Erste Schritte mit Quick Setup - AWS Systems Manager
IAMRollen und Berechtigungen für das Quick Setup OnboardingManuelles Onboarding für die programmatische Arbeit Quick Setup API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Quick Setup

Verwenden Sie die Informationen in diesem Thema, um sich auf die Verwendung von Quick Setup vorzubereiten.

IAMRollen und Berechtigungen für das Quick Setup Onboarding

Quick Setuphat ein neues Konsolenerlebnis und ein neues API eingeführt. Jetzt können Sie mit der API Konsole, AWS CLI AWS CloudFormation, und damit interagierenSDKs. Wenn Sie sich für das neue Erlebnis entscheiden, werden Ihre vorhandenen Konfigurationen mit der neuen API Version neu erstellt. Abhängig von der Anzahl der vorhandenen Konfigurationen in Ihrem Konto kann dieser Vorgang mehrere Minuten dauern.

Um die neue Quick Setup Konsole verwenden zu können, benötigen Sie Berechtigungen für die folgenden Aktionen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PassRole",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Um Benutzern nur Leseberechtigungen zu gewähren, müssen Sie nur ssm-quicksetup:Get* Operationen für die zulassenssm-quicksetup:List*. Quick Setup API

Quick SetupErstellt während des Onboardings in Ihrem Namen die folgenden AWS Identity and Access Management (IAM) Rollen:

  • AWS-QuickSetup-LocalExecutionRole— Erteilt AWS CloudFormation Berechtigungen zur Verwendung beliebiger Vorlagen, mit Ausnahme der Patch-Richtlinienvorlage, und zur Erstellung der erforderlichen Ressourcen.

  • AWS-QuickSetup-LocalAdministrationRole— Erteilt Berechtigungen AWS CloudFormation zum ÜbernehmenAWS-QuickSetup-LocalExecutionRole.

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Erteilt Berechtigungen AWS CloudFormation zur Verwendung der Patch-Richtlinienvorlage und zur Erstellung der erforderlichen Ressourcen.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Erteilt Berechtigungen AWS CloudFormation zum ÜbernehmenAWS-QuickSetup-PatchPolicy-LocalExecutionRole.

Wenn Sie ein Verwaltungskonto einrichten — das Konto, mit dem Sie eine Organisation erstellen AWS Organizations— werden in Ihrem Quick Setup Namen auch die folgenden Rollen erstellt:

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer— Erteilt Berechtigungen dem AWS-EnableExplorer-Automation-Runbook. Das AWS-EnableExplorer Runbook konfiguriertExplorer, eine Funktion von Systems Manager, so, dass Informationen für mehrere AWS-Konten und angezeigt werden. AWS-Regionen

  • AWSServiceRoleForAmazonSSM— Eine dienstbezogene Rolle, die Zugriff auf AWS Ressourcen gewährt, die von Systems Manager verwaltet und verwendet werden.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery— Eine serviceverknüpfte Rolle, die Systems Manager berechtigt, beim Synchronisieren von Daten anzurufen AWS -Services , um AWS-Konto Informationen zu ermitteln. Weitere Informationen finden Sie unter Informationen über die AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle.

Quick SetupErmöglicht beim Onboarding eines Verwaltungskontos den vertrauenswürdigen Zugriff zwischen AWS Organizations und CloudFormation die Bereitstellung von Quick Setup Konfigurationen im gesamten Unternehmen. Um vertrauenswürdigen Zugriff zu aktivieren, muss Ihr Verwaltungskonto über Administratorberechtigungen verfügen. Nach dem Onboarding benötigen Sie keine Administratorberechtigungen mehr. Weitere Informationen finden Sie unter Enable trusted access with Organizations (Aktivieren des vertrauenswürdigen Zugriffs mit Organizations).

Informationen zu AWS Organizations Kontotypen finden Sie unter AWS Organizations Terminologie und Konzepten im AWS Organizations Benutzerhandbuch.

Anmerkung

Quick Setupverwendet AWS CloudFormation StackSets , um Ihre Konfigurationen AWS-Konten regionsübergreifend bereitzustellen. Wenn die Anzahl der Zielkonten multipliziert mit der Anzahl der Regionen 10 000 übersteigt, kann die Konfiguration nicht bereitgestellt werden. Wir empfehlen Ihnen, Ihren Anwendungsfall zu überprüfen und Konfigurationen zu erstellen, die weniger Ziele verwenden, um dem Wachstum Ihres Unternehmens Rechnung zu tragen. Stack-Instances werden nicht für das Verwaltungskonto Ihrer Organisation bereitgestellt. Weitere Informationen finden Sie unter Considerations when creating a stack set with service-managed permissions (Überlegungen beim Erstellen eines Stack-Sets mit service-verwalteten Berechtigungen).

