查詢來自多個區域和帳戶的清查資料 - AWS Systems Manager
設定存取權在清查詳細檢視頁面上查詢資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

查詢來自多個區域和帳戶的清查資料

AWS Systems Manager 庫存與 Amazon Athena 整合,可協助您查詢來自多個 AWS 區域 和 AWS 帳戶. Athena 整合使用資源資料同步,因此您可以在 AWS Systems Manager 主控台的詳細檢視頁面上,檢視所有受管節點的庫存資料。

重要

此功能用 AWS Glue 於編目亞馬遜簡單儲存服務 (Amazon S3) 儲存貯體中的資料,以及 Amazon Athena 以查詢資料。視您所爬取和查詢的資料量而定,這些服務可能會向您收取使用費。使用時 AWS Glue,您可以按小時費率支付編目器 (探索資料) 和ETL工作 (處理和載入資料) 的費用,以秒計費。Athena 會按照每個查詢掃描的資料量向您收費。建議您先查看這些服務的定價準則,再使用 Amazon Athena 與 Systems Manager 庫存的整合。如需詳細資訊,請參閱 Amazon Athena 定價AWS Glue 定價

您可以檢視所有 Amazon Athena 可用之 AWS 區域 中 Detailed View (詳細檢視) 頁面上的庫存資料。如需支援區域的清單,請參閱《Amazon Web Services 一般參考》中的 Amazon Athena 服務端點一節。

開始之前

Athena 整合能夠使用資源資料同步。您必須設定和配置資源資料同步,才能使用這項功能。如需詳細資訊,請參閱使用資源資料同步來彙總庫存資料

此外,請注意,針對資源資料同步使用的中央 Amazon S3 儲存貯體,Detailed View (詳細檢視) 頁面會顯示其擁有者的庫存資料。如果您不是中央 Amazon S3 儲存貯體的擁有者,則無法在 Detail View (詳細檢視) 頁面上查看庫存資料。

設定存取權

在 Systems Manager 主控台的 [詳細檢視] 頁面上查詢及檢視來自多個帳戶和區域的資料之前,您必須先設定IAM實體具有檢視資料的權限。

如果庫存資料存放在使用 AWS Key Management Service (AWS KMS) 加密的 Amazon S3 儲存貯體中,您還必須設定IAM實體和 AWS KMS 加密的Amazon-GlueServiceRoleForSSM服務角色。

設定您的IAM實體以存取詳細檢視頁面

以下說明在詳細檢視頁面上檢視庫存資料所需的最低許可。

AWSQuicksightAthenaAccess 受管政策

以下是 PassRole 和其他所需的許可區塊

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGlue",
            "Effect": "Allow",
            "Action": [
                "glue:GetCrawler",
                "glue:GetCrawlers",
                "glue:GetTables",
                "glue:StartCrawler",
                "glue:CreateCrawler"
            ],
            "Resource": "*"
        },
        {
            "Sid": "iamPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "glue.amazonaws.com"
                }
            }
        },
        {
            "Sid": "iamRoleCreation",
           "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::account_ID:role/*"
        },
        {
            "Sid": "iamPolicyCreation",
            "Effect": "Allow",
            "Action": "iam:CreatePolicy",
            "Resource": "arn:aws:iam::account_ID:policy/*"
        }
    ]
}

(選擇性) 如果用於存放庫存資料的 Amazon S3 儲存貯體使用加密 AWS KMS,您還必須將以下區塊新增至政策。

{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:Region:account_ID:key/key_ARN"
    ]
}

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 使用者和群組位於 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • IAM透過身分識別提供者管理的使用者:

    建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。

  • IAM使用者:

    • 建立您的使用者可擔任的角色。請按照《用戶南》中的「為IAM用戶創建角色」中的IAM說明進行操作。

    • (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《使用指南》中的「向使用者 (主控台) 新增權限」IAM 中的示進行。

(選擇性) 設定檢視 AWS KMS 加密資料的權限

如果用於存放庫存資料的 Amazon S3 儲存貯體使用 AWS Key Management Service (AWS KMS) 加密,您必須設定具有 AWS KMS 金鑰kms:Decrypt許可的IAM實體和 Amazon GlueServiceRoleFor SSM 角色。

開始之前

若要提供 AWS KMS 金鑰的kms:Decrypt權限,請將下列原則區塊新增至您的IAM實體:

{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:Region:account_ID:key/key_ARN"
    ]
}

