• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# Systems Manager Explorer 和 OpsCenter 入门
AWS Systems Manager 使用集成设置体验来帮助您开始使用 Systems Manager Explorer 和 Systems Manager OpsCenter。在本文档中,Explorer 和 OpsCenter 设置称为*集成设置*。如果已设置 OpsCenter,您仍然需要完成集成设置以验证设置和选项。如果尚未设置 OpsCenter,则可以使用集成设置来开始使用这两项工具。
**注意**
集成设置仅在 Systems Manager 控制台中提供。您不能以编程方式设置 Explorer 或 OpsCenter。
集成设置执行以下任务:
+ [配置角色和权限](Explorer-setup-permissions.md):集成设置将创建一个 AWS Identity and Access Management (IAM) 角色,允许 Amazon EventBridge 根据默认规则自动创建 OpsItems。在设置后,您必须为 OpsCenter 配置用户、组或角色权限,如本部分中所述。
+ [启用用于创建 OpsItem 的默认规则](Explorer-setup-default-rules.md):集成设置将在 EventBridge 中创建默认规则。这些规则自动创建 OpsItems 以响应事件。这些事件的示例包括:AWS 资源的状态变化、安全设置更改,或服务变得不可用。
+ 激活 OpsData 源:集成设置可激活以下填充 Explorer 小组件的数据来源。
+ 支持 中心(您必须拥有业务或企业支持计划才能激活此源。)
+ AWS Compute Optimizer(您必须拥有业务或企业支持计划才能激活此源。)
+ Systems Manager State Manager 关联合规性
+ AWS Config Compliance
+ Systems Manager OpsCenter
+ Systems Manager Patch Manager 补丁合规性
+ Amazon Elastic Compute Cloud(Amazon EC2)
+ Systems Manager Inventory
+ AWS Trusted Advisor(您必须拥有业务或企业支持计划才能激活此源。)
+ AWS Security Hub CSPM
**注意**
您可以随时在 **Settings (设置)** 页面上更改设置配置。
在完成集成设置后,我们建议您[设置 Explorer 以显示多个区域和账户中的数据](Explorer-resource-data-sync.md)。Explorer 和 OpsCenter 将自动为您在完成集成设置时使用的 AWS 账户 和 AWS 区域 同步 OpsData 和 OpsItems。您可以创建资源数据同步以聚合其他账户和区域中的 OpsData 和 OpsItems。
# 为 Explorer 设置相关服务
AWS Systems Manager Explorer 和 AWS Systems Manager OpsCenter 会从其他 AWS 服务和 Systems Manager 工具收集信息,或与之交互。建议在使用集成设置之前设置并配置这些其他服务或工具。
下表包含的任务允许 Explorer 和 OpsCenter 从其他 AWS 服务和 Systems Manager 工具收集信息,或与之交互。
****
| Task | 信息 |
| --- | --- |
| 验证 Systems Manager 自动化的权限 | Explorer 和 OpsCenter 允许您使用 Systems Manager 自动化运行手册修复 AWS 资源的问题。要使用此修复工具,您必须拥有运行 Systems Manager Automation 运行手册的权限。有关更多信息,请参阅 [设置自动化](automation-setup.md)。 |
| 设置并配置 Systems Manager Patch Manager | Explorer 包含一个小部件以提供有关补丁合规性的信息。要在 Explorer 中查看此数据,必须配置修补功能。有关更多信息,请参阅 [AWS Systems Manager Patch Manager](patch-manager.md)。 |
| 设置并配置 Systems Manager State Manager | Explorer 包含一个小组件,它可提供有关 Systems Manager State Manager 关联合规性的信息。要在 Explorer 中查看此数据,必须配置 State Manager。有关更多信息,请参阅 [AWS Systems Manager State Manager](systems-manager-state.md)。 |
| 打开 AWS Config 配置记录器 | Explorer 使用 AWS Config 配置记录器提供的数据以在小部件中填充有关 EC2 实例的信息。要在 Explorer 中查看此数据,请打开 AWS Config 配置记录器。有关更多信息,请参阅[管理配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。 在允许配置记录器后,Systems Manager 最多可能需要 6 小时才会在 Explorer 小组件中显示数据,这些小组件可以显示有关 Amazon EC2 实例的信息。 |
