用於 Quick Setup 登入的 IAM 角色和許可手動加入，以便透過程式設計方式使用 Quick Setup API

Quick Setup 入門

請使用本主題中的資訊來熟悉 Quick Setup 的使用。

主題

用於 Quick Setup 登入的 IAM 角色和許可
手動加入，以便透過程式設計方式使用 Quick Setup API

用於 Quick Setup 登入的 IAM 角色和許可

Quick Setup 推出新的主控台體驗和新的 API。現在，您可以使用主控台、AWS CLI、AWS CloudFormation 和 SDK 與此 API 互動。如果選擇加入新的體驗，則會使用新的 API 重新建立現有的組態。根據帳戶中現有的組態數量，此程序可能需要幾分鐘的時間。

若要使用 Quick Setup 的新主控台，您必須擁有以下動作的許可：

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/AWS-QuickSetup-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm-quicksetup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

若要將使用者限制為唯讀許可，則僅允許 Quick Setup API 的 ssm-quicksetup:List* 和 ssm-quicksetup:Get* 操作。

在登入期間，Quick Setup 會建立下列可代表您的 AWS Identity and Access Management (IAM) 角色：

AWS-QuickSetup-LocalExecutionRole：授予 AWS CloudFormation 許可，以便使用任何範本 (不包括修補程式政策範本)，以及建立必要的資源。
AWS-QuickSetup-LocalAdministrationRole – 授予 AWS CloudFormation 擔任 AWS-QuickSetup-LocalExecutionRole 的許可。
AWS-QuickSetup-PatchPolicy-LocalExecutionRole：授予 AWS CloudFormation 許可，以便使用修補程式政策範本，以及建立必要的資源。
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole – 授予 AWS CloudFormation 擔任 AWS-QuickSetup-PatchPolicy-LocalExecutionRole 的許可。

如果您登入管理帳戶 (也就是您在 AWS Organizations 中用來建立組織的帳戶)，Quick Setup 還會代表您建立下列角色：

AWS-QuickSetup-SSM-RoleForEnablingExplorer – 授予 AWS-EnableExplorer 自動化 Runbook 許可。AWS-EnableExplorer 執行手冊會設定 Explorer (Systems Manager 中的工具)，以顯示多個 AWS 帳戶和 AWS 區域的資訊。
AWSServiceRoleForAmazonSSM – 服務連結角色可授予由 Systems Manager 管理和使用的 AWS 資源存取權。
AWSServiceRoleForAmazonSSM_AccountDiscovery – 服務連結角色可授予 Systems Manager 許可，呼叫 AWS 服務，進而在同步資料時探索 AWS 帳戶資訊。如需更多詳細資訊，請參閱使用角色收集 OpsCenter 和 Explorer 的 AWS 帳戶資訊。

登入管理帳戶時，Quick Setup 會在 AWS Organizations 與 CloudFormation 之間啟用受信任存取，以跨組織部署 Quick Setup 組態。若要啟用受信任存取，您的管理帳戶必須擁有管理員許可。登入後，您不再需要管理員許可。如需詳細資訊，請參閱啟用 Organizations 的受信任存取。

如需有關 AWS Organizations 帳戶類型的資訊，請參閱《AWS Organizations 使用者指南》中的 AWS Organizations 術語與概念一節。

注意

Quick Setup 使用 AWS CloudFormation 堆疊集跨 AWS 帳戶和區域部署組態。如果目標帳戶數目乘以區域數目得出的結果超過 10,000，則組態無法部署。我們建議您審視您的使用案例，並建立使用較少目標的組態，以因應貴組織的成長。堆疊執行個體不會部署至您組織的管理帳戶。如需詳細資訊，請參閱建立具有服務受管許可的堆疊集時的考量。

手動加入，以便透過程式設計方式使用 Quick Setup API

如果透過主控台來使用 Quick Setup，此服務會為您處理加入步驟。如果計劃使用 SDK 或 AWS CLI 來使用 Quick Setup API，您仍然可以使用主控台來完成加入步驟，不需要手動執行這些步驟。不過，有些客戶需要透過程式設計方式完成 Quick Setup 的加入步驟，無需與主控台互動。如果此方法符合使用案例，則您必須完成下列步驟。必須從 AWS Organizations 管理帳戶完成這些步驟。

完成 Quick Setup 的手動加入

使用 Organizations 為 AWS CloudFormation 啟用受信任的存取。這為管理帳戶提供為組織建立和管理 StackSets 所需的許可。您可以使用 AWS CloudFormation 的 ActivateOrganizationsAccess API 動作來完成此步驟。如需詳細資訊，請參閱《AWS CloudFormation API 參考》中的 ActivateOrganizationsAccess。
啟用 Systems Manager 與 Organizations 的整合。這可讓 Systems Manager 在組織的所有帳戶中建立服務連結角色。這也允許 Systems Manager 在組織及其帳戶中代表您執行操作。您可以使用 AWS Organizations 的 EnableAWSServiceAccess API 動作來完成此步驟。Systems Manager 的服務主體為 ssm.amazonaws.com。如需詳細資訊，請參閱《AWS Organizations API 參考》中的 EnableAWSServiceAccess。

為 Explorer 建立必要的 IAM 角色。這可讓 Quick Setup 為組態建立儀表板，便於您檢視部署和關聯狀態。建立 IAM 角色，以及連接 AWSSystemsManagerEnableExplorerExecutionPolicy 受管政策。修改角色的信任政策以符合下列條件。把每個帳戶 ID 取代為您的資訊。

為 Explorer 更新 Quick Setup 的服務設定。您可以使用 Quick Setup 的 UpdateServiceSettings API 動作來完成此步驟。指定您在上一個步驟中為 ExplorerEnablingRoleArn 請求參數建立的 IAM 角色 ARN。如需詳細資訊，請參閱《Quick Setup API 參考》中的 UpdateServiceSettings。

建立 AWS CloudFormation StackSets 要使用的必要 IAM 角色。您必須建立執行角色和管理角色。

建立執行角色。執行角色應至少連接其中一個 AWSQuickSetupDeploymentRolePolicy 或 AWSQuickSetupPatchPolicyDeploymentRolePolicy 受管政策。如果您只是要建立修補程式政策組態，則可以使用 AWSQuickSetupPatchPolicyDeploymentRolePolicy 受管政策。所有其他組態都使用 AWSQuickSetupDeploymentRolePolicy 政策。修改角色的信任政策以符合下列條件。將每個帳戶 ID 和管理角色名稱取代為您的資訊。
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/administration role name" }, "Action": "sts:AssumeRole" } ] }

建立管理角色。此許可政策必須符合下列條件。將每個帳戶 ID 和執行角色名稱取代為您的資訊。

修改角色的信任政策以符合下列條件。把每個帳戶 ID 取代為您的資訊。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Quick Setup

使用 Quick Setup 的委派管理員