(Opsional) Diatur secara manual OpsCenter untuk mengelola OpsItems seluruh akun secara terpusat - AWS Systems Manager
Sebelum Anda mulaiLangkah 1: Membuat sinkronisasi data sumber dayaLangkah 2: Mengaktifkan prinsip layanan Systems Manager di AWS OrganizationsLangkah 3: Membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layananLangkah 4: Mengonfigurasi izin untuk bekerja dengan seluruh akun OpsItemsLangkah 5: Mengonfigurasi izin untuk bekerja dengan sumber daya terkait di seluruh akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

(Opsional) Diatur secara manual OpsCenter untuk mengelola OpsItems seluruh akun secara terpusat

Bagian ini menjelaskan cara mengonfigurasi OpsCenter OpsItem manajemen lintas akun secara manual. Meskipun proses ini masih didukung, itu telah digantikan oleh proses yang lebih baru yang menggunakan Systems ManagerQuick Setup. Untuk informasi selengkapnya, lihat (Opsional) Konfigurasikan OpsCenter untuk mengelola OpsItems seluruh akun dengan menggunakan Quick Setup.

Anda dapat mengatur akun pusat untuk membuat manual OpsItems untuk akun anggota, dan mengelola serta memulihkannya. OpsItems Akun pusat dapat berupa akun AWS Organizations manajemen, atau akun manajemen dan akun administrator yang didelegasikan Systems Manager. AWS Organizations Kami menyarankan Anda menggunakan akun administrator yang didelegasikan Systems Manager sebagai akun pusat. Anda hanya dapat menggunakan fitur ini setelah Anda mengkonfigurasi AWS Organizations.

Dengan AWS Organizations, Anda dapat mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Pengguna akun pusat dapat membuat OpsItems untuk semua akun anggota yang dipilih secara bersamaan, dan mengelolanyaOpsItems.

Gunakan proses di bagian ini untuk mengaktifkan prinsip layanan Systems Manager di Organizations dan mengkonfigurasi AWS Identity and Access Management (IAM) izin untuk bekerja dengan OpsItems lintas akun.

catatan

Hanya OpsItems jenis /aws/issue yang didukung saat bekerja di OpsCenter seluruh akun.

Sebelum Anda mulai

Sebelum Anda mengatur OpsCenter untuk bekerja dengan OpsItems seluruh akun, pastikan bahwa Anda telah menyiapkan hal-hal berikut:

Langkah 1: Membuat sinkronisasi data sumber daya

Setelah menyiapkan dan mengonfigurasi AWS Organizations, Anda dapat menggabungkan OpsItems seluruh organisasi dengan membuat sinkronisasi data sumber daya. OpsCenter Untuk informasi selengkapnya, lihat Membuat sinkronisasi data sumber daya. Saat Anda membuat sinkronisasi, di bagian Tambah akun, pastikan untuk memilih opsi Sertakan semua akun dari AWS Organizations konfigurasi saya.

Langkah 2: Mengaktifkan prinsip layanan Systems Manager di AWS Organizations

Agar pengguna dapat bekerja dengan OpsItems seluruh akun, prinsipal layanan Systems Manager harus diaktifkan AWS Organizations. Jika sebelumnya Anda mengonfigurasi Systems Manager untuk skenario multi-akun menggunakan kemampuan lain, prinsipal layanan Systems Manager mungkin sudah dikonfigurasi di Organizations. Jalankan perintah berikut dari AWS Command Line Interface (AWS CLI) untuk memverifikasi. Jika Anda belum mengonfigurasi Systems Manager untuk skenario multi-akun lainnya, lewati ke prosedur berikutnya, Untuk mengaktifkan prinsip layanan Systems Manager. AWS Organizations

Untuk memverifikasi, prinsipal layanan Systems Manager diaktifkan AWS Organizations

  1. Unduh versi terbaru dari AWS CLI ke mesin lokal Anda.

  2. Buka AWS CLI, dan jalankan perintah berikut untuk menentukan kredensional Anda dan file. Wilayah AWS

    aws configure

    Sistem meminta Anda untuk menentukan yang berikut ini. Dalam contoh berikut, ganti masing-masing user input placeholder dengan informasi Anda sendiri.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  3. Jalankan perintah berikut untuk memverifikasi bahwa prinsipal layanan Systems Manager diaktifkan AWS Organizations.

    aws organizations list-aws-service-access-for-organization

    Perintah mengembalikan informasi yang mirip dengan yang ditunjukkan dalam contoh berikut.

    {
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}
Untuk mengaktifkan prinsip layanan Systems Manager di AWS Organizations

Jika sebelumnya Anda belum mengonfigurasi prinsip layanan Systems Manager untuk Organizations, gunakan prosedur berikut untuk melakukannya. Untuk informasi selengkapnya tentang perintah ini, lihat enable-aws-service-accessdi Referensi AWS CLI Perintah.