| 启用 AWS Trusted Advisor | Explorer 将使用 Trusted Advisor 提供的数据,显示对 Amazon EC2 预留实例在成本优化、安全性、容错能力、性能和服务限制领域进行最佳实践检查的状态。要在 Explorer 中查看此数据,您必须拥有商业或企业支持计划。有关更多信息,请参阅 [支持](https://aws.amazon.com/premiumsupport/)。 |
| 启用 AWS Compute Optimizer | Explorer 使用 Compute Optimizer 提供的数据显示以下详细信息:**Under provisioned (预置不足)** 和 **Over provisioned (预置过度)** 的 Amazon EC2 实例的计数、优化结果、按需定价详细信息,以及关于实例类型和价格的建议。要在 Explorer 中查看此数据,请打开 Compute Optimizer。有关更多信息,请参阅[开始使用 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html)。 |
| 启用 AWS Security Hub CSPM | Explorer 使用 Security Hub CSPM 提供的数据在小部件中填充有关安全调查发现的信息。要在 Explorer 中查看此数据,请开启 Security Hub CSPM 集成。有关更多信息,请参阅[什么是 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。 |
# 为 Systems Manager Explorer 配置角色和权限
集成设置可自动为 AWS Systems Manager Explorer 和 AWS Systems Manager OpsCenter 创建及配置 AWS Identity and Access Management(IAM)角色。如果您完成了集成设置,则不需要执行任何其他任务以便为 Explorer 配置角色和权限。不过,您必须为 OpsCenter 配置权限,如本主题后面所述。
集成设置创建和配置以下角色以使用 Explorer 和 OpsCenter。
+ `AWSServiceRoleForAmazonSSM`:提供对由 Systems Manager 管理或使用的 AWS 资源的访问权限。
+ `OpsItem-CWE-Role`:允许 CloudWatch Events 和 EventBridge 创建 OpsItems 以响应常见事件。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`:允许 Systems Manager 调用其他 AWS 服务,以便在同步数据时发现 AWS 账户 信息。有关该角色的更多信息,请参阅[使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息](using-service-linked-roles-service-action-2.md)。
+ `AmazonSSMExplorerExport`:允许 Explorer 将 OpsData 导出到逗号分隔值 (CSV) 文件。
如果将 Explorer 配置为使用 AWS Organizations 和资源数据同步显示多个账户和区域中的数据,则 Systems Manager 将创建 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。Systems Manager 使用此角色在 AWS Organizations 中获取有关 AWS 账户 的信息。该角色使用以下权限策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
有关 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 角色的更多信息,请参阅 [使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息](using-service-linked-roles-service-action-2.md)。
## 为 Systems Manager OpsCenter 配置权限
在完成集成设置后,您必须配置用户、组或角色权限,以便用户能在 OpsCenter 中执行操作。
**开始前的准备工作**
您可以将 OpsCenter 配置为仅为单个账户或跨多个账户创建和管理 OpsItems。如果您将 OpsCenter 配置为跨多个账户创建和管理 OpsItems,则您可以使用 Systems Manager 委派的管理员账户或 AWS Organizations 管理账户在其他账户中手动创建、查看或编辑 OpsItems。有关 Systems Manager 委派管理员账户的更多信息,请参阅 [为 Explorer 配置委派管理员](Explorer-setup-delegated-administrator.md)。
如果您为单个账户配置 OpsCenter,则您只能在创建 OpsItems 的账户中查看或编辑 OpsItems。您无法跨 AWS 账户共享或传输 OpsItems。因此,我们建议您在用于运行 AWS 工作负载的 AWS 账户中为 OpsCenter 配置权限。然后,您可以在该账户中创建用户或组。这样一来,多个运营工程师或 IT 专业人员便能在同一个 AWS 账户中创建、查看和编辑 OpsItems。
