本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Systems Manager Explorer 的角色和許可
整合式安裝程式會自動為 AWS Systems Manager 檔案總管和設定 AWS Identity and Access Management (IAM) 角色。 AWS Systems Manager OpsCenter如果您已完成整合式設定,則不需要執行任何其他工作來設定 Explorer 的角色和許可。但是,您必須設定 OpsCenter 的許可,如本主題稍後所述。
整合式設定會建立和設定下列角色,以使用 Explorer 和 OpsCenter。
-
AWSServiceRoleForAmazonSSM︰提供由 Systems Manager 管理或使用的 AWS 資源存取權限。 -
OpsItem-CWE-Role:允許 CloudWatch 事件並 EventBridge 建立OpsItems以回應常見事件。 -
AWSServiceRoleForAmazonSSM_AccountDiscovery:允許 Systems Manager 在同步處理資料時呼叫其他人 AWS 服務 來探索 AWS 帳戶 資訊。如需有關此角色的詳細資訊,請參閱 使用 角色來收集 AWS 帳戶 的資訊 OpsCenter 以及 Explorer。 -
AmazonSSMExplorerExport:允許導出Explorer OpsData 到逗號分隔值(CSV)文件。
如果您設定Explorer使用和資源資料同步來顯示來自多個帳號 AWS Organizations 和區域的資料,則 Systems Manager 會建立AWSServiceRoleForAmazonSSM_AccountDiscovery服務連結角色。Systems Manager 使用此角色來取得您 AWS 帳戶 在中的相關資訊 AWS Organizations。該角色會使用下列許可政策。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }
如需 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色的詳細資訊,請參閱 使用 角色來收集 AWS 帳戶 的資訊 OpsCenter 以及 Explorer。
設定的 Systems Manager OpsCenter 的許可
完成整合式設定之後,您必須設定使用者、群組或角色許可,以便使用者在 OpsCenter 中執行動作。
開始之前
您可以設定OpsCenter為針OpsItems對單一帳戶或跨多個帳戶建立和管理。如果您設定OpsCenter為OpsItems跨多個帳戶建立和管理,您可以使用 Systems Manager 委派的系統管理員帳戶或 AWS Organizations 管理帳戶,OpsItems在其他帳戶中手動建立、檢視或編輯。如需系統管理員委派系 Systems Manager 員帳戶的詳細資訊,請參閱為 設定委派管理員 Explorer。
如果您OpsCenter為單一帳戶進行設定,則只能在建立的帳戶OpsItems中OpsItems檢視或編輯。您無法共享或轉OpsItems移 AWS 帳戶。因此,我們建議您為OpsCenter中設定用於執行 AWS 工作負載的權限。 AWS 帳戶 然後,您就可以在該帳戶中建立 使用者或群組。利用這種方式,多位營運工程師或 IT 專業人員即可在相同的 AWS 帳戶中建立、檢視和編輯 OpsItems。
Explorer並OpsCenter使用以下API操作。如果使用者、群組或角色可以存取這些動作,您就可以使用 Explorer 和 OpsCenter 的所有功能。您也可以建立更嚴格的存取權,如本節前文所述。
您可以視需要將下列內嵌政策新增至帳戶、群組或角色,以指定唯讀許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }
如需有關建立和編輯IAM策略的詳細資訊,請參閱《IAM使用指南》中的〈建立IAM策略〉。如需如何將此原則指派給IAM群組的相關資訊,請參閱將原則附加至IAM群組。
使用以下項目建立許可並將許可新增至使用者、群組或角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
根據您在組織中使用的身分識別應用程式,您可以選取下列任何選項來設定使用者存取權限。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
IAM透過身分識別提供者管理的使用者:
建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。
-
IAM使用者:
-
建立您的使用者可擔任的角色。請按照《用戶指南》中的「為IAM用戶創建角色」中的IAM說明進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。遵循《使用者指南》中的「向使用者 (主控台) 新增權限」IAM 中的指示進行。
-
使用標籤限制存取 OpsItems
您也可以使用指定標籤OpsItems的內嵌IAM原則來限制存取。以下範例會指定 Department 的標籤鍵和 Finance 的標籤值。使用此原則時,使用者只能呼叫GetOpsItemAPI作業,以檢視OpsItems先前標記為金鑰 = 部門和值 = 財務的檢視。使用者無法檢視任何其他 OpsItems。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }
以下是指定檢視和更新API作業的範例OpsItems。此政策還會指定兩組標籤金鑰/值對:Department-Finance 和 Project-Unity。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }
如需將標籤新增到 OpsItem 的資訊,請參閱 手動建立 OpsItems。