如果您尚未這麼做,請完成該程序並新增 AWS KMS 金鑰的kms:Decrypt權限。

使用下列程序來設定具有 AWS KMS 金鑰kms:Decrypt許可的 Amazon GlueServiceRoleFor SSM 角色。

若要使用kms:Decrypt許可設定 Amazon-GlueServiceRoleFor SSM 角色

  1. 在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在瀏覽窗格中,選擇 [角色],然後使用搜尋欄位尋找 Amazon GlueServiceRoleFor SSM 角色Summary (摘要) 頁面隨即開啟。

  3. 使用搜尋欄位尋找 Amazon-GlueServiceRoleFor SSM 角色。選擇角色名稱。Summary (摘要) 頁面隨即開啟。

  4. 選擇角色名稱。Summary (摘要) 頁面隨即開啟。

  5. 選擇 Add inline policy (新增內嵌政策)Create policy (建立政策) 頁面隨即開啟。

  6. 選擇索JSON引標籤。

  7. 刪除編輯器中的現有JSON文字,然後將下列原則複製並貼到JSON編輯器中。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:Region:account_ID:key/key_ARN"
            ]
        }
    ]
}

  8. 選擇 Review policy (檢閱政策)

  9. Review Policy (檢閱政策) 頁面的 Name (名稱) 欄位中,輸入一個名稱。

  10. 選擇 建立政策

在清查詳細檢視頁面上查詢資料

使用下列程序,在「Systems Manager 庫存詳細檢視」頁面 AWS 帳戶 上檢視多個 AWS 區域 庫存資料。

重要

庫存 Detailed View (詳細檢視) 頁面僅在提供 Amazon Athena 的 AWS 區域 中可用。若在 Systems Manager 庫存頁面上並未顯示下列標籤,這表示 Athena 並未在該區域中提供使用,且您無法使用 Detailed View (詳細檢視) 來查詢資料。

顯示 Inventory (庫存) 儀表板 | Detailed View (詳細檢視) | Settings (設定) 標籤
在 AWS Systems Manager 主控台中檢視來自多個區域及帳戶的清查資料

  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Inventory (庫存)。

  3. 選擇 Detailed View (詳細檢視) 索引標籤。

    存取 AWS Systems Manager 存貨詳細資訊檢視頁面

  4. 選擇您要查詢資料的資源資料同步。

    在 AWS Systems Manager 主控台中顯示庫存資料

  5. Inventory Type (庫存類型) 清單中,選擇欲查詢的庫存資料類型,接著按 Enter 鍵。

    在 AWS Systems Manager 主控台中選擇庫存類型

  6. 若要篩選資料,請選取篩選條件列,並選擇篩選條件選項。

    在 AWS Systems Manager 主控台中篩選庫存資料

您可以使用 [匯出至 CSV] 按鈕,在試算表應用程式 (例如 Microsoft Excel) 中檢視目前的查詢集。除此之外,您還可以使用 Query History (查詢歷程記錄) 和 Run Advanced Queries (執行進階查詢) 按鈕,藉此檢視歷程記錄詳細資訊,並與 Amazon Athena 中的資料互動。

編輯 AWS Glue 爬蟲程式排程

AWS Glue 依預設,每天檢索兩次中央 Amazon S3 儲存貯體中的庫存資料。如果您經常變更節點上要收集的資料類型,可能會需要更頻繁地抓取資料,如以下程序所述。

重要

AWS Glue AWS 帳戶 根據搜尋器 (探索資料) 和ETL工作 (處理和載入資料) 的小時費率計費,以秒計費。在您變更爬蟲程式排程前,請查看 AWS Glue 定價頁面。

變更庫存資料的爬蟲程式排程

  1. 在開啟 AWS Glue 主控台https://console.aws.amazon.com/glue/

  2. 在導覽窗格中,選擇 Crawlers (爬蟲程式)。

  3. 在爬蟲程式清單中,選擇 Systems Manager 庫存資料爬蟲程式旁的選項。爬蟲程式名稱需採用以下格式:

    AWSSystemsManager-amzn-s3-demo-bucket-Region-account_ID

  4. 選擇 Action (動作),然後選擇 Edit crawler (編輯爬蟲程式)

  5. 在導覽窗格中,選擇 Schedule (排程)

  6. Cron expression (Cron 運算式) 欄位中,使用 Cron 格式來指定新排程。如需 cron 格式的詳細資訊,請參閱《AWS Glue 開發人員指南》中的任務和爬蟲程式的時間排程

重要

您可以暫停爬行者程式,以停止產生費用。 AWS Glue若您暫停爬蟲程式或變更執行頻率,使系統減少爬取資料的次數,則 Detailed View (詳細檢視) 所顯示的資料可能不是目前的內容。