Explorer 和 OpsCenter 使用以下 API 操作。如果您的用户、组或角色拥有访问这些操作的权限,您可以使用 Explorer 和 OpsCenter 的所有功能。您还可以创建更严格的访问权限,如本节后面所述。
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
如果您愿意,可以通过将以下内联策略添加到您的账户、组或角色来指定只读权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
有关创建和编辑 IAM policy的更多信息,请参阅《IAM 用户指南》中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。有关如何将此策略分配给 IAM 组的信息,请参阅[将策略附加到 IAM 组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)。
使用以下内容创建权限,并将该权限添加到您的用户、组或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
根据您在组织中使用的身份应用程序,您可选择以下任何选项来配置用户访问权限。
要提供访问权限,请为您的用户、组或角色添加权限:
+ AWS IAM Identity Center 中的用户和群组:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
### 通过使用标签限制对 OpsItems 的访问
您还可以通过使用指定标签的内联 IAM policy 来限制对 OpsItems 的访问。以下是一个指定 *Department* 标签键和 *Finance* 标签值的示例。利用此策略,用户只能调用 *GetOpsItem* API 操作,来查看之前已用键 Department 和值 Finance 标记的 OpsItems。用户无法查看任何其他 OpsItems。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
以下是一个指定用于查看和更新 OpsItems 的 API 操作的示例。此策略还指定了两组标签键/值对:Department-Finance 和 Project-Unity。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
有关向 OpsItem 添加标签的更多信息,请参阅 [手动创建 OpsItems](OpsCenter-manually-create-OpsItems.md)。
# 了解由集成设置创建的默认 EventBridge 规则
在 Explorer 和 OpsCenter 的集成设置过程中,您可以选择启用许多基于 Amazon EventBridge 检测到的事件的默认规则。当检测到这些事件时,系统会自动在 AWS Systems Manager OpsCenter 中创建 OpsItems。
例如,规则 `SSMOpsItems-Autoscaling-instance-termination-failure` 将在终止 EC2 自动扩缩实例失败时导致 OpsItem 被创建。
当 Systems Manager 维护时段未能成功完成时,规则 `SSMOpsItems-SSM-maintenance-window-execution-failed` 将导致 OpsItem 被创建。
有关您可以在设置过程中启用的所有 EventBridge 规则的设置说明和描述,请参阅 [设置 OpsCenter](OpsCenter-setup.md)。
如果您不希望 EventBridge 为这些事件创建 OpsItems,您可以在集成设置中选择不启用此选项。如果愿意,您可以将 OpsCenter 指定为特定 EventBridge 事件的目标。有关更多信息,请参阅 [配置 EventBridge 规则以创建 OpsItems](OpsCenter-automatically-create-OpsItems-2.md)。
您可以在 OpsCenter **设置**页面中禁用默认规则或更改其类别和严重性级别,方法是选择 **OpsCenter,设置**,然后在 **OpsItem 规则**区域中选择**编辑**。
您还可以在 Systems Manager 控制台中编辑分配给根据这些规则而创建的单个 OpsItem 的类别或严重性。有关信息,请参阅[编辑 OpsItem](OpsCenter-working-with-OpsItems-editing-details.md)。
![\[在 Systems Manager Explorer 中创建 OpsItems 的默认规则\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/explorer-default-rules.png)
# 为 Explorer 配置委派管理员
如果您通过将资源数据同步与 AWS Organizations 结合使用来聚合多个 AWS 区域和账户中的 AWS Systems Manager Explorer 数据,我们建议您为 Explorer 配置一个委派管理员。委派管理员可通过以下方式提高 Explorer 的安全性。
+ 将可以创建或删除多账户和区域资源数据同步的 Explorer 管理员数量限制为一个 AWS 账户。
+ 您不再需要登录到 AWS Organizations 管理账户即可管理 Explorer 中的资源数据同步。
委派管理员可以使用控制台、SDK、AWS Command Line Interface(AWS CLI)或 AWS Tools for Windows PowerShell,使用以下 Explorer 资源数据同步 API:
