Informazioni sui ruoli creati dalla configurazione integrata Configurazione delle autorizzazioni per l' di Systems Manager OpsCenter

Configurazione di ruoli e autorizzazioni per Systems Manager Explorer

L'installazione integrata crea e configura automaticamente AWS Identity and Access Management (IAM) i ruoli per AWS Systems Manager Explorer e AWS Systems Manager OpsCenter. Se è stata completata l'installazione integrata, non è necessario eseguire alcun processo aggiuntivo per la configurazione di ruoli e autorizzazioni per Explorer. Tuttavia, è necessario configurare le autorizzazioni per OpsCenter, come descritto più avanti in questo argomento.

Indice

Informazioni sui ruoli creati dalla configurazione integrata
Configurazione delle autorizzazioni per l' di Systems Manager OpsCenter

Informazioni sui ruoli creati dalla configurazione integrata

Il programma di installazione integrata crea e configura i seguenti ruoli per lavorare con Explorer e OpsCenter.

AWSServiceRoleForAmazonSSM: fornisce l'accesso a risorse AWS gestite o utilizzate da Systems Manager.
OpsItem-CWE-Role: consente di EventBridge creare CloudWatch eventi OpsItems in risposta a eventi comuni.
AWSServiceRoleForAmazonSSM_AccountDiscovery: Consente a Systems Manager di chiamare altri utenti AWS servizi per scoprire Account AWS informazioni durante la sincronizzazione dei dati. Per ulteriori informazioni su questo ruolo, consulta Informazioni sul ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery.
AmazonSSMExplorerExport: Consente di Explorer OpsData esportare in un file con valori separati da virgole (). CSV

Informazioni sul ruolo `AWSServiceRoleForAmazonSSM_AccountDiscovery`

Se si configura Explorer la visualizzazione dei dati da più account e regioni utilizzando AWS Organizations una sincronizzazione dei dati delle risorse, Systems Manager crea un ruolo collegato al servizio. Systems Manager utilizza questo ruolo per ottenere informazioni sull' Account AWS in AWS Organizations. Il ruolo utilizza la policy di autorizzazioni riportato di seguito.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sul ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery, consulta Utilizzo dei ruoli per raccogliere Account AWS informazioni per OpsCenter e Explorer.

Configurazione delle autorizzazioni per l' di Systems Manager OpsCenter

Dopo aver completato la configurazione integrata, è necessario configurare le autorizzazioni utente, gruppo o ruolo in modo che gli utenti possano eseguire operazioni in OpsCenter.

Prima di iniziare

È possibile configurare OpsCenter per creare e gestire OpsItems su più account o su un solo account. Se configuri OpsCenter per la creazione e la gestione multi-account di OpsItems, l'account di gestione AWS Organizations può creare, visualizzare o modificare OpsItems in altri account manualmente. Se necessario, puoi anche selezionare l'account di amministratore delegato di Systems Manager per creare e gestire OpsItems negli account membri. Tuttavia, se configuri OpsCenter per un singolo account, puoi visualizzare o modificare gli OpsItems solo nell'account in cui gli OpsItems sono stati creati. Non puoi condividere o trasferireOpsItems. Account AWS Per questo motivo, ti consigliamo di configurare le autorizzazioni per OpsCenter l' Account AWS ambiente utilizzato per eseguire i AWS carichi di lavoro. È quindi possibile creare utenti o gruppi in tale account. In questo modo, più tecnici operativi o professionisti IT possono creare, visualizzare e modificare OpsItems nello stesso Account AWS.

Explorere OpsCenter utilizza le seguenti operazioniAPI. È possibile utilizzare tutte le funzionalità di Explorer e OpsCenter se l'utente, il gruppo o il ruolo hanno accesso a tali operazioni. È anche possibile creare un accesso più restrittivo, come descritto più avanti in questa sezione.

Se preferisci, puoi specificare l'autorizzazione di sola lettura assegnando la seguente policy inline all'account, gruppo o ruolo.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

Per ulteriori informazioni sulla creazione e la modifica delle IAM politiche, vedere Creazione IAM di politiche nella Guida IAM per l'utente. Per informazioni su come assegnare questa politica a un IAM gruppo, vedere Allegare una politica a un IAM gruppo.

Crea un'autorizzazione utilizzando quanto segue e aggiungila ai tuoi utenti, gruppi o ruoli:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

A seconda dell'applicazione di identità utilizzata nell'organizzazione, è possibile selezionare una delle seguenti opzioni per configurare l'accesso degli utenti.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
IAMutenti:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Limitazione dell'accesso a OpsItems mediante tag

Puoi anche limitare l'accesso OpsItems utilizzando una IAM politica in linea che specifica i tag. Ecco un esempio che specifica una chiave tag di Dipartimento e un valore di tag di Finanza. Con questo criterio, l'utente può richiamare l'GetOpsItemAPIoperazione solo per visualizzare i tag precedentemente contrassegnati con OpsItems Key=Department e Value=Finance. Gli utenti non sono in grado di visualizzare qualsiasi altro OpsItems.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

Di seguito è riportato un esempio che specifica le API operazioni di visualizzazione e aggiornamento. OpsItems Questa policy specifica inoltre due set di coppie chiave-valore di tag: Department-Finance e Project-Unity.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

Per ulteriori informazioni sull'aggiunta di tag a un OpsItem, consulta Crea OpsItems manualmente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione di servizi correlati per Explorer

Informazioni EventBridge sulle regole predefinite create da Integrated Setup