• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 開始使用 Systems Manager Explorer 和 OpsCenter
AWS Systems Manager 使用整合式設定體驗來協助您開始使用 Systems Manager Explorer 和 Systems Manager OpsCenter。在本文件中,Explorer 和 OpsCenter 設定稱為*整合式設定*。如果已設定 OpsCenter,您仍然需要完成整合式設定,以確認設定和選項。如果您尚未設定 OpsCenter,則可以使用整合式設定來開始使用這兩個工具。
**注意**
整合式設定僅適用於 Systems Manager 主控台。您無法以程式設計方式設定 Explorer 或 OpsCenter。
整合式設定會執行下列任務:
+ [設定角色和許可](Explorer-setup-permissions.md):整合式設定會建立 AWS Identity and Access Management (IAM) 角色,讓 Amazon EventBridge 根據預設規則自動建立 OpsItems。設定之後,您必須如本節所述,為 OpsCenter 設定使用者、群組或角色許可。
+ [允許 OpsItem 建立的預設規則](Explorer-setup-default-rules.md):整合式設定會在 EventBridge 中建立預設規則。這些規則會自動建立 OpsItems 以回應事件。這些事件的範例包括:AWS 資源的狀態變更、安全設定的變更,或服務無法使用。
+ 啟用 OpsData 來源:整合式設定會啟用以下可填入 Explorer 小工具的資料來源。
+ 支援 中心 (您必須擁有商業或企業支援方案,才能啟動此來源。)
+ AWS Compute Optimizer (您必須擁有商業或企業支援方案,才能啟動此來源。)
+ Systems Manager State Manager 關聯合規
+ AWS Config 合規
+ Systems Manager OpsCenter
+ Systems Manager Patch Manager 修補程式合規
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Systems Manager 庫存
+ AWS Trusted Advisor (您必須擁有商業或企業支援方案,才能啟動此來源。)
+ AWS Security Hub CSPM
**注意**
您可以隨時在 **Settings (設定)** 頁面上變更設定組態。
完成整合式設定之後,建議您[設定 Explorer 以顯示來自多個區域和帳戶的資料](Explorer-resource-data-sync.md)。Explorer 和 OpsCenter 會自動為您在完成整合式設定時所使用的 AWS 帳戶 和 AWS 區域 同步 OpsData 以及 OpsItems。您可以透過建立資源資料同步來彙總來自其他帳戶和區域的 OpsData 及 OpsItems。
# 設定 Explorer 的相關服務
AWS Systems Manager 從其他 和 AWS Systems Manager OpsCenter Systems Manager 工具中探索 AWS 服務 和收集資訊,或與之互動。建議您在使用整合式設定之前,先設定和配置這些其他服務或工具。
下表包含允許 Explorer和 從其他 AWS 服務 和 Systems Manager 工具OpsCenter收集資訊或與之互動的任務。
****
| 任務 | 資訊 |
| --- | --- |
| 確認 Systems Manager 自動化中的許可 | Explorer 和 OpsCenter 允許您使用 Systems Manager Automation Runbook 修正 AWS 資源的問題。若要使用此修復工具,您必須有執行 Systems Manager Automation 執行手冊的許可。如需詳細資訊,請參閱[設定自動化](automation-setup.md)。 |
| 安裝和設定 Systems Manager Patch Manager | Explorer 包含可提供修補程式符合性相關資訊的 Widget。若要在 Explorer 中檢視此資料,您必須設定修補。如需詳細資訊,請參閱[AWS Systems Manager Patch Manager](patch-manager.md)。 |
| 安裝和設定 Systems Manager State Manager | Explorer 包含可提供有關 Systems Manager State Manager 關聯合規資訊的小工具。若要在 Explorer 中檢視此資料,您必須設定 State Manager。如需詳細資訊,請參閱[AWS Systems Manager State Manager](systems-manager-state.md)。 |
| 開啟 AWS Config 組態記錄器 | Explorer 使用 AWS Config 組態記錄器提供的資料,將 EC2 執行個體的相關資訊填入小工具。若要在 中檢視此資料Explorer,請開啟 AWS Config 組態記錄器。如需詳細資訊,請參閱[管理組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。 您允許組態記錄器之後,最多可能需要六個小時的時間,Systems Manager 才能在 Explorer 小工具 (顯示有關 EC2 執行個體的資訊) 中顯示資料。 |