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
委派管理员可以使用控制台或编程工具(如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
委派管理员可以为整个组织或组织单位的子集创建最多五个资源数据同步。委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。
**注意**
您不能使用委派管理员账户在[选择加入 AWS 区域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)中创建资源数据同步。您必须使用 AWS Organizations 管理账户。
有关资源数据同步的更多信息,请参阅 [设置 Systems Manager Explorer 以显示来自多个账户和区域的数据](Explorer-resource-data-sync.md)。有关 AWS Organizations 的更多信息,请参阅《AWS Organizations 用户指南》**中的[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**Topics**
+ [开始前的准备工作](#Explorer-setup-delegated-administrator-before-you-begin)
+ [配置 Explorer 委派管理员](Explorer-setup-delegated-administrator-configure.md)
+ [取消注册 Explorer 委派管理员](Explorer-setup-delegated-administrator-deregister.md)
## 开始前的准备工作
下表包含有关 Explorer 委派管理的重要信息。
+ 您只能委派一个账户用于 Explorer 管理。
+ 您指定为 Explorer 委派管理员的账户 ID 必须在 AWS Organizations 中列为成员账户。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[在您的组织中创建 AWS 账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)。
+ 委托管理员可在控制台中使用所有 Explorer 资源数据同步 API 操作,也可通过 SDK、AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 等编程工具来使用这些操作。资源数据同步 API 操作包括:[CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)、[DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)、[ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html) 和 [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)。
+ 委派管理员可以使用控制台或编程工具(如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
+ 委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。
+ 委派管理员最多可以创建五个资源数据同步。
+ 委派管理员可以为 AWS Organizations 中的整个组织或组织单位的子集创建资源数据同步。
# 配置 Explorer 委派管理员
使用以下过程注册 Explorer 委派管理员。
**注册 Explorer 委派管理员**
1. 登录到您的 AWS Organizations 管理账户。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Delegated administrator for Explorer (Explorer 的委派管理员)** 部分,验证您是否已配置所需的服务链接角色和服务访问选项。如有必要,请选择 **Create role (创建角色)** 和 **Enable access (启用访问权限)** 按钮来配置这些选项。
1. 对于 **Account ID (账户 ID)**,输入 AWS 账户 ID。此账户必须是 AWS Organizations 中的成员账户。
1. 选择**注册委托管理员**。
委托管理员现在拥有访问权限,可以访问 **Create resource data sync (创建资源数据同步)** 页面上的 **Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)** 和 **Select organization units in AWS Organizations (选择 Amazon Organizations 中的组织单位)** 选项。
# 取消注册 Explorer 委派管理员
使用以下过程取消注册 Explorer 委派管理员。只有 AWS Organizations 管理账户才能取消注册委托管理员账户。取消注册委派管理员账户后,系统将删除该委派管理员创建的所有 AWS Organizations 资源数据同步。
