Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai dengan Quick Setup
Gunakan informasi dalam topik ini untuk membantu Anda mempersiapkan diri untuk menggunakan Quick Setup.
Topik
IAMperan dan izin untuk Quick Setup orientasiing
Quick Setup meluncurkan pengalaman konsol baru dan yang baruAPI. Sekarang Anda dapat berinteraksi dengan ini API menggunakan konsol, AWS CLI, AWS CloudFormation, danSDKs. Jika Anda ikut serta dalam pengalaman baru, konfigurasi yang ada dibuat ulang menggunakan yang baru. API Tergantung dari jumlah konfigurasi yang ada di akun Anda, proses ini dapat memakan waktu beberapa menit.
Untuk menggunakan yang baru Quick Setup konsol, Anda harus memiliki izin untuk tindakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm-quicksetup:*", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:ListStackSetOperations", "cloudformation:ListStackInstances", "cloudformation:DescribeStackSet", "cloudformation:ListStackSets", "cloudformation:DescribeStackInstance", "cloudformation:DescribeOrganizationsAccess", "cloudformation:ActivateOrganizationsAccess", "cloudformation:GetTemplate", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStackEvents", "cloudformation:UntagResource", "ec2:DescribeInstances", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:ListDocuments", "ssm:DescribeDocument", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks", "ssm:GetOpsSummary", "organizations:DeregisterDelegatedAdministrator", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "resource-groups:ListGroups", "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:CreatePolicy", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "cloudformation:TagResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:RollbackStack", "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStackSet", "cloudformation:UpdateStackSet", "cloudformation:DeleteStackSet", "cloudformation:DeleteStackInstances", "cloudformation:CreateStackInstances", "cloudformation:StopStackSetOperation" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:PassRole", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Effect": "Allow", "Action": [ "ssm:DeleteAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "accountdiscovery.ssm.amazonaws.com", "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "stacksets.cloudformation.amazonaws.com" ] } }, "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin" } ] }
Untuk membatasi pengguna untuk izin hanya-baca, hanya izinkan ssm-quicksetup:List*
dan operasi untuk ssm-quicksetup:Get*
Quick Setup API.
Selama orientasi, Quick Setup membuat peran AWS Identity and Access Management (IAM) berikut atas nama Anda:
-
AWS-QuickSetup-LocalExecutionRole
— Memberikan AWS CloudFormation izin untuk menggunakan templat apa pun, tidak termasuk templat kebijakan tambalan, dan membuat sumber daya yang diperlukan. -
AWS-QuickSetup-LocalAdministrationRole
— Memberikan izin untuk AWS CloudFormation berasumsi.AWS-QuickSetup-LocalExecutionRole
-
AWS-QuickSetup-PatchPolicy-LocalExecutionRole
— Memberikan izin AWS CloudFormation untuk menggunakan templat kebijakan tambalan, dan membuat sumber daya yang diperlukan. -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole
— Memberikan izin untuk AWS CloudFormation berasumsi.AWS-QuickSetup-PatchPolicy-LocalExecutionRole
Jika Anda melakukan orientasi akun pengelolaan—akun yang Anda gunakan untuk membuat organisasi di — AWS OrganizationsQuick Setup juga membuat peran berikut atas nama Anda:
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer
— Memberikan izin ke runbookAWS-EnableExplorer
otomatisasi.AWS-EnableExplorer
Runbook mengonfigurasi Explorer, kemampuan Systems Manager, untuk menampilkan informasi untuk beberapa Akun AWS dan Wilayah AWS. -
AWSServiceRoleForAmazonSSM
— Peran terkait layanan yang memberikan akses ke AWS sumber daya yang dikelola dan digunakan oleh Systems Manager. -
AWSServiceRoleForAmazonSSM_AccountDiscovery
— Peran terkait layanan yang memberikan izin kepada Systems Manager untuk menelepon untuk menemukan Akun AWS informasi saat Layanan AWS menyinkronkan data. Untuk informasi selengkapnya, lihat Menggunakan peran untuk mengumpulkan Akun AWS informasi OpsCenter and Explorer.
Saat melakukan orientasi akun manajemen, Quick Setup memungkinkan akses tepercaya antara AWS Organizations dan CloudFormation untuk menyebarkan Quick Setup konfigurasi di seluruh organisasi Anda. Untuk mengaktifkan akses tepercaya, akun manajemen Anda harus memiliki izin administrator. Setelah orientasi, Anda tidak lagi memerlukan izin administrator. Untuk informasi selengkapnya, lihat Mengaktifkan akses tepercaya dengan Organizations.
Untuk informasi tentang jenis AWS Organizations akun, lihat AWS Organizations terminologi dan konsep di Panduan AWS Organizations Pengguna.
catatan
Quick Setup digunakan AWS CloudFormation StackSets untuk menyebarkan konfigurasi Anda di seluruh Akun AWS dan Wilayah. Jika jumlah akun target dikalikan dengan jumlah Wilayah melebihi 10.000, konfigurasi gagal diterapkan. Sebaiknya tinjau kasus penggunaan Anda dan buat konfigurasi yang menggunakan lebih sedikit target untuk mengakomodasi pertumbuhan organisasi Anda. Instans tumpukan tidak diterapkan ke akun pengelolaan organisasi Anda. Untuk informasi selengkapnya, lihat Pertimbangan saat membuat set tumpukan dengan izin yang dikelola layanan.
Orientasi manual untuk bekerja dengan Quick Setup APIsecara terprogram
Jika Anda menggunakan konsol untuk bekerja dengan Quick Setup, layanan menangani langkah-langkah orientasi untuk Anda. Jika Anda berencana untuk menggunakan SDKs atau bekerja dengan AWS CLI Quick Setup API, Anda masih dapat menggunakan konsol untuk menyelesaikan langkah-langkah orientasi untuk Anda sehingga Anda tidak perlu melakukannya secara manual. Namun, beberapa pelanggan perlu menyelesaikan langkah-langkah orientasi untuk Quick Setup secara terprogram tanpa berinteraksi dengan konsol. Jika metode ini sesuai dengan kasus penggunaan Anda, Anda harus menyelesaikan langkah-langkah berikut. Semua langkah ini harus diselesaikan dari akun AWS Organizations manajemen Anda.
Untuk menyelesaikan orientasi manual untuk Quick Setup
-
Aktifkan akses tepercaya untuk AWS CloudFormation with Organizations. Ini memberi akun manajemen izin yang diperlukan untuk membuat dan mengelola StackSets organisasi Anda. Anda dapat menggunakan AWS CloudFormation
ActivateOrganizationsAccess
API tindakan untuk menyelesaikan langkah ini. Untuk informasi lebih lanjut, lihat ActivateOrganizationsAccessdi AWS CloudFormation APIReferensi. -
Aktifkan integrasi Systems Manager dengan Organizations. Hal ini memungkinkan Systems Manager membuat peran yang terkait dengan layanan di semua akun di organisasi Anda. Hal ini juga memungkinkan Systems Manager untuk melakukan operasi atas nama Anda di organisasi Anda dan akunnya. Anda dapat menggunakan AWS Organizations
EnableAWSServiceAccess
API tindakan untuk menyelesaikan langkah ini. Prinsip layanan untuk Systems Manager adalah.ssm.amazonaws.com
Untuk informasi selengkapnya, lihat E nableAWSService Access di AWS Organizations APIReferensi. -
Buat IAM peran yang diperlukan untuk Explorer. Hal ini memungkinkan Quick Setup untuk membuat dasbor untuk konfigurasi Anda sehingga Anda dapat melihat status penerapan dan asosiasi. Buat IAM peran dan lampirkan kebijakan
AWSSystemsManagerEnableExplorerExecutionPolicy
terkelola. Ubah kebijakan kepercayaan agar peran tersebut sesuai dengan hal berikut ini. Ganti masing-masingaccount ID
dengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account ID
" }, "ArnLike": { "aws:SourceArn": "arn:*:ssm:*:account ID
:automation-execution/*" } } } ] } -
Perbarui Quick Setup pengaturan layanan untuk Explorer. Anda dapat menggunakan Quick Setup
UpdateServiceSettings
APItindakan untuk menyelesaikan langkah ini. Tentukan ARN IAM peran yang Anda buat pada langkah sebelumnya untuk parameterExplorerEnablingRoleArn
permintaan. Untuk informasi lebih lanjut, lihat UpdateServiceSettingsdi Quick Setup APIReferensi. -
Buat IAM peran yang diperlukan AWS CloudFormation StackSets untuk digunakan. Anda harus membuat peran eksekusi dan peran administrasi.
-
Buat peran eksekusi. Peran eksekusi harus memiliki setidaknya satu dari
AWSQuickSetupDeploymentRolePolicy
atau kebijakanAWSQuickSetupPatchPolicyDeploymentRolePolicy
terkelola yang dilampirkan. Jika Anda hanya membuat konfigurasi kebijakan tambalan, Anda dapat menggunakan kebijakanAWSQuickSetupPatchPolicyDeploymentRolePolicy
terkelola. Semua konfigurasi lain menggunakanAWSQuickSetupDeploymentRolePolicy
kebijakan. Ubah kebijakan kepercayaan agar peran tersebut sesuai dengan hal berikut ini. Ganti masing-masingaccount ID
andadministration role name
dengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account ID
:role/administration role name
" }, "Action": "sts:AssumeRole" } ] } -
Buat peran administrasi. Kebijakan izin harus sesuai dengan yang berikut ini. Ganti masing-masing
account ID
andexecution role name
dengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": "arn:*:iam::
account ID
:role/execution role name
", "Effect": "Allow" } ] }Ubah kebijakan kepercayaan agar peran tersebut sesuai dengan hal berikut ini. Ganti masing-masing
account ID
dengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account ID
" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:account ID
:stackset/AWS-QuickSetup-*" } } } ] }
-