Perfis e permissões do IAM para integração com a Quick Setup Integração manual para trabalhar com a API do Quick Setup de forma programática

Conceitos básicos do Quick Setup

Utilize as informações deste tópico para ajudar você a se preparar para o uso da Quick Setup.

Tópicos

Perfis e permissões do IAM para integração com a Quick Setup
Integração manual para trabalhar com a API do Quick Setup de forma programática

Perfis e permissões do IAM para integração com a Quick Setup

O Quick Setup lançou uma nova experiência de console e uma nova API. Agora você pode interagir com essa API usando o console, a AWS CLI, o AWS CloudFormation e os SDKs. Se você optar pela nova experiência, suas configurações existentes serão recriadas usando a nova API. Dependendo do número de configurações existentes na sua conta, esse processo pode levar vários minutos.

Para usar o novo console da Quick Setup, é necessário ter permissões para as seguintes ações:

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/AWS-QuickSetup-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm-quicksetup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Para restringir os usuários às permissões de somente leitura, permita somente as operações ssm-quicksetup:List* e ssm-quicksetup:Get* para a API Quick Setup.

Durante a integração, o Quick Setup cria as seguintes regras do AWS Identity and Access Management (IAM) em seu nome:

AWS-QuickSetup-LocalExecutionRole: concede permissões do AWS CloudFormation para usar qualquer modelo, excluindo o modelo de política de patch, e cria os recursos necessários.
AWS-QuickSetup-LocalAdministrationRole: concede permissões para o AWS CloudFormation assumir a AWS-QuickSetup-LocalExecutionRole.
AWS-QuickSetup-PatchPolicy-LocalExecutionRole: concede permissões do AWS CloudFormation para usar o modelo de política de patch, e cria os recursos necessários.
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole: concede permissões para o AWS CloudFormation assumir a AWS-QuickSetup-PatchPolicy-LocalExecutionRole.

Se você estiver integrando uma conta de gerenciamento (a conta que você usa para criar uma organização no AWS Organizations), a Quick Setup também criará os seguintes perfis em seu nome:

AWS-QuickSetup-SSM-RoleForEnablingExplorer: concede permissões para a execução do AWS-EnableExplorer runbook de automação. O runbook AWS-EnableExplorer configura o Explorer, uma ferramenta do Systems Manager, para exibir informações de várias Contas da AWS e Regiões da AWS.
AWSServiceRoleForAmazonSSM: uma função vinculada ao serviço que concede acesso do ao recursos da AWS gerenciados e usados pelo Systems Manager.
AWSServiceRoleForAmazonSSM_AccountDiscovery: uma função vinculada ao serviço que concede permissões ao Systems Manager para chamar Serviços da AWS, a fim de descobrir informações da Conta da AWS ao sincronizar os dados. Para obter mais informações, consulte Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer.

Ao integrar uma conta de gerenciamento, o Quick Setup habilita o acesso confiável entre o AWS Organizations e o CloudFormation para implantar as configurações do Quick Setup em toda a sua organização. Para habilitar o acesso confiável, sua conta de gerenciamento deve ter permissões de administrador. Após a integração, você não precisa mais de permissões de administrador. Para obter mais informações, consulte Habilitar o acesso confiável com o Organizations.

Para obter mais informações sobre tipos de conta do AWS Organizations, consulte Terminologia e conceitos do AWS Organizations no Guia do usuário do AWS Organizations.

nota

O Quick Setup usa StackSets do AWS CloudFormation para implantar suas configurações entre Contas da AWS e regiões. Se o número de contas de destino multiplicado pelo número de regiões exceder dez mil, a implantação da configuração falhará. É recomendável analisar seu caso de uso e criar configurações que usem menos destinos para comportar o crescimento de sua organização. As instâncias de pilhas não são implantadas na conta de gerenciamento de sua organização. Para obter mais informações, consulte Considerations when creating a stack set with service-managed permissions.

Integração manual para trabalhar com a API do Quick Setup de forma programática

Se você usa o console para trabalhar com o Quick Setup, o serviço gerencia as etapas de integração para você. Se você planeja usar SDKs ou AWS CLI trabalhar com a API do Quick Setup, ainda pode usar o console para concluir as etapas de integração, sem precisar executá-las manualmente. No entanto, alguns clientes precisam concluir as etapas de integração do Quick Setup forma programática sem interagir com o console. Se esse método for adequado ao seu caso de uso, é necessário executar as etapas a seguir. Todas essas etapas devem ser concluídas em sua conta de gerenciamento do AWS Organizations.

Para concluir a integração manual do Quick Setup

Ative o acesso confiável para o AWS CloudFormation com o Organizations. Isso fornece à conta de gerenciamento as permissões para criar e gerenciar StackSets para sua organização. Você pode usar a ação da API ActivateOrganizationsAccess do AWS CloudFormation para concluir essa etapa. Para obter mais informações, consulte ActivateOrganizationsAccess na AWS CloudFormation API Reference.
Permita a integração do Systems Manager com o Organizations. Assim, o Systems Manager pode criar uma função vinculada ao serviço em todas as contas de sua organização. Isso também permite que o Systems Manager realize as operações em seu nome em sua organização e em suas contas. Você pode usar a ação da API EnableAWSServiceAccess do AWS Organizations para concluir essa etapa. A entidade principal de serviço do Systems Manager é ssm.amazonaws.com .Para obter mais informações, consulte EnableAWSServiceAccess na AWS Organizations API Reference.

Crie o perfil do IAM necessário para o Explorer. Isso permite que o Quick Setup crie painéis para suas configurações para que você possa visualizar os status de implantação e associação. Crie um perfil do IAM de cluster e anexe a política gerenciada do AWSSystemsManagerEnableExplorerExecutionPolicy. Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cada account ID por suas próprias informações.

Atualize a configuração do serviço do Quick Setup para o Explorer. Você pode usar a ação da API UpdateServiceSettings do Quick Setup para concluir essa etapa. Revise o ARN do perfil do IAM que você criou na etapa anterior para o parâmetro de solicitação ExplorerEnablingRoleArn. Para obter mais informações, consulte UpdateServiceSettings na Quick Setup API Reference.

Crie os perfis do IAM necessários para que os StackSets do AWS CloudFormation os usem. Você deve criar um perfil de execução e um perfil de administração.

Crie a função de execução. O perfil de execução deve ter pelo menos uma das políticas gerenciadas AWSQuickSetupDeploymentRolePolicy ou AWSQuickSetupPatchPolicyDeploymentRolePolicy anexadas. Se você estiver criando apenas configurações de políticas de patch, poderá usar a política gerenciada AWSQuickSetupPatchPolicyDeploymentRolePolicy. Todas as outras configurações usam a política AWSQuickSetupDeploymentRolePolicy. Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cada ID da conta e nome do perfil administrativo por suas informações.
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/administration role name" }, "Action": "sts:AssumeRole" } ] }

Crie o perfil administrativo. A política de permissões deve corresponder ao seguinte. Substitua cada ID da conta e nome do perfil de execução por suas informações.

Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cada account ID por suas próprias informações.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Quick Setup

Usar um administrador delegado para a Quick Setup