Manuelles Onboarding für die programmatische Arbeit Quick Setup API

Wenn Sie die Konsole verwenden, um damit zu arbeitenQuick Setup, erledigt der Service die Onboarding-Schritte für Sie. Wenn Sie planen, die zu verwenden SDKs oder mit ihr AWS CLI zu arbeiten Quick SetupAPI, können Sie die Konsole trotzdem verwenden, um die Onboarding-Schritte für Sie abzuschließen, sodass Sie sie nicht manuell durchführen müssen. Manche Kunden müssen die Onboarding-Schritte jedoch Quick Setup programmgesteuert durchführen, ohne mit der Konsole zu interagieren. Wenn diese Methode zu Ihrem Anwendungsfall passt, müssen Sie die folgenden Schritte ausführen. Alle diese Schritte müssen von Ihrem AWS Organizations Verwaltungskonto aus abgeschlossen werden.

Um das manuelle Onboarding abzuschließen für Quick Setup

  1. Aktivieren Sie den vertrauenswürdigen Zugriff für AWS CloudFormation mit Organizations. Auf diese Weise können die Verwaltungskontoberechtigungen StackSets für Ihre Organisation erstellt und verwaltet werden. Sie können die ActivateOrganizationsAccess API Aktion verwenden AWS CloudFormation, um diesen Schritt abzuschließen. Weitere Informationen finden Sie ActivateOrganizationsAccessin der AWS CloudFormation APIReferenz.

  2. Ermöglichen Sie die Integration von Systems Manager mit Organizations. Auf diese Weise kann Systems Manager eine dienstbezogene Rolle für alle Konten in Ihrer Organisation erstellen. Auf diese Weise kann Systems Manager auch in Ihrem Namen Operationen in Ihrer Organisation und deren Konten ausführen. Sie können die EnableAWSServiceAccess API Aktion AWS Organizations s verwenden, um diesen Schritt abzuschließen. Der Dienstprinzipal für Systems Manager ist ssm.amazonaws.com .Weitere Informationen finden Sie unter E nableAWSService Access in der AWS Organizations APIReferenz.

  3. Erstellen Sie die erforderliche IAM Rolle fürExplorer. Auf diese Weise können Quick Setup Sie Dashboards für Ihre Konfigurationen erstellen, sodass Sie den Bereitstellungs- und Zuordnungsstatus einsehen können. Erstellen Sie eine IAM Rolle und hängen Sie die AWSSystemsManagerEnableExplorerExecutionPolicy verwaltete Richtlinie an. Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jedes account ID mit Ihren Informationen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*"
                }
            }
        }
    ]
}

  4. Aktualisieren Sie die Quick Setup Serviceeinstellungen fürExplorer. Sie können die UpdateServiceSettings API Aktion Quick Setup s verwenden, um diesen Schritt abzuschließen. Geben Sie den ARN für die IAM Rolle, die Sie im vorherigen Schritt erstellt haben, für den ExplorerEnablingRoleArn Anforderungsparameter an. Weitere Informationen finden Sie UpdateServiceSettingsin der Quick SetupAPIReferenz.

  5. Erstellen Sie die IAM Rollen, die Sie verwenden AWS CloudFormation StackSets möchten. Sie müssen eine Ausführungsrolle und eine Administrationsrolle erstellen.

    1. Erstellen Sie die Ausführungsrolle. Der Ausführungsrolle sollte mindestens eine der AWSQuickSetupDeploymentRolePolicy oder AWSQuickSetupPatchPolicyDeploymentRolePolicy verwalteten Richtlinien zugeordnet sein. Wenn Sie nur Konfigurationen für Patch-Richtlinien erstellen, können Sie AWSQuickSetupPatchPolicyDeploymentRolePolicy verwaltete Richtlinien verwenden. Alle anderen Konfigurationen verwenden die AWSQuickSetupDeploymentRolePolicy Richtlinie. Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jedes account ID and administration role name mit Ihren Informationen.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account ID:role/administration role name"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    2. Erstellen Sie die Administratorrolle. Die Berechtigungsrichtlinie muss den folgenden entsprechen. Ersetze jedes account ID and execution role name mit Ihren Informationen.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:*:iam::account ID:role/execution role name",
            "Effect": "Allow"
        }
    ]
}

      Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jedes account ID mit Ihren Informationen.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}