Menyiapkan Change Manager untuk organisasi (akun manajemen) - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan Change Manager untuk organisasi (akun manajemen)

Tugas dalam topik ini berlaku jika Anda menggunakan Change Manager AWS Systems Manager, kemampuan, dengan organisasi yang diatur AWS Organizations. Jika Anda ingin menggunakan Change Manager hanya dengan satu Akun AWS, lompat ke topikMengkonfigurasi Change Manager opsi dan praktik terbaik.

Lakukan tugas-tugas di bagian ini di Akun AWS yang berfungsi sebagai akun manajemen di Organizations. Untuk informasi tentang akun manajemen dan konsep Organizations lainnya, lihat terminologi dan konsep AWS Organizations.

Jika Anda perlu mengaktifkan Organizations dan menentukan akun Anda sebagai akun manajemen sebelum melanjutkan, lihat Membuat dan mengelola organisasidi Panduan Pengguna AWS Organizations .

catatan

Proses penyiapan ini tidak dapat dilakukan dalam hal berikut Wilayah AWS:

  • Europe (Milan) (eu-south-1)

  • Middle East (Bahrain) (me-south-1)

  • Africa (Cape Town) (af-south-1)

  • Asia Pacific (Hong Kong) (ap-east-1)

Pastikan Anda bekerja di Wilayah yang berbeda di akun manajemen Anda untuk prosedur ini.

Selama prosedur penyiapan, Anda melakukan tugas-tugas utama berikut diQuick Setup, kemampuan AWS Systems Manager.

  • Tugas 1: Daftarkan akun administrator yang didelegasikan untuk organisasi Anda

    Tugas terkait perubahan yang dilakukan menggunakan Change Manager dikelola di salah satu akun anggota Anda, yang Anda tentukan sebagai akun administrator yang didelegasikan. Akun administrator yang didelegasikan yang Anda daftarkan Change Manager menjadi akun administrator yang didelegasikan untuk semua operasi Systems Manager Anda. (Anda mungkin telah mendelegasikan akun administrator untuk lainnya Layanan AWS). Akun administrator yang didelegasikanChange Manager, yang tidak sama dengan akun manajemen Anda, mengelola aktivitas perubahan di seluruh organisasi Anda, termasuk templat perubahan, permintaan perubahan, dan persetujuan untuk masing-masing. Di akun administrator yang didelegasikan, Anda juga menentukan opsi konfigurasi lain untuk Change Manager operasi Anda.

    penting

    Akun administrator yang didelegasikan harus menjadi satu-satunya anggota unit organisasi (OU) yang ditetapkan di Organizations.

  • Tugas 2: Tentukan dan tentukan kebijakan akses runbook untuk peran pemohon perubahan, atau fungsi pekerjaan khusus, yang ingin Anda gunakan untuk operasi Anda Change Manager

    Untuk membuat permintaan perubahanChange Manager, pengguna di akun anggota Anda harus diberikan izin AWS Identity and Access Management (IAM) yang memungkinkan mereka mengakses hanya runbook Otomasi dan mengubah templat yang Anda pilih untuk disediakan bagi mereka.

    catatan

    Ketika pengguna membuat permintaan perubahan, mereka terlebih dahulu memilih templat perubahan. Templat perubahan ini mungkin membuat beberapa runbook tersedia, tetapi pengguna hanya dapat memilih satu runbook untuk setiap permintaan perubahan. Templat perubahan juga dapat dikonfigurasi untuk memungkinkan pengguna untuk menyertakan buku runbook yang tersedia dalam permintaan mereka.

    Untuk memberikan izin yang diperlukan, Change Manager gunakan konsep fungsi pekerjaan, yang juga digunakan olehIAM. Namun, tidak seperti kebijakan AWS terkelola untuk fungsi pekerjaan diIAM, Anda menentukan nama fungsi Change Manager pekerjaan dan IAM izin untuk fungsi pekerjaan tersebut.

    Saat Anda mengonfigurasi fungsi tugas, sebaiknya buat kebijakan kustom dan berikan hanya izin yang diperlukan untuk melakukan tugas manajemen perubahan. Misalnya, Anda dapat menentukan izin yang membatasi pengguna ke kumpulan runbook tertentu berdasarkan fungsi pekerjaan yang Anda tentukan.

    Misalnya, Anda dapat membuat fungsi tugas dengan nama DBAdmin. Untuk fungsi tugas ini, Anda mungkin hanya memberikan izin yang diperlukan untuk runbook yang terkait dengan database Amazon DynamoDB, seperti AWS-CreateDynamoDbBackup dan AWSConfigRemediation-DeleteDynamoDbTable.

    Sebagai contoh lain, Anda mungkin ingin memberikan beberapa pengguna izin yang diperlukan saja untuk bekerja dengan runbook yang terkait dengan bucket Amazon Simple Storage Service (Amazon S3) seperti AWS-ConfigureS3BucketLogging dan AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock.

    Proses konfigurasi di Quick Setup for Change Manager juga membuat satu set izin administratif Systems Manager lengkap tersedia bagi Anda untuk diterapkan ke peran administratif yang Anda buat.

    Setiap Change Manager Quick Setup konfigurasi yang Anda terapkan akan membuat fungsi pekerjaan di akun administrator yang didelegasikan dengan izin untuk menjalankan Change Manager templat dan runbook Otomasi di unit organisasi yang telah Anda pilih. Anda dapat membuat hingga 15 Quick Setup konfigurasi untukChange Manager.

  • Tugas 3: Pilih akun anggota mana di organisasi Anda yang akan digunakan Change Manager

    Anda dapat menggunakan Change Manager dengan semua akun anggota di semua unit organisasi Anda yang diatur di Organizations, dan di semua akun Wilayah AWS tersebut beroperasi. Jika Anda mau, Anda dapat menggunakan hanya Change Manager dengan beberapa unit organisasi Anda.

penting

Kami sangat menyarankan, sebelum memulai prosedur ini, bahwa Anda membaca langkah-langkahnya untuk memahami pilihan konfigurasi yang Anda buat dan izin yang Anda berikan. Secara khusus, rencanakan fungsi tugas khusus yang akan Anda buat dan izin yang Anda tetapkan untuk setiap fungsi tugas. Ini memastikan bahwa ketika nanti Anda melampirkan kebijakan fungsi pekerjaan yang Anda buat ke pengguna individu, grup pengguna, atau IAM peran, mereka hanya diberikan izin yang Anda inginkan untuk mereka miliki.

Sebagai praktik terbaik, mulailah dengan menyiapkan akun administrator yang didelegasikan menggunakan login untuk Akun AWS administrator. Kemudian, konfigurasikan fungsi tugas dan izinnya setelah Anda membuat templat perubahan dan mengidentifikasi runbook yang digunakan masing-masing.

Change ManagerUntuk mengatur penggunaan dengan organisasi, lakukan tugas berikut di Quick Setup area konsol Systems Manager.

Ulangi tugas ini untuk setiap fungsi tugas yang ingin Anda buat untuk organisasi Anda. Setiap fungsi tugas yang Anda buat dapat memiliki izin untuk serangkaian unit organisasi yang berbeda.

Untuk mengatur organisasi Change Manager di akun manajemen Organizations
  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Quick Setup.

  3. Pada Change Managerkartu, pilih Buat.

  4. Untuk akun administrator yang didelegasikan, masukkan ID yang ingin Akun AWS Anda gunakan untuk mengelola templat perubahan, permintaan perubahan, dan alur kerja buku runbook. Change Manager

    Jika Anda sebelumnya telah menetapkan akun administrator yang didelegasikan untuk Systems Manager, ID akun tersebut sudah dilaporkan dalam bidang ini.

    penting

    Akun administrator yang didelegasikan harus menjadi satu-satunya anggota unit organisasi (OU) yang ditetapkan di Organizations.

    Jika akun administrator yang didelegasikan yang Anda daftarkan kemudian dibatalkan pendaftarannya dari peran itu, sistem akan menghapus izinnya untuk mengelola operasi Systems Manager secara bersamaan. Ingatlah bahwa Anda perlu kembali keQuick Setup, menunjuk akun administrator yang didelegasikan yang berbeda, dan tentukan semua fungsi dan izin pekerjaan lagi.

    Jika Anda menggunakan Change Manager di seluruh organisasi, sebaiknya selalu membuat perubahan dari akun administrator yang didelegasikan. Meskipun Anda dapat membuat perubahan dari akun lain di organisasi, perubahan tersebut tidak akan dilaporkan atau dapat dilihat dari akun administrator yang didelegasikan.

  5. Di bagian Izin untuk meminta dan membuat perubahan, lakukan hal berikut.

    catatan

    Setiap konfigurasi deployment yang Anda buat menyediakan kebijakan izin hanya untuk satu fungsi tugas. Anda dapat kembali ke Quick Setup nanti untuk membuat lebih banyak fungsi pekerjaan ketika Anda telah membuat template perubahan untuk digunakan dalam operasi Anda.