| 開啟 AWS Trusted Advisor | Explorer 使用 提供的資料 Trusted Advisor ,在成本最佳化、安全性、容錯能力、效能和服務限制等領域顯示 Amazon EC2 預留執行個體的最佳實務檢查狀態。若要在 Explorer 檢視此資料,您必須擁有商業或企業支援方案。如需詳細資訊,請參閱[支援](https://aws.amazon.com/premiumsupport/)。 |
| 開啟 AWS Compute Optimizer | Explorer 使用 Compute Optimizer 提供的資料來顯示**佈建不足**和**過度佈建**的 EC2 執行個體計數、最佳化問題清單、隨需定價詳細資訊,以及執行個體類型和價格的建議。若要在 Explorer 中檢視此資料,開啟 Compute Optimizer。如需詳細資訊,請參閱 [入門 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html)。 |
| 開啟 AWS Security Hub CSPM | Explorer 使用 Security Hub CSPM 提供的資料,將安全性問題清單的相關資訊填入小工具。若要在 中檢視此資料Explorer,請開啟 Security Hub CSPM 整合。如需詳細資訊,請參閱[什麼是 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 。 |
# 設定 Systems Manager Explorer 的角色和許可
整合式設定會自動為 AWS Systems Manager Explorer 和 建立和設定 AWS Identity and Access Management (IAM) 角色 AWS Systems Manager OpsCenter。如果您已完成整合式設定,則不需要執行任何其他工作來設定 Explorer 的角色和許可。但是,您必須設定 OpsCenter 的許可,如本主題稍後所述。
整合式設定會建立和設定下列角色,以使用 Explorer 和 OpsCenter。
+ `AWSServiceRoleForAmazonSSM`︰提供由 Systems Manager 管理或使用的 AWS 資源存取權限。
+ `OpsItem-CWE-Role`:允許 CloudWatch Events 和 EventBridge 建立 OpsItems 以回應常見事件。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`:允許 Systems Manager 在同步資料時呼叫其他 AWS 服務 以探索 AWS 帳戶 資訊。如需有關此角色的詳細資訊,請參閱 [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)。
+ `AmazonSSMExplorerExport`:允許 Explorer 將 OpsData 匯出至以逗號分隔值的 (CSV) 檔案。
如果您設定 使用 和資源資料同步Explorer來顯示來自多個帳戶 AWS Organizations 和區域的資料,則 Systems Manager 會建立`AWSServiceRoleForAmazonSSM_AccountDiscovery`服務連結角色。Systems Manager 使用此角色來取得 AWS 帳戶 中 的相關資訊 AWS Organizations。該角色會使用下列許可政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
如需 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 角色的詳細資訊,請參閱 [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)。
## 設定的 Systems Manager OpsCenter 的許可
完成整合式設定之後,您必須設定使用者、群組或角色許可,以便使用者在 OpsCenter 中執行動作。
**開始之前**
可以將 OpsCenter 設定為建立和管理單一帳戶或跨多個帳戶的 OpsItems。如果您OpsCenter將 設定為OpsItems跨多個帳戶建立和管理,您可以使用 Systems Manager 委派管理員帳戶或 AWS Organizations 管理帳戶,在其他OpsItems帳戶中手動建立、檢視或編輯 。如需有關 Systems Manager 委派管理員帳戶的詳細資訊,請參閱[設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。
如果您針對單一帳戶設定 OpsCenter,則只能在建立 OpsItems 的帳戶中檢視或編輯 OpsItems。您無法OpsItems跨 共用或傳輸 AWS 帳戶。因此,建議您在用來執行 AWS 工作負載 AWS 帳戶 的 OpsCenter中設定 的許可。然後,您就可以在該帳戶中建立 使用者或群組。利用這種方式,多位營運工程師或 IT 專業人員即可在相同的 AWS 帳戶中建立、檢視和編輯 OpsItems。
Explorer 和 OpsCenter 會使用下列 API 操作。如果使用者、群組或角色可以存取這些動作,您就可以使用 Explorer 和 OpsCenter 的所有功能。您也可以建立更嚴格的存取權,如本節前文所述。
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
您可以視需要將下列內嵌政策新增至帳戶、群組或角色,以指定唯讀許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
如需有關建立和編輯 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。如需如何將此政策指派給 IAM 群組的資訊,請參閱[將政策連接到 IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)。
使用以下項目建立許可並將許可新增至使用者、群組或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
視您在組織中使用的身分應用程式而定,您可以選取下列任何選項來設定使用者存取權。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 *IAM 使用者指南*的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
### 使用標籤限制存取 OpsItems
您也可以使用指定標籤的內嵌 IAM 政策,限制存取 OpsItems。以下範例會指定 *Department* 的標籤鍵和 *Finance* 的標籤值。使用此政策,使用者只能呼叫 *GetOpsItem* API 操作,檢視之前以 Key=Department 和 Value=Finance 標記的 OpsItems。使用者無法檢視任何其他 OpsItems。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
以下範例會指定檢視和更新 OpsItems 的 API 操作。此政策還會指定兩組標籤金鑰/值對:Department-Finance 和 Project-Unity。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
如需將標籤新增到 OpsItem 的資訊,請參閱 [手動建立 OpsItems](OpsCenter-manually-create-OpsItems.md)。
# 了解整合式設定建立的預設 EventBridge 規則
在 Explorer 和 OpsCenter 的整合式設定程序期間,可以選擇根據 Amazon EventBridge 偵測到的事件啟用多個預設規則。偵測到這些事件時,系統會自動在 AWS Systems Manager OpsCenter 中建立 OpsItems。
例如,EC2 自動擴展執行個體終止失敗時,規則 `SSMOpsItems-Autoscaling-instance-termination-failure` 會導致建立 OpsItem。
Systems Manager 維護時段無法成功完成時,規則 `SSMOpsItems-SSM-maintenance-window-execution-failed` 會導致建立 OpsItem。
如需可以在設定程序期間啟用的所有 EventBridge 規則的設定指示和說明,請參閱 [設定 OpsCenter](OpsCenter-setup.md)。
如果您不希望 EventBridge 為這些事件建立 OpsItems,可以選擇不在整合式設定中啟用此選項。如果您願意,您可以將 OpsCenter 指定為特定 EventBridge 事件的目標。如需詳細資訊,請參閱[設定 EventBridge 規則以建立 OpsItems](OpsCenter-automatically-create-OpsItems-2.md)。
您可以在 OpsCenter **設定**頁面中選擇 **OpsCenter、設定**,然後在**OpsItem規則**區域中選擇**編輯**,以停用預設規則或變更其類別和嚴重性等級。
您也可以在 Systems Manager 主控台中編輯指派給根據這些規則建立的個別 OpsItem 的類別或嚴重性。如需相關資訊,請參閱[編輯 OpsItem](OpsCenter-working-with-OpsItems-editing-details.md)。
![\[在 Systems Manager Explorer 中建立 OpsItems 的預設規則\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/explorer-default-rules.png)
# 設定 Explorer 的委派管理員
如果您使用資源資料同步來彙總多個 AWS 區域 和 帳戶的 AWS Systems Manager Explorer 資料 AWS Organizations,建議您為 設定委派管理員Explorer。委派系統管理員可透過下列方式改善 Explorer 安全性。
+ 限制 Explorer 管理員數目,這些管理員可建立或刪除多帳戶以及同步到個別 AWS 帳戶的區域資源資料。
+ 您不再需要登入 AWS Organizations 管理帳戶,即可在 中管理資源資料同步Explorer。
委派管理員可以使用 主控台、 SDK、 AWS Command Line Interface (AWS CLI) 或 使用以下Explorer資源資料同步 APIs AWS Tools for Windows PowerShell:
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
委派管理員可以從主控台或使用 SDK、 AWS CLI或 等程式設計工具來搜尋、篩選和彙總Explorer資料 AWS Tools for Windows PowerShell。搜尋、篩選和資料彙總會使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
委派管理員可以為整個組織或組織單位的子集建立最多五個資源資料同步。委派管理員所建立的資源資料同步只能在委派管理員帳戶中使用。您無法在 AWS Organizations 管理帳戶中檢視同步或彙總的資料。
**注意**
您無法使用委派管理員帳戶在[選擇加入 AWS 區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)中建立資源資料同步。您必須使用 AWS Organizations 管理帳戶。
如需資源資料同步的相關資訊,請參閱 [設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料](Explorer-resource-data-sync.md)。如需 的詳細資訊 AWS Organizations,請參閱*AWS Organizations 《 使用者指南*》中的[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**Topics**
+ [開始之前](#Explorer-setup-delegated-administrator-before-you-begin)
+ [設定 Explorer 委派管理員](Explorer-setup-delegated-administrator-configure.md)
+ [取消註冊 Explorer 委派管理員](Explorer-setup-delegated-administrator-deregister.md)
## 開始之前
下列清單包含有關 Explorer 委派管理的重要資訊。
+ 您只能委派一個帳戶進行 Explorer 管理。
+ 您指定為 Explorer 委派管理員的帳戶 ID 必須列為 AWS Organizations中的成員帳戶。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[AWS 帳戶 在組織中建立 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)。
+ 委派管理員可以使用主控台中的所有Explorer資源資料同步 API 操作,或使用程式設計工具,例如 SDK、 AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell。資源資料同步 API 操作包括下列項目:[CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)、[DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)、[ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html) 和 [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)。
+ 委派管理員可以在主控台中搜尋、篩選和彙總 Explorer 資料,或使用程式設計工具 (例如 SDK、 AWS CLI或 AWS Tools for Windows PowerShell)。搜尋、篩選和資料彙總會使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作。
+ 委派管理員所建立的資源資料同步只能在委派管理員帳戶中使用。您無法檢視 AWS Organizations 管理帳戶中的同步或彙總資料。
+ 委派管理員最多可建立五個資源資料同步。
+ 委派管理員可以為 中的整個組織 AWS Organizations 或組織單位的子集建立資源資料同步。
# 設定 Explorer 委派管理員
請使用下列程序來註冊 Explorer 委派管理員。
**註冊 Explorer 委派管理員**
1. 登入您的 AWS Organizations 管理帳戶。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Delegated administrator for Explorer** (Explorer 的委派管理員) 區段中,確認您已設定必要的服務連結角色和服務存取選項。如有必要,請選擇 **Create role** (建立角色) 和 **Enable access** (啟用存取) 按鈕設定這些選項。
1. 針對**帳戶 ID**,輸入 AWS 帳戶 ID。此帳戶必須是其中的成員帳戶 AWS Organizations。
1. 選擇 **Register delegated administrator (註冊委派管理員)**。
委派管理員現在可以存取在**建立資源資料同步**頁面上的選項中**包含來自我的 AWS Organizations 組態的所有帳戶**和**選取組織單位 AWS Organizations**。
