Memulai dengan Quick Setup - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan Quick Setup

Gunakan informasi dalam topik ini untuk membantu Anda mempersiapkan diri untuk menggunakan Quick Setup.

IAMperan dan izin untuk Quick Setup orientasiing

Quick Setup meluncurkan pengalaman konsol baru dan yang baruAPI. Sekarang Anda dapat berinteraksi dengan ini API menggunakan konsol, AWS CLI, AWS CloudFormation, danSDKs. Jika Anda ikut serta dalam pengalaman baru, konfigurasi yang ada dibuat ulang menggunakan yang baru. API Tergantung dari jumlah konfigurasi yang ada di akun Anda, proses ini dapat memakan waktu beberapa menit.

Untuk menggunakan yang baru Quick Setup konsol, Anda harus memiliki izin untuk tindakan berikut:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm-quicksetup:*", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:ListStackSetOperations", "cloudformation:ListStackInstances", "cloudformation:DescribeStackSet", "cloudformation:ListStackSets", "cloudformation:DescribeStackInstance", "cloudformation:DescribeOrganizationsAccess", "cloudformation:ActivateOrganizationsAccess", "cloudformation:GetTemplate", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStackEvents", "cloudformation:UntagResource", "ec2:DescribeInstances", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:ListDocuments", "ssm:DescribeDocument", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks", "ssm:GetOpsSummary", "organizations:DeregisterDelegatedAdministrator", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "resource-groups:ListGroups", "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:CreatePolicy", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "cloudformation:TagResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:RollbackStack", "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStackSet", "cloudformation:UpdateStackSet", "cloudformation:DeleteStackSet", "cloudformation:DeleteStackInstances", "cloudformation:CreateStackInstances", "cloudformation:StopStackSetOperation" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:PassRole", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Effect": "Allow", "Action": [ "ssm:DeleteAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "accountdiscovery.ssm.amazonaws.com", "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "stacksets.cloudformation.amazonaws.com" ] } }, "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin" } ] }

Untuk membatasi pengguna untuk izin hanya-baca, hanya izinkan ssm-quicksetup:List* dan operasi untuk ssm-quicksetup:Get* Quick Setup API.

Selama orientasi, Quick Setup membuat peran AWS Identity and Access Management (IAM) berikut atas nama Anda:

  • AWS-QuickSetup-LocalExecutionRole— Memberikan AWS CloudFormation izin untuk menggunakan templat apa pun, tidak termasuk templat kebijakan tambalan, dan membuat sumber daya yang diperlukan.

  • AWS-QuickSetup-LocalAdministrationRole— Memberikan izin untuk AWS CloudFormation berasumsi. AWS-QuickSetup-LocalExecutionRole

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Memberikan izin AWS CloudFormation untuk menggunakan templat kebijakan tambalan, dan membuat sumber daya yang diperlukan.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Memberikan izin untuk AWS CloudFormation berasumsi. AWS-QuickSetup-PatchPolicy-LocalExecutionRole

Jika Anda melakukan orientasi akun pengelolaan—akun yang Anda gunakan untuk membuat organisasi di — AWS OrganizationsQuick Setup juga membuat peran berikut atas nama Anda:

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer— Memberikan izin ke runbook AWS-EnableExplorer otomatisasi. AWS-EnableExplorerRunbook mengonfigurasi Explorer, kemampuan Systems Manager, untuk menampilkan informasi untuk beberapa Akun AWS dan Wilayah AWS.

  • AWSServiceRoleForAmazonSSM— Peran terkait layanan yang memberikan akses ke AWS sumber daya yang dikelola dan digunakan oleh Systems Manager.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery— Peran terkait layanan yang memberikan izin kepada Systems Manager untuk menelepon untuk menemukan Akun AWS informasi saat Layanan AWS menyinkronkan data. Untuk informasi selengkapnya, lihat Menggunakan peran untuk mengumpulkan Akun AWS informasi OpsCenter and Explorer.

Saat melakukan orientasi akun manajemen, Quick Setup memungkinkan akses tepercaya antara AWS Organizations dan CloudFormation untuk menyebarkan Quick Setup konfigurasi di seluruh organisasi Anda. Untuk mengaktifkan akses tepercaya, akun manajemen Anda harus memiliki izin administrator. Setelah orientasi, Anda tidak lagi memerlukan izin administrator. Untuk informasi selengkapnya, lihat Mengaktifkan akses tepercaya dengan Organizations.

Untuk informasi tentang jenis AWS Organizations akun, lihat AWS Organizations terminologi dan konsep di Panduan AWS Organizations Pengguna.

catatan

Quick Setup digunakan AWS CloudFormation StackSets untuk menyebarkan konfigurasi Anda di seluruh Akun AWS dan Wilayah. Jika jumlah akun target dikalikan dengan jumlah Wilayah melebihi 10.000, konfigurasi gagal diterapkan. Sebaiknya tinjau kasus penggunaan Anda dan buat konfigurasi yang menggunakan lebih sedikit target untuk mengakomodasi pertumbuhan organisasi Anda. Instans tumpukan tidak diterapkan ke akun pengelolaan organisasi Anda. Untuk informasi selengkapnya, lihat Pertimbangan saat membuat set tumpukan dengan izin yang dikelola layanan.

Orientasi manual untuk bekerja dengan Quick Setup APIsecara terprogram

Jika Anda menggunakan konsol untuk bekerja dengan Quick Setup, layanan menangani langkah-langkah orientasi untuk Anda. Jika Anda berencana untuk menggunakan SDKs atau bekerja dengan AWS CLI Quick Setup API, Anda masih dapat menggunakan konsol untuk menyelesaikan langkah-langkah orientasi untuk Anda sehingga Anda tidak perlu melakukannya secara manual. Namun, beberapa pelanggan perlu menyelesaikan langkah-langkah orientasi untuk Quick Setup secara terprogram tanpa berinteraksi dengan konsol. Jika metode ini sesuai dengan kasus penggunaan Anda, Anda harus menyelesaikan langkah-langkah berikut. Semua langkah ini harus diselesaikan dari akun AWS Organizations manajemen Anda.

Untuk menyelesaikan orientasi manual untuk Quick Setup
  1. Aktifkan akses tepercaya untuk AWS CloudFormation with Organizations. Ini memberi akun manajemen izin yang diperlukan untuk membuat dan mengelola StackSets organisasi Anda. Anda dapat menggunakan AWS CloudFormationActivateOrganizationsAccess API tindakan untuk menyelesaikan langkah ini. Untuk informasi lebih lanjut, lihat ActivateOrganizationsAccessdi AWS CloudFormation APIReferensi.

  2. Aktifkan integrasi Systems Manager dengan Organizations. Hal ini memungkinkan Systems Manager membuat peran yang terkait dengan layanan di semua akun di organisasi Anda. Hal ini juga memungkinkan Systems Manager untuk melakukan operasi atas nama Anda di organisasi Anda dan akunnya. Anda dapat menggunakan AWS OrganizationsEnableAWSServiceAccess API tindakan untuk menyelesaikan langkah ini. Prinsip layanan untuk Systems Manager adalah. ssm.amazonaws.com Untuk informasi selengkapnya, lihat E nableAWSService Access di AWS Organizations APIReferensi.

  3. Buat IAM peran yang diperlukan untuk Explorer. Hal ini memungkinkan Quick Setup untuk membuat dasbor untuk konfigurasi Anda sehingga Anda dapat melihat status penerapan dan asosiasi. Buat IAM peran dan lampirkan kebijakan AWSSystemsManagerEnableExplorerExecutionPolicy terkelola. Ubah kebijakan kepercayaan agar peran tersebut sesuai dengan hal berikut ini. Ganti masing-masing account ID dengan informasi Anda.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ArnLike": { "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*" } } } ] }
  4. Perbarui Quick Setup pengaturan layanan untuk Explorer. Anda dapat menggunakan Quick SetupUpdateServiceSettingsAPItindakan untuk menyelesaikan langkah ini. Tentukan ARN IAM peran yang Anda buat pada langkah sebelumnya untuk parameter ExplorerEnablingRoleArn permintaan. Untuk informasi lebih lanjut, lihat UpdateServiceSettingsdi Quick Setup APIReferensi.

  5. Buat IAM peran yang diperlukan AWS CloudFormation StackSets untuk digunakan. Anda harus membuat peran eksekusi dan peran administrasi.

    1. Buat peran eksekusi. Peran eksekusi harus memiliki setidaknya satu dari AWSQuickSetupDeploymentRolePolicy atau kebijakan AWSQuickSetupPatchPolicyDeploymentRolePolicy terkelola yang dilampirkan. Jika Anda hanya membuat konfigurasi kebijakan tambalan, Anda dapat menggunakan kebijakan AWSQuickSetupPatchPolicyDeploymentRolePolicy terkelola. Semua konfigurasi lain menggunakan AWSQuickSetupDeploymentRolePolicy kebijakan. Ubah kebijakan kepercayaan agar peran tersebut sesuai dengan hal berikut ini. Ganti masing-masing account ID and administration role name dengan informasi Anda.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/administration role name" }, "Action": "sts:AssumeRole" } ] }
    2. Buat peran administrasi. Kebijakan izin harus sesuai dengan yang berikut ini. Ganti masing-masing account ID and execution role name dengan informasi Anda.

      { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": "arn:*:iam::account ID:role/execution role name", "Effect": "Allow" } ] }

      Ubah kebijakan kepercayaan agar peran tersebut sesuai dengan hal berikut ini. Ganti masing-masing account ID dengan informasi Anda.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*" } } } ] }