AWS Systems Manager 和 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任的存取停用受信任存取啟用委派管理員帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Systems Manager 和 AWS Organizations

AWS Systems Manager 是一組功能,可啟用 AWS 資源的可見度和控制權。在您組織的所有 AWS 帳戶 中,以下 Systems Manager 功能皆可與 Organizations 搭配使用:

  • 系統管理器資源管理器,是一個可自定義的操作儀表板,報告有關您的 AWS 資源 您可以使用組織和系統管理員總管,同步處理組織 AWS 帳戶 中所有的作業資料。如需詳細資訊,請參閱AWS Systems Manager 使用者指南中的 Systems Manager Explorer

  • Systems Manager Change Manager 是一個企業變更管理架構,用於請求、核准、實作和報告應用程式組態和基礎結構的操作變更。如需詳細資訊,請參閱AWS Systems Manager 使用者指南中的 AWS Systems Manager Change Manager

  • Systems Manager OpsCenter 提供一個集中的位置,讓作業工程師和 IT 專業人員可以檢視、調查及解決與 AWS 資源相關的作業工作項目 (OpsItems)。當您 OpsCenter 搭配 Organizations 使用時,它支援在單一工作階段期間使用管理帳戶 (Organizations 管理帳戶或 Systems Manager 委派的系統管理員帳戶) 以及另一個帳戶使用。 OpsItems 設定完成後,使用者可以執行以下類型的動作:

    • OpsItems 在另一個帳戶中建立、檢視和更新。

    • 檢視有關在其他帳號中指定之 AWS 資源 OpsItems 的詳細資訊。

    • 啟動 Systems Manager 自動化手冊,以修復其他帳戶中 AWS 資源的問題。

    若要取得更多資訊,請參閱《AWS Systems Manager 使用指南》AWS Systems Manager OpsCenter中的。

請使用下列資訊來協助您整 AWS Systems Manager 合 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。該角色允許 Systems Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Systems Manager 和 Organizations 之間的受信任存取,或是從組織中移除成員帳戶時,才能移除或修改此角色。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。Systems Manager 使用的服務連結角色會將存取權授予下列服務委託人:

  • ssm.amazonaws.com

使用 Systems Manager 來啟用受信任存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

您只能使用 Organizations 工具來啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令或呼叫其中一個 AWS SDK 中的 API 作業來啟用受信任存取。

AWS Management Console
使用 Organizations 主控台來啟用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 在導覽窗格中,選擇服務

  3. AWS Systems Manager在服務列表中選擇。

  4. 選擇 Enable trusted access (啟用信任存取)

  5. 在 [啟用受信任的存取權限] 對 AWS Systems Manager話方塊中,輸入 enable 以確認,然後選擇 [啟用信任的存取]。

  6. 如果您只是管理員 AWS Organizations,請告訴管理員,他們 AWS Systems Manager 現在可以使用其主控台啟用該服務來使用 AWS Organizations。

AWS CLI, AWS API
使用 Organizations CLI/SDK 來啟用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來啟用受信任的服務存取:

  • AWS CLI: enable-aws-service-access

    您可以執行下列命令, AWS Systems Manager 以啟用 Organizations 的信任服務。

    $ aws organizations enable-aws-service-access \ 
    --service-principal ssm.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:啟用 AWSServiceAccess

使用 Systems Manager 來停用受信任存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

Systems Manager 需要受信任的存取權, AWS Organizations 才能同步處理組織 AWS 帳戶 內的作業資料。如果您停用信任存取,則 Systems Manager 無法同步操作資料,還會報告錯誤。

您只能使用 Organizations 工具來停用受信任的存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDK 中的 Organizations API 作業來停用受信任的存取。

AWS Management Console
使用 Organizations 主控台來受信停用任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 在導覽窗格中,選擇服務

  3. AWS Systems Manager在服務列表中選擇。

  4. 選擇停用受信任的存取

  5. 在 [停用受信任的存取權限] 對 AWS Systems Manager話方塊中,輸入 [停用] 加以確認,然後選擇 [停用信任的存取]。

  6. 如果您只是管理員,請告訴管理員 AWS Organizations,他們現在可以使用其主控台或工具停用該服務,無法使用該服務 AWS Organizations。 AWS Systems Manager

AWS CLI, AWS API
使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來停用受信任的服務存取:

  • AWS CLI: disable-aws-service-access

    您可以執行下列命令,將 AWS Systems Manager 其停用為「Organizations」的信任服務。

    $ aws organizations disable-aws-service-access \
    --service-principal ssm.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:停用 AWSServiceAccess

啟用 Systems Manager 的委派管理員帳戶

當您將成員帳戶指定為組織的委派管理員時,該帳戶的使用者和角色可以對 Systems Manager 執行管理動作,否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Systems Manager 的管理分開。

如果您在整個組織中使用 Change Manager,則會使用委派管理員帳戶。這是在 AWS 帳戶 變更管理員中指定為管理變更範本、變更請求、變更執行手冊和核准工作流程的帳戶。委派的帳戶會管理整個組織的變更活動。當您設定組織以配合 Change Manager 使用時,可以指定哪些帳號擔任此角色。它不必是組織的管理帳戶。如果您僅以單一帳戶使用 Change Manager,則不需要委派管理員帳戶。

若要將成員帳戶指定為委派管理員,請查看《AWS Systems Manager 使用者指南》中的以下主題: