Configuración de Change Manager para una organización (cuenta de administración) - AWS Systems Manager

Configuración de Change Manager para una organización (cuenta de administración)

Las tareas de este tema se aplican si utiliza Change Manager, una capacidad de AWS Systems Manager, en una organización que está configurada en AWS Organizations. Si desea usar Change Manager solo en una única Cuenta de AWS, pase al tema Configuración de opciones y prácticas recomendadas de Change Manager.

Lleve a cabo las tareas de esta sección en una Cuenta de AWS que sirva como la cuenta de administración en Organizations. Para obtener más información acerca de la cuenta de administración y otros conceptos de Organizations, consulte Terminología y conceptos de AWS Organizations.

Si necesita activar Organizations y especificar su cuenta como la cuenta de administración antes de continuar, consulte Creación y administración de una organización en la Guía del usuario de AWS Organizations.

nota

Este proceso de configuración no se puede efectuar en las siguientes Regiones de AWS:

  • UE (Milán) (eu-south-1)

  • Medio Oriente (Baréin) (me-south-1)

  • África (Ciudad del Cabo) (af-south-1)

  • Asia-Pacífico (Hong Kong) (ap-east-1)

Asegúrese de trabajar en una región diferente en su cuenta de administración para este procedimiento.

Durante el procedimiento de configuración, debe realizar las siguientes tareas principales en Quick Setup, una capacidad de AWS Systems Manager.

  • Tarea 1: registrar la cuenta de administrador delegado para su organización

    Las tareas relacionadas con el cambio que se llevan a cabo con Change Manager se administran en una de las cuentas miembro, que especifica que es la cuenta de administrador delegado. La cuenta de administrador delegado que se registra para Change Manager se convierte en la cuenta de administrador delegado para todas sus operaciones de Systems Manager. (Es posible que tenga cuentas de administrador delegado para otros AWS services). Su cuenta de administrador delegado para Change Manager, que no es la misma que la cuenta de administración, administra las actividades de cambio en toda la organización, incluidas las plantillas de cambios, las solicitudes de cambio y sus aprobaciones. En la cuenta de administrador delegado, también puede especificar otras opciones de configuración para sus operaciones de Change Manager.

    importante

    La cuenta de administrador delegado debe ser el único miembro de la unidad organizativa al que se asigne la capacidad en Organizations.

  • Tarea 2: definir y especificar las políticas de acceso del manual de procedimientos para los roles del solicitante de cambios o las funciones de trabajo personalizadas que desee utilizar para las operaciones de Change Manager

    Para crear solicitudes de cambio en Change Manager, los usuarios de sus cuentas miembro deben recibir permisos de AWS Identity and Access Management (IAM) que les permitan acceder solo a los manuales de procedimientos de Automation y las plantillas de cambios que usted elija que estén disponibles para ellos.

    nota

    Cuando un usuario crea una solicitud de cambio, primero selecciona una plantilla de cambios. Esta plantilla de cambios puede tener varios manuales de procedimientos disponibles, pero el usuario solo puede seleccionar uno para cada solicitud de cambio. Las plantillas de cambios también se pueden configurar para permitir a los usuarios incluir cualquier manual de procedimientos disponible en sus solicitudes.

    Para otorgar los permisos necesarios, Change Manager utiliza el concepto de funciones de trabajo, que también es utilizado por IAM. Sin embargo, a diferencia de las políticas administradas de AWS para las funciones de trabajo en IAM, debe especificar tanto los nombres de las funciones de trabajo de Change Manager como los permisos de IAM para esas funciones de trabajo.

    Cuando vaya a configurar una función de trabajo, le recomendamos crear una política personalizada y proporcionar solo los permisos necesarios para llevar a cabo tareas de administración de cambios. Por ejemplo, podría especificar permisos que limiten a los usuarios a ese conjunto específico de manuales de procedimientos dependiendo de las funciones de trabajo que defina.

    Por ejemplo, puede crear una función de trabajo con el nombre DBAdmin. Para esta función de trabajo, puede conceder solo los permisos necesarios para los manuales de procedimientos relacionados con las bases de datos de Amazon DynamoDB, como AWS-CreateDynamoDbBackup y AWSConfigRemediation-DeleteDynamoDbTable.

    Como otro ejemplo, es posible que desee conceder a algunos usuarios solo los permisos necesarios para trabajar con manuales de procedimientos relacionados con los buckets de Amazon Simple Storage Service (Amazon S3), como AWS-ConfigureS3BucketLogging y AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock.

    El proceso de configuración en Quick Setup para Change Manager también pone a su disposición un conjunto de permisos administrativos completos de Systems Manager para que pueda aplicarlos a un rol administrativo que cree.

    Cada configuración de Change Manager en Quick Setup que implemente creará una función de trabajo en su cuenta de administrador delegado con permisos para ejecutar plantillas de Change Manager y manuales de procedimientos de Automation en las unidades organizativas que haya seleccionado. Puede crear hasta 15 configuraciones de Quick Setup para Change Manager.

  • Tarea 3: elegir qué cuentas miembro de su organización utilizar con Change Manager

    Puede utilizar Change Manager con todas las cuentas miembro de todas las unidades organizativas configuradas en Organizations y en todas las Regiones de AWS en las que funcionen. En cambio, si lo prefiere, puede usar Change Manager solo en algunas de sus unidades organizativas.

importante

Antes de comenzar este procedimiento, le recomendamos que lea sus pasos para comprender las opciones de configuración que va a elegir y los permisos que va a conceder. En particular, planifique las funciones de trabajo personalizadas que creará y los permisos que asignará a cada función de trabajo. Esto garantiza que cuando, más adelante, adjunte las políticas de función de trabajo que cree para los usuarios individuales, los grupos de usuarios o los roles de IAM, solo se les concedan los permisos que usted desea que tengan.

Como práctica recomendada, comience configurando la cuenta de administrador delegado mediante el inicio de sesión para un administrador de Cuenta de AWS. A continuación, configure las funciones de trabajo y sus permisos después de haber creado las plantillas de cambios e identificado los manuales de procedimientos que utilizará cada una.

Para configurar Change Manager para usarlo en una organización, lleve a cabo la siguiente tarea en el área de Quick Setup de la consola de Systems Manager.

Repita esta tarea para cada función de trabajo que desee crear para su organización. Cada función de trabajo que cree puede tener permisos para un conjunto diferente de unidades organizativas.

Para configurar una organización para Change Manager en la cuenta de administración de Organizations

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Quick Setup.

  3. En la tarjeta Change Manager, seleccione crear.

  4. En Delegated administrator account (Cuenta de administrador delegado), ingrese el ID de la Cuenta de AWS que desea utilizar para administrar las plantillas de cambios, las solicitudes de cambio y los flujos de trabajo del manual de procedimientos en Change Manager.

    Si con anterioridad ha especificado una cuenta de administrador delegado para Systems Manager, su ID ya se indicará en este campo.

    importante

    La cuenta de administrador delegado debe ser el único miembro de la unidad organizativa al que se asigne la capacidad en Organizations.

    Si la cuenta de administrador delegado registrada luego se anula de ese rol, el sistema elimina sus permisos para administrar las operaciones de Systems Manager al mismo tiempo. Tenga en cuenta que será necesario regresar a Quick Setup, designar una cuenta de administrador delegado diferente y volver a especificar todas las funciones de trabajo y los permisos.

    Si utiliza Change Manager en toda una organización, se recomienda efectuar siempre los cambios desde la cuenta de administrador delegado. Si bien es posible realizar cambios desde otras cuentas de la organización, esos cambios no se notificarán ni se podrán ver desde la cuenta de administrador delegado.

  5. En la sección Permissions to request and make changes (Permisos para solicitar y realizar cambios), haga lo siguiente.

    nota

    Cada configuración de implementación que cree proporcionará la política de permisos para una sola función de trabajo. Puede regresar a Quick Setup más adelante para crear más funciones de trabajo cuando haya creado plantillas de cambios para utilizarlas en sus operaciones.

    Para crear un rol administrativo: para una función de trabajo de administrador que tenga permisos de IAM para todas las acciones de AWS, realice lo siguiente.

    importante

    El otorgamiento de permisos administrativos completos a los usuarios debe realizarse con moderación y solo si sus roles requieren acceso completo a Systems Manager. Para obtener información importante acerca de los aspectos que deben tenerse en cuenta sobre la seguridad en el acceso a Systems Manager, consulte Administración de identidades y accesos en AWS Systems Manager y Prácticas recomendadas de seguridad para Systems Manager.