# 取消註冊 Explorer 委派管理員
請使用下列程序來取消註冊 Explorer 委派管理員。委派管理員帳戶只能由 AWS Organizations 管理帳戶取消註冊。取消註冊委派管理員帳戶時,系統會刪除委派管理員建立的所有 AWS Organizations 資源資料同步。
**取消註冊 Explorer 委派管理員**
1. 登入您的 AWS Organizations 管理帳戶。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Delegated administrator for Explorer** (Explorer 的委派管理員) 區段,選擇 **Deregister** (取消註冊)。系統會顯示警告。
1. 輸入帳戶 ID,然後選擇 **Remove** (移除)。
帳戶無法再存取 AWS Organizations 資源資料同步 API 操作。系統會刪除帳戶建立的所有 AWS Organizations 資源資料同步。
# 設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料
AWS Systems Manager 使用整合的設定體驗來協助您開始使用 AWS Systems Manager Explorer *和* AWS Systems Manager OpsCenter 。完成整合設定後,Explorer 和 OpsCenter 會自動同步資料。更具體地說,這些工具OpsItems會針對 AWS 區域 同步 OpsData 和 , AWS 帳戶 並在您完成整合設定時使用。如果您希望彙整來自其他帳戶和區域的 OpsData 和 OpsItems,您必須建立資源資料同步,如本主題所說明。
**注意**
如需整合式設定的詳細資訊,請參閱[開始使用 Systems Manager Explorer 和 OpsCenter](Explorer-setup.md)。
**Topics**
+ [了解 Explorer 的資源資料同步](Explorer-resource-data-sync-understanding.md)
+ [了解多個帳戶和區域資源資料同步](Explorer-resource-data-sync-multiple-accounts-and-regions.md)
+ [刪除資源資料同步](Explorer-resource-data-sync-configuring-multi.md)
# 了解 Explorer 的資源資料同步
Explorer 的資源資料同步提供兩種彙整選項:
+ **單一帳戶/多個區域:**您可以設定 Explorer 彙整多個 AWS 區域的 OpsItems 和 OpsData 資料,但資料集會受限於目前的 AWS 帳戶。
+ **多帳戶/多區域:**您可以設定 Explorer 彙整多個 AWS 區域 和帳戶的資料。此選項需要您設定 AWS Organizations。在您設定 和 之後 AWS Organizations,您可以Explorer依組織單位 (OU) 或整個組織在 中彙總資料。Systems Manager 會將資料彙整至 AWS Organizations 管理帳戶,再於 Explorer 中進行顯示。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**警告**
如果您設定 Explorer 以彙總 AWS Organizations中的組織資料,系統會啟用組織中所有成員帳戶的 OpsData。在所有成員帳户中啟用 OpsData 來源會增加呼叫 [CreateOpsItem](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateOpsItem.html) 和 [GetOpsSummary](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_GetOpsSummary.html) 等 OpsCenter API 的次數。呼叫這些 API 動作需支付費用。
下圖顯示設為使用 AWS Organizations的資源資料同步。在此案例中,使用者具備兩個在 AWS Organizations中定義的帳戶。資源資料同步會將來自兩個帳戶和多個 AWS 區域 的資料彙總到 AWS Organizations 管理帳戶中,然後顯示在 中Explorer。
![\[Systems Manager Explorer 的資源資料同步\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/ExplorerSyncFromSource.png)
# 了解多個帳戶和區域資源資料同步
本節說明有關使用 AWS Organizations的多個帳戶和多個區域資源資料同步的重要詳細資訊。具體而言,如果您選擇了 **Create resource data sync** (建立資源資料同步) 頁面中的以下其中一個選項,則本節的資訊適用:
+ 包含我的 AWS Organizations 組態中的所有帳戶
+ 在 中選取組織單位 AWS Organizations
如果您不打算使用以下其中一個選項,您可以略過本節。
當您在 SSM 主控台中建立資源資料同步時,如果您選擇其中一個 AWS Organizations 選項,則 Systems Manager 會自動為組織 (或所選組織單位 AWS 帳戶 ) 中的所有 ,允許所選區域中的所有 OpsData 來源。例如,即使您尚未在區域中Explorer開啟 ,如果您為資源資料同步選取 AWS Organizations 選項,則 Systems Manager 會自動從該區域收集 OpsData。若要在不允許 OpsData 來源的情況下建立資源資料同步,請在建立資料同步時將 **EnableAllOpsDataSources** 指定為 false。如需詳細資訊,請參閱《Amazon EC2 Systems Manager API 參考》**中 [ResourceDataSyncSource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResourceDataSyncSource.html) 資料類型的 `EnableAllOpsDataSources` 參數詳細資訊。
如果您未選擇資源資料同步的其中一個 AWS Organizations 選項,則必須在Explorer您要存取資料的每個帳戶和區域中完成整合式設定。如果沒有這樣做,Explorer 將不會顯示未完成整合式設定的帳戶和區域的 OpsData 和 OpsItems。
如果您將子帳戶新增至您的組織,Explorer 會自動允許該帳戶的所有 OpsData 來源。如果您稍後從組織中移除子女帳戶,Explorer 會繼續從帳戶收集 OpsData。
如果您更新使用其中一個 AWS Organizations 選項的現有資源資料同步,系統會提示您核准收集受變更影響之所有帳戶和區域的所有 OpsData 來源。
如果您將新服務新增至 AWS 帳戶,且 為該服務Explorer收集 OpsData,則 Systems Manager 會自動設定 Explorer以收集該 OpsData。例如,如果您的組織在您先前建立資源資料同步 AWS Trusted Advisor 時未使用 ,但您的組織註冊此服務, Explorer會自動更新您的資源資料同步以收集此 OpsData。
**重要**
請注意下列有關多個帳戶和區域資源資料同步的重要資訊:
刪除資源資料同步不會關閉 Explorer 中的 OpsData 來源。
若要從多個帳戶檢視 OpsData OpsItems 和 ,您必須開啟 AWS Organizations **所有功能**模式,而且必須登入 AWS Organizations 管理帳戶。
大多數 預設為 AWS 區域 作用中 AWS 帳戶,但只有在您手動選取特定區域時才會啟用。這些區域稱為[選擇加入區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。依預設,Explorer 跨帳戶/跨區域資源資料同步在選擇加入區域中不支援資料彙總。我們已於 2025 年 6 月 30 日新增對下列選擇加入區域的支援。
歐洲 (米蘭)
非洲 (開普敦)
Middle East (Bahrain)
亞太地區 (香港)
請注意,您無法使用委派管理員帳戶在選擇加入區域中建立資源資料同步。您必須使用 AWS Organizations 管理帳戶。
# 刪除資源資料同步
在設定 Explorer 的資源資料同步之前,請留意以下詳細資訊。
+ Explorer 支援最多五個資源資料同步。
+ 為區域建立資源資料同步之後,您無法變更該同步的*帳戶選項*。例如,如果您在 us-east-2 (俄亥俄) 區域中建立同步,並選擇**僅包含目前帳戶**選項,則您無法稍後編輯該同步,並從**我的 AWS Organizations 組態選項中選擇包含所有帳戶**。相反地,您必須刪除第一個資源資料同步,並建立新的資源資料同步。
+ Explorer 中檢視的 OpsData 是唯讀的。
使用下列程序可為 Explorer 建立資源資料同步。
**建立資源資料同步**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Explorer**。
1. 選擇**設定**。
1. 在 **Configure resource data sync (設定資源資料同步)** 區段中,選擇 **Create resource data sync (建立資源資料同步)**。
1. 對於 **Resource data sync name (資源資料同步名稱)**,輸入名稱。
1. 在 **Add accounts (新增帳戶)** 區段中,選擇一個選項。
**注意**
若要使用任一 AWS Organizations 選項,您必須登入 AWS Organizations 管理帳戶,或必須登入Explorer委派管理員帳戶。如需委派管理員帳戶的詳細資訊,請參閱 [設定 Explorer 的委派管理員](Explorer-setup-delegated-administrator.md)。
1. 在 **Regions to include (要包含的區域)** 區段中,選擇下列其中一個選項。
+ 選擇**所有目前和未來的區域**,以自動同步來自所有目前 AWS 區域 和未來上線之新區域的資料。
+ 選擇**所有區域**以自動同步所有目前資料 AWS 區域。
+ 個別選擇您要包含的區域。
1. 選擇**建立資源資料同步**。
建立資源資料同步之後,可能需要幾分鐘的時間,才能填入 Explorer 的資料。您可從 Explorer 中的 **Select a resource data sync** (選取資源資料同步) 清單中進行選擇,從而檢視同步。