**取消注册 Explorer 委派管理员**
1. 登录到您的 AWS Organizations 管理账户。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Delegated administrator for Explorer (Explorer 的委派管理员)** 部分,选择 **Deregister (取消注册)**。系统将显示一条警告。
1. 输入账户 ID,然后选择 **Remove (删除)**。
此账户不再拥有对 AWS Organizations 资源数据同步 API 操作的访问权限。系统将删除此账户创建的所有 AWS Organizations 资源数据同步。
# 设置 Systems Manager Explorer 以显示来自多个账户和区域的数据
AWS Systems Manager 使用集成设置体验来帮助您开始使用 AWS Systems Manager Explorer *和* AWS Systems Manager OpsCenter。完成集成设置后,Explorer 和 OpsCenter 将自动同步数据。更具体地说,在您完成集成设置时,这些工具会自动为使用的 AWS 账户和 AWS 区域同步 OpsData 及 OpsItems。如果要从其他账户和区域聚合 OpsData 和 OpsItems,您必须创建资源数据同步,如本主题中所述。
**注意**
有关集成设置的更多信息,请参阅 [Systems Manager Explorer 和 OpsCenter 入门](Explorer-setup.md)。
**Topics**
+ [了解 Explorer 的资源数据同步](Explorer-resource-data-sync-understanding.md)
+ [了解多个账户和区域资源数据同步](Explorer-resource-data-sync-multiple-accounts-and-regions.md)
+ [创建资源数据同步](Explorer-resource-data-sync-configuring-multi.md)
# 了解 Explorer 的资源数据同步
Explorer 的资源数据同步提供两个聚合选项:
+ **Single-account/Multiple-regions (单账户/多区域):**您可以将 Explorer 配置为聚合来自多个 AWS 区域的 OpsItems 和 OpsData 数据,但数据集仅限于当前 AWS 账户。
+ **Multiple-accounts/Multiple-regions (多账户/多区域):**您可以将 Explorer 配置为聚合来自多个 AWS 区域和账户的数据。此选项要求您设置和配置 AWS Organizations。在设置并配置 AWS Organizations 后,则可以按组织单位 (OU) 或为整个组织聚合 Explorer 中的数据。Systems Manager 将数据聚合到 AWS Organizations 管理账户中,然后在 Explorer 中显示这些数据。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**警告**
如果您将 Explorer 配置为在 AWS Organizations 中聚合来自企业的数据,则系统会在企业内的所有成员账户中启用 OpsData。在所有成员账户中启用 OpsData 源会增加对 OpsCenter API 的调用(比如 [CreateOpsItem](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateOpsItem.html) 和 [GetOpsSummary](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_GetOpsSummary.html))的数量。您需要为调用这些 API 操作付费。
下图显示了配置为使用 AWS Organizations 的资源数据同步。在此情况下,用户已在 AWS Organizations 中定义两个账户。资源数据同步将这两个账户和多个 AWS 区域中的数据聚合到 AWS Organizations 管理账户中,然后在 Explorer 中显示这些数据。
![\[Systems Manager Explorer 的资源数据同步\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/ExplorerSyncFromSource.png)
# 了解多个账户和区域资源数据同步
本节介绍有关使用 AWS Organizations 的多个账户和多个区域的资源数据同步的重要详细信息。具体来说,如果您在 **Create resource data sync (创建资源数据同步)** 页面中选择了以下选项之一,本节中的信息才适用:
+ Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)
+ Select organization units in AWS Organizations (选择 Amazon Organizations 中的组织单位)
如果您不打算使用这些选项之一,则可以跳过本节。