    1. En Job function (Función de trabajo), ingrese un nombre para identificar este rol y sus permisos, como MyAWSAdmin.

    2. En Role and permissions option (Opción de rol y permisos), elija Administrator permissions (Permisos de administrador).

    Para crear otras funciones de trabajo: para crear un rol no administrativo, haga lo siguiente.

    1. En Job function (Función de trabajo), ingrese un nombre para identificar este rol y sugerir sus permisos. El nombre que elija debe representar el alcance de los manuales de procedimientos para los que proporcionará permisos, como DBAdmin o S3Admin.

    2. En Role and permissions option (Opción de rol y permisos), elija Custom permissions (Permisos personalizados).

    3. En Permissions policy editor (Editor de políticas de permisos), ingrese los permisos de IAM, en formato JSON, que se concederán a esta función de trabajo.

    sugerencia

    Le recomendamos utilizar el editor de políticas de IAM para diseñar la política y, luego, pegar la política JSON en el campo Permissions policy (Política de permisos).

    Política de muestra: administración de bases de datos de DynamoDB

    Por ejemplo, puede comenzar con el contenido de la política que proporcione permisos para trabajar con los documentos de Systems Manager (documentos de SSM) a los que necesita acceder la función de trabajo. A continuación, se presenta un contenido de política de muestra que otorga acceso a todos los manuales de procedimientos de Automation administrados por AWS que se relacionen con las bases de datos de DynamoDB y dos plantillas de cambios que se han creado en la Cuenta de AWS 123456789012 de ejemplo, en la región Este de EE. UU. (Ohio) (us-east-2).

    La política también incluye permisos para la operación StartChangeRequestExecution, que es necesaria para crear una solicitud de cambio en Change Calendar.

    nota

    Este ejemplo no es exhaustivo. Es posible que se necesiten permisos adicionales para trabajar con otros recursos de AWS, como las bases de datos y los nodos.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:CreateDocument",
                "ssm:DescribeDocument",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeDocumentPermission",
                "ssm:GetDocument",
                "ssm:ListDocumentVersions",
                "ssm:ModifyDocumentPermission",
                "ssm:UpdateDocument",
                "ssm:UpdateDocumentDefaultVersion"
            ],
            "Resource": [
                "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup",
                "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
                "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
                "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate",
                "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*"
        }
    ]
}

    Para obtener más información acerca de las políticas de IAM, consulte Administración del acceso a los recursos de AWS y Creación de políticas de IAM en la Guía del usuario de IAM.

  6. En la sección Targets (Destinos), elija si desea conceder permisos para la función de trabajo que está creando a toda la organización o solo a algunas de sus unidades organizativas.

    Si elige Entire organization (Toda la organización), continúe con el paso 9.

    Si elige Custom (Personalizar), continúe con el paso 8.

  7. En la sección Target OUs (Unidades organizativas de destino), seleccione las casillas de verificación de las unidades organizativas en las que se utilizará Change Manager.

  8. Seleccione Crear.

Después de que el sistema termine de configurar Change Manager para su organización, mostrará un resumen de las implementaciones. Esta información de resumen incluye el nombre del rol que se creó para la función de trabajo que configuró. Por ejemplo, AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole.

nota

Quick Setup utiliza StackSets de AWS CloudFormation para implementar las configuraciones. También puede ver información acerca de una configuración de implementación completada en la consola de AWS CloudFormation. Para obtener más información acerca de StackSets, consulte Uso de StackSets de AWS CloudFormation en la Guía del usuario de AWS CloudFormation.

El siguiente paso consiste en configurar opciones de Change Manager adicionales. Puede completar esta tarea en su cuenta de administrador delegado o en cualquier cuenta de una unidad organizativa a la que haya permitido usar Change Manager. Puede configurar opciones, como elegir una opción de administración de identidades de usuarios, especificar qué usuarios pueden revisar y aprobar o rechazar las plantillas y las solicitudes de cambios, y elegir qué opciones de prácticas recomendadas se permitirán para su organización. Para obtener más información, consulte Configuración de opciones y prácticas recomendadas de Change Manager.