  1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya. Untuk selengkapnya, lihat Menginstal CLI dan Mengkonfigurasi. CLI

  2. Unduh versi terbaru dari AWS CLI ke mesin lokal Anda.

  3. Buka AWS CLI, dan jalankan perintah berikut untuk menentukan kredensional Anda dan file. Wilayah AWS

    aws configure

    Sistem meminta Anda untuk menentukan yang berikut ini. Dalam contoh berikut, ganti masing-masing user input placeholder dengan informasi Anda sendiri.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  4. Jalankan perintah berikut untuk mengaktifkan prinsip layanan Systems Manager untuk AWS Organizations.

    aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

Langkah 3: Membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan

Peran terkait layanan seperti peran adalah jenis AWSServiceRoleForAmazonSSM_AccountDiscovery peran unik yang ditautkan langsung ke AWS layanan, seperti Systems Manager. IAM Peran terkait layanan telah ditentukan sebelumnya oleh layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil orang lain AWS layanan atas nama Anda. Untuk informasi selengkapnya tentang peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan, lihat. Izin peran terkait layanan untuk penemuan akun Systems Manager

Gunakan prosedur berikut untuk membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan dengan menggunakan. AWS CLI Untuk informasi selengkapnya tentang perintah yang digunakan dalam prosedur ini, lihat create-service-linked-roledi AWS CLI Command Reference.

Untuk membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan

  1. Masuk ke akun AWS Organizations manajemen.

  2. Saat masuk ke akun manajemen Organizations, jalankan perintah berikut.

    aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

Langkah 4: Mengonfigurasi izin untuk bekerja dengan seluruh akun OpsItems

Gunakan AWS CloudFormation stacksets untuk membuat kebijakan OpsItemGroup sumber daya dan peran IAM eksekusi yang memberikan izin kepada pengguna untuk bekerja dengan OpsItems seluruh akun. Untuk memulai, unduh dan unzip OpsCenterCrossAccountMembers.zipfile. File ini berisi file OpsCenterCrossAccountMembers.yaml AWS CloudFormation template. Saat Anda membuat kumpulan tumpukan menggunakan templat ini, CloudFormation secara otomatis membuat kebijakan OpsItemCrossAccountResourcePolicy sumber daya dan peran OpsItemCrossAccountExecutionRole eksekusi di akun. Untuk informasi selengkapnya tentang membuat kumpulan tumpukan, lihat Membuat kumpulan tumpukan di Panduan AWS CloudFormation Pengguna.

penting

Perhatikan informasi penting berikut tentang tugas ini:

  • Anda harus menerapkan stackset saat masuk ke akun manajemen. AWS Organizations

  • Anda harus mengulangi prosedur ini saat masuk ke setiap akun yang ingin Anda targetkan untuk digunakan OpsItems di seluruh akun, termasuk akun administrator yang didelegasikan.

  • Jika Anda ingin mengaktifkan OpsItems administrasi lintas akun secara berbeda Wilayah AWS, pilih Tambahkan semua wilayah di bagian Tentukan wilayah pada templat. OpsItemAdministrasi lintas akun tidak didukung untuk Wilayah keikutsertaan.

OpsItemDapat menyertakan informasi terperinci tentang sumber daya yang terkena dampak seperti instans Amazon Elastic Compute Cloud (AmazonEC2) atau bucket Amazon Simple Storage Service (Amazon S3). Peran OpsItemCrossAccountExecutionRole eksekusi, yang Anda buat di Langkah 4 sebelumnya, menyediakan izin OpsCenter hanya-baca bagi akun anggota untuk melihat sumber daya terkait. Anda juga harus membuat IAM peran untuk memberikan izin kepada akun manajemen untuk melihat dan berinteraksi dengan sumber daya terkait, yang akan Anda selesaikan dalam tugas ini.

Untuk memulai, unduh dan unzip OpsCenterCrossAccountManagementRole.zipfile. File ini berisi file OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation template. Saat Anda membuat tumpukan dengan menggunakan templat ini, CloudFormation secara otomatis membuat OpsCenterCrossAccountManagementRole IAM peran di akun. Untuk informasi selengkapnya tentang membuat tumpukan, lihat Membuat tumpukan di AWS CloudFormation konsol di Panduan AWS CloudFormation Pengguna.

penting

Perhatikan informasi penting berikut tentang tugas ini:

  • Jika Anda berencana untuk menentukan akun sebagai administrator yang didelegasikanOpsCenter, pastikan untuk menentukannya Akun AWS saat Anda membuat tumpukan.

  • Anda harus melakukan prosedur ini saat masuk ke akun AWS Organizations manajemen dan lagi saat masuk ke akun administrator yang didelegasikan.