Introducción a Quick Setup
Utilice la información de este tema como ayuda para prepararse para usar Quick Setup.
Roles y permisos de IAM para la incorporación de Quick Setup
El 1 de julio de 2024, Quick Setup lanzó una nueva experiencia de consola y una API también nueva. Puede suscribirse a la nueva experiencia ahora pulsando el botón de suscripción que aparece en el banner de la parte superior de la consola de Quick Setup. Si opta por la nueva experiencia, las configuraciones existentes se recrearán con la nueva API. Este proceso puede tardar varios minutos, según el número de configuraciones existentes en la cuenta.
Para poder usar la nueva consola de Quick Setup, debe tener permisos para las acciones siguientes:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm-quicksetup:*", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:ListStackSetOperations", "cloudformation:ListStackInstances", "cloudformation:DescribeStackSet", "cloudformation:ListStackSets", "cloudformation:DescribeStackInstance", "cloudformation:DescribeOrganizationsAccess", "cloudformation:ActivateOrganizationsAccess", "cloudformation:GetTemplate", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStackEvents", "ec2:DescribeInstances", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:ListDocuments", "ssm:DescribeDocument", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks", "ssm:GetOpsSummary", "organizations:DeregisterDelegatedAdministrator", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "resource-groups:ListGroups", "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:CreatePolicy", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "cloudformation:TagResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:RollbackStack", "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStackSet", "cloudformation:UpdateStackSet", "cloudformation:DeleteStackSet", "cloudformation:DeleteStackInstances", "cloudformation:CreateStackInstances", "cloudformation:StopStackSetOperation" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:PassRole", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Effect": "Allow", "Action": [ "ssm:DeleteAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "accountdiscovery.ssm.amazonaws.com", "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "stacksets.cloudformation.amazonaws.com" ] } }, "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin" } ] }
Para restringir a los usuarios a permisos de solo lectura, solo permita operaciones de ssm-quicksetup:List* y ssm-quicksetup:Get* para la API de Quick Setup.
Durante la incorporación, Quick Setup crea los siguientes roles de AWS Identity and Access Management (IAM) en su nombre:
-
AWS-QuickSetup-LocalExecutionRole: otorga permisos de AWS CloudFormation para usar cualquier plantilla, excepto la plantilla de política de revisiones, y para crear los recursos necesarios. -
AWS-QuickSetup-LocalAdministrationRole: Otorga a AWS CloudFormation el permiso para asumirAWS-QuickSetup-LocalExecutionRole. -
AWS-QuickSetup-PatchPolicy-LocalExecutionRole: otorga permisos a AWS CloudFormation para usar la plantilla de política de revisioens y crear los recursos necesarios. -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole: Otorga a AWS CloudFormation el permiso para asumirAWS-QuickSetup-PatchPolicy-LocalExecutionRole.
Si va a incorporar una cuenta de administración (la cuenta en la que crea una organización en AWS Organizations), Quick Setup también crea los siguientes roles en su nombre:
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer: Otorga los permisos al runbook de automatizaciónAWS-EnableExplorer. El manual de procedimientosAWS-EnableExplorerconfigura Explorer, una capacidad de Systems Manager, para mostrar información de varias Cuentas de AWS y Regiones de AWS. -
AWSServiceRoleForAmazonSSM: Rol vinculado a un servicio que otorga el acceso a los recursos administrados de AWS y utilizados por Systems Manager. -
AWSServiceRoleForAmazonSSM_AccountDiscovery: un rol vinculado a servicio que otorga los permisos a Systems Manager para llamar a los Servicios de AWS para detectar información de las cuentas de Cuenta de AWS al sincronizar datos. Para obtener más información, consulte Acerca del rol AWSServiceRoleForAmazonSSM_AccountDiscovery.
Al incorporar una cuenta de administración, Quick Setup permite el acceso de confianza entre AWS Organizations y CloudFormation para implementar configuraciones de Quick Setup en toda la organización. Para habilitar el acceso de confianza, su cuenta de administración debe tener permisos de administrador. Tras la incorporación, ya no necesita los permisos de administrador. Para obtener más información, consulte Activar el acceso de confianza con Organizations.
Para obtener más información sobre los tipos de cuenta de AWS Organizations, consulte Conceptos y terminología de AWS Organizations en la Guía del usuario de AWS Organizations.
nota
Quick Setup utiliza StackSets de AWS CloudFormation para implementar las configuraciones en las Cuentas de AWS y regiones. Si el número de cuentas de destino multiplicado por el número de regiones supera las 10 000, la configuración no se implementará. Le recomendamos revisar su caso de uso y crear configuraciones que utilicen menos objetivos para adaptarse al crecimiento de su organización. Las instancias de pila no se implementan en la cuenta de administración de su organización. Para obtener mas información, consulte Consideraciones al crear un conjunto de pilas con permisos administrados por servicios.