在 SSM 控制台中创建资源数据同步时,如果您选择 AWS Organizations 选项之一,则 Systems Manager 会自动允许选定区域内的所有 OpsData 源用于您的组织(或选定组织单位)中的所有 AWS 账户。例如,即便您尚未在某一区域内打开 Explorer,如果您为资源数据同步选择 AWS Organizations 选项,则 Systems Manager 将自动从该区域收集 OpsData。要在不允许 OpsData 源的情况下创建资源数据同步,请在创建数据同步时将 **EnableAllOpsDataSources** 指定为 false。有关更多信息,请参阅 *Amazon EC2 Systems Manager API 参考*中的 [ResourceDataSyncSource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResourceDataSyncSource.html) 数据类型的 `EnableAllOpsDataSources` 参数详细信息。
如果您没有为资源数据同步选择 AWS Organizations 选项之一,则您必须在希望 Explorer 访问数据的每个账户和区域中完成集成设置。否则,Explorer 不会为未完成集成设置的账户和区域显示 OpsData 和 OpsItems。
如果您将某一子账户添加到您的组织,Explorer 将自动允许所有 OpsData 源用于该账户。如果后来您从组织中删除了该子账户,Explorer 将继续从该账户中收集 OpsData。
如果您更新使用 AWS Organizations 选项之一的现有资源数据同步,系统会提示您批准收集受该更改影响的所有账户和区域的所有 OpsData 源。
如果您将新服务添加到 AWS 账户,并且如果 Explorer 收集该服务的 OpsData,Systems Manager 会自动配置 Explorer 以收集该 OpsData。例如,假设在您先前创建资源数据同步时,您的组织没有使用 AWS Trusted Advisor,但您的组织注册了此服务,Explorer 会自动更新您的资源数据同步,以收集此 OpsData。
**重要**
请注意以下有关多个账户和区域的资源数据同步的重要信息:
删除资源数据同步不会在 Explorer 中关闭 OpsData 源。
要查看多个账户中的 OpsData 和 OpsItems,您必须打开 AWS Organizations **All features (所有功能)** 模式,并且必须登录到 AWS Organizations 管理账户。
大多数 AWS 区域默认情况下对于您的 AWS 账户处于活动状态,但对于某些区域,仅当您手动选择它们时才会激活。这些区域称为[选择加入区域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。默认情况下,Explorer 跨账户/跨区域资源数据同步不支持选择加入区域中的数据聚合。2025 年 6 月 30 日,增加了对以下选择加入区域的支持。
欧洲地区(米兰)
非洲(开普敦)
中东(巴林)
亚太地区(香港)
请注意,您不能使用委派管理员账户在选择加入区域中创建资源数据同步。您必须使用 AWS Organizations 管理账户。
# 创建资源数据同步
在为 Explorer 配置资源数据同步前,请注意以下细节。
+ Explorer 最多支持 5 个资源数据同步。
+ 在为某一区域创建资源数据同步后,您将无法更改该同步的*账户选项*。例如,如果您在 us-east-2(俄亥俄)区域中创建一个同步,并选择 **Include only the current account (仅包括当前账户)** 选项,则您以后无法编辑该同步,并且无法选择 **Include all accounts from my AWS Organizations configuration (包括我的 Amazon Organizations 配置中的所有账户)** 选项。相反,您必须删除第一个资源数据同步,然后创建新的同步。
+ 在 Explorer 中查看的 OpsData 是只读的。
可以使用以下过程为 Explorer 创建资源数据同步。
**创建资源数据同步**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Explorer**。
1. 选择**设置**。
1. 在 **Configure resource data sync (配置资源数据同步)** 部分中,选择 **Create resource data sync (创建资源数据同步)**。
1. 对于 **Resource data sync name (资源数据同步名称)**,请输入一个名称。
1. 在 **Add accounts (添加账户)** 部分中,选择一个选项。
**注意**
要使用 AWS Organizations 选项中的任何一个,您必须登录到 AWS Organizations 管理账户,或者必须登录到 Explorer 委托管理员账户。有关委派管理员账户的更多信息,请参阅 [为 Explorer 配置委派管理员](Explorer-setup-delegated-administrator.md)。
1. 在 **Regions to include (要包括的区域)** 部分中,选择以下选项之一。
+ 选择 **All current and future regions (所有当前和将来的区域)** 可以自动同步所有当前 AWS 区域和将来上线的任何新区域中的数据。
+ 选择 **All regions (所有区域)** 可以自动同步所有当前 AWS 区域中的数据。
+ 单独选择要包括的区域。
1. 选择**创建资源数据同步**。
在创建资源数据同步后,系统可能需要几分钟的时间以在 Explorer 中填充数据。您可以查看同步,方法是从 Explorer 内的 **Select a resource data sync (选择资源数据同步)** 列表中选择该同步。