(Facoltativo) Configurazione manuale di OpsCenter per la gestione centralizzata multi-account di OpsItems - AWS Systems Manager
Prima di iniziarePassaggio 1: Creazione di una sincronizzazione dati dei dati delle risorsePassaggio 2: Abilitazione del principale del servizio Systems Manager in AWS OrganizationsPassaggio 3: Creazione del ruolo collegato ai servizi AWSServiceRoleForAmazonSSM_AccountDiscoveryPassaggio 4: Configurazione delle autorizzazioni per l'utilizzo multi-account di OpsItemsPassaggio 5: Configurazione delle autorizzazioni per lavorare con le risorse correlate su più account

(Facoltativo) Configurazione manuale di OpsCenter per la gestione centralizzata multi-account di OpsItems

Questa sezione descrive come configurare manualmente OpsCenter per la gestione multi-account di OpsItem. Sebbene questo processo sia ancora supportato, è stato sostituito da un processo più recente che utilizza Quick Setup di Systems Manager. Per ulteriori informazioni, consulta (Facoltativo) Configurare OpsCenter per la gestione di OpsItems su più account utilizzando Quick Setup.

Puoi configurare un account centrale per creare manualmente OpsItems per gli account membri e per gestire e correggere tali OpsItems. L'account centrale può essere l'account di gestione AWS Organizations oppure sia l'account di gestione AWS Organizations sia l'account amministratore delegato di Systems Manager. Si consiglia di utilizzare l'account amministratore delegato di Systems Manager come account centrale. È possibile utilizzare questa funzionalità solo dopo la configurazione di AWS Organizations.

Con AWS Organizations, è possibile consolidare più Account AWS in un'organizzazione che è possibile creare e gestire in modo centralizzato. L'utente dell'account centrale può creare contemporaneamente OpsItems per tutti gli account dei membri selezionati e gestire questi OpsItems.

Utilizza la procedura descritta in questa sezione per abilitare il principale del servizio Systems Manager in Organizations e configurare le autorizzazioni AWS Identity and Access Management (IAM) per l'utilizzo multi-account di OpsItems.

Nota

Durante l'utilizzo multi-account di OpsCenter, sono supportati solo OpsItems di tipo /aws/issue.

Prima di iniziare

Prima di configurare OpsCenter per l'utilizzo multi-account di OpsItems, assicurati di aver impostato quanto segue:

Passaggio 1: Creazione di una sincronizzazione dati dei dati delle risorse

Dopo aver impostato e configurato AWS Organizations, puoi aggregare OpsItems in OpsCenter per un'intera organizzazione creando una sincronizzazione dei dati della risorsa. Per ulteriori informazioni, consulta Creazione di una sincronizzazione dati dei dati delle risorse. Quando crei la sincronizzazione, nella sezione Aggiungi account, assicurati di scegliere l'opzione Includi tutti gli account dalla mia configurazione AWS Organizations.

Passaggio 2: Abilitazione del principale del servizio Systems Manager in AWS Organizations

Per consentire a un utente di utilizzare OpsItems su più account, devi abilitare il principale del servizio Systems Manager in AWS Organizations. Se in precedenza hai configurato Systems Manager per scenari con multi-account utilizzando altri strumenti, il principale del servizio Systems Manager potrebbe essere già configurato in Organizations. Per verificarlo, esegui i comandi seguenti nella AWS Command Line Interface (AWS CLI). Se non hai configurato Systems Manager per altri scenari multi-account, passa alla procedura successiva, Abilitazione del principale del servizio Systems Manager in AWS Organizations.

Per verificare l'abilitazione del principale del servizio Systems Manager in AWS Organizations

  1. Scaricare l'ultima versione di AWS CLI nel computer locale.

  2. Apri AWS CLI ed esegui il comando seguente per specificare le credenziali e una Regione AWS.

    aws configure

    Il sistema richiede di specificare quanto segue. Nell'esempio seguente, sostituisci ogni segnaposto dell'input utente con le tue informazioni.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  3. Esegui il seguente comando per verificare che il principale del servizio Systems Manager sia abilitato in AWS Organizations.

    aws organizations list-aws-service-access-for-organization

    Il comando restituisce informazioni simili a quelle mostrate nell'esempio seguente.

    {
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}
Per abilitare il principale del servizio Systems Manager in AWS Organizations

Se in precedenza non hai configurato il principale del servizio Systems Manager per Organizations, utilizza la procedura seguente. Per ulteriori informazioni su questo comando, consulta enable-aws-service-access nel Riferimento ai comandi AWS CLI.

  1. Se non lo hai ancora fatto, installa e configura AWS Command Line Interface (AWS CLI). Per informazioni, consulta le pagine Installazione della CLI e Configurazione della CLI.

  2. Scaricare l'ultima versione di AWS CLI nel computer locale.

  3. Apri AWS CLI ed esegui il comando seguente per specificare le credenziali e una Regione AWS.

    aws configure

    Il sistema richiede di specificare quanto segue. Nell'esempio seguente, sostituisci ogni segnaposto dell'input utente con le tue informazioni.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  4. Esegui il seguente comando per abilitare il principale del servizio Systems Manager per AWS Organizations.

    aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

Passaggio 3: Creazione del ruolo collegato ai servizi AWSServiceRoleForAmazonSSM_AccountDiscovery

Un ruolo collegato al servizio, ad esempio il ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery, è un tipo di ruolo IAM univoco collegato direttamente a un Servizio AWS, come Systems Manager. I ruoli collegati ai servizi sono predefiniti dal servizio stesso e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri Servizi AWS per tuo conto. Per ulteriori informazioni sul ruolo collegato al servizio AWSServiceRoleForAmazonSSM_AccountDiscovery, consulta Autorizzazioni del ruolo collegato ai servizi per l'individuazione account di Systems Manager.

Utilizza la procedura seguente per creare il ruolo collegato al servizio AWSServiceRoleForAmazonSSM_AccountDiscovery utilizzando la AWS CLI. Per ulteriori informazioni sul comando utilizzato in questa procedura, consulta create-service-linked-role nel Riferimento ai comandi AWS CLI.

Per creare il ruolo collegato ai servizi AWSServiceRoleForAmazonSSM_AccountDiscovery

  1. Accedi all'account di gestione AWS Organizations.

  2. Dopo aver effettuato l'accesso all'account di gestione di Organizations, esegui il comando seguente.

    aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

Passaggio 4: Configurazione delle autorizzazioni per l'utilizzo multi-account di OpsItems

Utilizza i set di stack di AWS CloudFormation per creare una policy delle risorse OpsItemGroup e un ruolo di esecuzione IAM che forniscano agli utenti l'autorizzazione a utilizzare OpsItems su più account. Per iniziare, scarica e decomprimi il file OpsCenterCrossAccountMembers.zip. Questo file contiene il file di modello di OpsCenterCrossAccountMembers.yaml AWS CloudFormation. Quando crei un set di stack utilizzando questo modello, CloudFormation genera automaticamente la policy delle risorse OpsItemCrossAccountResourcePolicy e il ruolo di esecuzione OpsItemCrossAccountExecutionRole nell'account. Per ulteriori informazioni sulla creazione di un set di stack, consulta Creazione di un set di stack nella Guida per l'utente di AWS CloudFormation.

Importante

Prendi nota delle seguenti informazioni importanti per questa attività:

  • Il set di stack deve essere implementato dopo aver effettuato l'accesso all'account di gestione di AWS Organizations.

  • Devi ripetere questa procedura dopo aver effettuato l'accesso a tutti gli account scelti come target per l'utilizzo multi-account di OpsItems, incluso l'account di amministratore delegato.

  • Se desideri abilitare l'amministrazione di OpsItems tra account in Regioni AWS diverse, scegli Add all regions (Aggiungi tutte le regioni) nella sezione Specify regions (Specifica regioni) del modello. L'amministrazione di OpsItem tra account non è supportata per le regioni opt-in.

Un OpsItem può includere informazioni dettagliate sulle risorse interessate, ad esempio istanze Amazon Elastic Compute Cloud (Amazon EC2) o bucket Amazon Simple Storage Service (Amazon S3). Il ruolo di esecuzione OpsItemCrossAccountExecutionRole, creato nel precedente Passaggio 4, fornisce a OpsCenter le autorizzazioni di sola lettura che gli account membri possono utilizzare per visualizzare le risorse correlate. Per fornire agli account di gestione l'autorizzazione a visualizzare le risorse correlate e interagire con esse, devi creare un ruolo IAM. Tale operazione viene eseguita in questa attività.

Per iniziare, scarica e decomprimi il file OpsCenterCrossAccountManagementRole.zip. Questo file contiene il file di modello di OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation. Quando crei uno stack utilizzando questo modello, CloudFormation generas automaticamente il ruolo IAM OpsCenterCrossAccountManagementRole nell'account. Per ulteriori informazioni sulla creazione di uno stack, consulta Creazione di uno stack sulla console AWS CloudFormation nella Guida per l'utente di AWS CloudFormation.

Importante

Prendi nota delle seguenti informazioni importanti per questa attività:

  • Se intendi specificare un account come amministratore delegato per OpsCenter, assicurati di indicare tale Account AWS durante la creazione dello stack.

  • Devi eseguire questa procedura dopo aver effettuato l'accesso all'account di gestione di AWS Organizations e ancora una volta dopo aver effettuato l'accesso all'account di amministratore delegato.