMembers.zip
file. File ini berisi file OpsCenterCrossAccountMembers.yaml
AWS CloudFormation
template. Saat Anda membuat kumpulan tumpukan menggunakan templat ini, CloudFormation secara otomatis membuat kebijakan OpsItemCrossAccountResourcePolicy
sumber daya dan peran OpsItemCrossAccountExecutionRole
eksekusi di akun. Untuk informasi selengkapnya tentang membuat kumpulan tumpukan, lihat Membuat kumpulan tumpukan di Panduan AWS CloudFormation Pengguna.
penting
Perhatikan informasi penting berikut tentang tugas ini:
-
Anda harus menerapkan stackset saat masuk ke akun manajemen. AWS Organizations
-
Anda harus mengulangi prosedur ini saat masuk ke setiap akun yang ingin Anda targetkan untuk digunakan OpsItems di seluruh akun, termasuk akun administrator yang didelegasikan.
-
Jika Anda ingin mengaktifkan OpsItems administrasi lintas akun secara berbeda Wilayah AWS, pilih Tambahkan semua wilayah di bagian Tentukan wilayah pada templat. OpsItemAdministrasi lintas akun tidak didukung untuk Wilayah keikutsertaan.
Langkah 5: Mengonfigurasi izin untuk bekerja dengan sumber daya terkait di seluruh akun
OpsItemDapat menyertakan informasi terperinci tentang sumber daya yang terkena dampak seperti instans Amazon Elastic Compute Cloud (AmazonEC2) atau bucket Amazon Simple Storage Service (Amazon S3). Peran OpsItemCrossAccountExecutionRole
eksekusi, yang Anda buat di Langkah 4 sebelumnya, menyediakan izin OpsCenter hanya-baca bagi akun anggota untuk melihat sumber daya terkait. Anda juga harus membuat IAM peran untuk memberikan izin kepada akun manajemen untuk melihat dan berinteraksi dengan sumber daya terkait, yang akan Anda selesaikan dalam tugas ini.
Untuk memulai, unduh dan unzip OpsCenterCrossAccountManagementRole.zip
file. File ini berisi file OpsCenterCrossAccountManagementRole.yaml
AWS CloudFormation template. Saat Anda membuat tumpukan dengan menggunakan templat ini, CloudFormation secara otomatis membuat OpsCenterCrossAccountManagementRole
IAM peran di akun. Untuk informasi selengkapnya tentang membuat tumpukan, lihat Membuat tumpukan di AWS CloudFormation konsol di Panduan AWS CloudFormation Pengguna.
penting
Perhatikan informasi penting berikut tentang tugas ini:
-
Jika Anda berencana untuk menentukan akun sebagai administrator yang didelegasikanOpsCenter, pastikan untuk menentukannya Akun AWS saat Anda membuat tumpukan.
-
Anda harus melakukan prosedur ini saat masuk ke akun AWS Organizations manajemen dan lagi saat masuk ke akun administrator yang didelegasikan.