    Untuk membuat peran administratif — Untuk fungsi pekerjaan administrator yang memiliki IAM izin untuk semua AWS tindakan, lakukan hal berikut.

    penting

    Pemberian izin administratif penuh kepada pengguna harus dilakukan secara terbatas, dan hanya jika peran mereka memerlukan akses penuh Systems Manager. Untuk informasi penting tentang pertimbangan keamanan untuk akses Systems Manager, lihat Identity and access management untuk AWS Systems Manager dan Praktik terbaik keamanan untuk Systems Manager.

    1. Untuk Fungsi tugas, masukkan nama untuk mengidentifikasi peran ini dan izinnya, seperti My AWS Admin.

    2. Untuk Opsi peran dan izin, pilih Izin administrator.

    Untuk membuat fungsi tugas lainnya – Untuk membuat peran non-administratif, lakukan hal berikut:

    1. Untuk Fungsi tugas, masukkan nama untuk mengidentifikasi peran ini dan menyarankan izinnya. Nama yang Anda pilih harus mewakili cakupan runbook yang akan Anda berikan izinnya, seperti DBAdmin atau S3Admin.

    2. Untuk Opsi peran dan izin, pilih Izin kustom.

    3. Di editor kebijakan Izin, masukkan IAM izin, dalam JSON format, untuk diberikan ke fungsi pekerjaan ini.

    Tip

    Sebaiknya gunakan editor IAM kebijakan untuk membuat kebijakan, lalu menempelkan kebijakan tersebut JSON ke bidang Kebijakan Izin.

    Contoh kebijakan: manajemen database DynamoDB

    Misalnya, Anda dapat memulai dengan konten kebijakan yang memberikan izin untuk bekerja dengan dokumen Systems Manager (SSMdokumen) yang perlu diakses oleh fungsi pekerjaan. Berikut adalah contoh konten kebijakan yang memberikan akses ke semua runbook Otomasi AWS terkelola yang terkait dengan database DynamoDB dan dua templat perubahan yang telah dibuat dalam sampel Akun AWS 123456789012, di Wilayah AS Timur (Ohio) (). us-east-2

    Kebijakan ini juga mencakup izin untuk StartChangeRequestExecutionoperasi, yang diperlukan untuk membuat permintaan perubahan diChange Calendar.

    catatan

    Contoh ini tidak komprehensif. Izin tambahan mungkin diperlukan untuk bekerja dengan AWS sumber daya lain, seperti database dan node.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate", "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*" } ] }

    Untuk informasi selengkapnya tentang IAM kebijakan, lihat Manajemen akses untuk AWS sumber daya dan Membuat IAM kebijakan di Panduan IAM Pengguna.

  6. Di bagian Target, pilih apakah akan memberikan izin untuk fungsi pekerjaan yang Anda buat ke seluruh organisasi atau hanya beberapa unit organisasi Anda.

    Jika Anda memilih Seluruh organisasi, lanjutkan ke langkah 9.

    Jika Anda memilih Kustom, lanjutkan ke langkah 8.

  7. Di OUs bagian Target, pilih kotak centang unit organisasi yang akan digunakanChange Manager.

  8. Pilih Buat.

Setelah sistem selesai menyiapkan Change Manager untuk organisasi Anda, ini akan menampilkan ringkasan penerapan Anda. Informasi ringkasan ini mencakup nama peran yang dibuat untuk fungsi pekerjaan yang Anda konfigurasikan. Misalnya, AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole.

catatan

Quick Setupdigunakan AWS CloudFormation StackSets untuk menyebarkan konfigurasi Anda. Anda juga dapat melihat informasi tentang konfigurasi deployment yang telah selesai di konsol AWS CloudFormation . Untuk selengkapnya StackSets, lihat Bekerja dengan AWS CloudFormation StackSets di Panduan AWS CloudFormation Pengguna.

Langkah Anda selanjutnya adalah mengonfigurasi Change Manager opsi tambahan. Anda dapat menyelesaikan tugas ini baik di akun administrator yang didelegasikan atau akun apa pun di unit organisasi yang diizinkan untuk digunakan. Change Manager Anda mengonfigurasi opsi seperti memilih opsi manajemen identitas pengguna, menentukan pengguna mana yang dapat meninjau dan menyetujui atau menolak templat perubahan dan permintaan perubahan, dan memilih opsi praktik terbaik mana yang diizinkan untuk organisasi Anda. Untuk informasi, lihat Mengkonfigurasi Change Manager opsi dan praktik terbaik.