Consulta de datos de Inventory de varias regiones y cuentas
AWS Systems Manager Inventory se integra a Amazon Athena para ayudarlo a consultar los datos de inventario de varias Regiones de AWS y Cuentas de AWS. La integración de Athena utiliza la sincronización de datos de recursos, de modo que podrá visualizar los datos de inventario de todos los nodos administrados en la página Detail View (Vista de detalles) en la consola de AWS Systems Manager.
importante
Esta característica utiliza AWS Glue para rastrear los datos del bucket de Amazon Simple Storage Service (Amazon S3) y Amazon Athena para consultar los datos. En función de la cantidad de datos que haya consultado y rastreado, puede se le apliquen cargos por el uso de estos servicios. Con AWS Glue, paga una tarifa por hora, que se factura por segundo, por los rastreadores (detección de datos) y los trabajos de ETL (procesamiento y carga de datos). Con Athena, se le cobra en función del volumen de datos escaneados por cada consulta. Lo animamos a que consulte las directrices de precios de estos servicios antes de utilizar la integración de Amazon Athena a Systems Manager Inventory. Para obtener más información, consulte Precios de Amazon Athena
Puede ver los datos de inventario en la página Detailed View (Vista detallada) en todas las Regiones de AWS en las que Amazon Athena está disponible. Para ver una lista de las regiones admitidas, consulte Puntos de conexión de Amazon Athena en la Referencia general de Amazon Web Services.
Antes de empezar
La integración de Athena utiliza la sincronización de datos de recursos. Debe preparar y configurar la sincronización de datos de recursos para utilizar esta característica. Para obtener más información, consulte Configuración de la sincronización de datos de recursos para Inventory.
Además, tenga en cuenta que la página Detailed View (Vista detallada) muestra los datos de inventario del propietario del bucket de Amazon S3 central que utiliza la sincronización de datos de recursos. Si no es el propietario del bucket de Amazon S3 central, no verá los datos de inventario en la página Detailed View (Vista detallada).
Configuración del acceso
Antes de que pueda consultar y visualizar los datos de varias cuentas y regiones en la página Vista detallada en la consola de Systems Manager, debe configurar su entidad de IAM con permiso para ver los datos.
Si los datos de inventario se almacenan en un bucket de Amazon S3 que utiliza cifrado de AWS Key Management Service (AWS KMS), también configure la entidad de IAM y el rol de servicio Amazon-GlueServiceRoleForSSM para el cifrado de AWS KMS.
Temas
Configuración de la entidad de IAM para acceder a la página Vista detallada
A continuación se describen los permisos mínimos necesarios para ver los datos del inventario en la página Vista Detallada.
La política administrada AWSQuicksightAthenaAccess
El siguiente PassRole y bloque de permisos necesarios adicionales
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGlue", "Effect": "Allow", "Action": [ "glue:GetCrawler", "glue:GetCrawlers", "glue:GetTables", "glue:StartCrawler", "glue:CreateCrawler" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "glue.amazonaws.com" } } }, { "Sid": "iamRoleCreation", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:AttachRolePolicy" ], "Resource": "arn:aws:iam::account_ID:role/*" }, { "Sid": "iamPolicyCreation", "Effect": "Allow", "Action": "iam:CreatePolicy", "Resource": "arn:aws:iam::account_ID:policy/*" } ] }
(Opcional) Si el bucket de Amazon S3 que se utiliza para almacenar datos de inventario está cifrado con AWS KMS, también agregue el siguiente bloque a la política.
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] }
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
-
Usuarios administrados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
(Opcional) Configuración de permisos para ver datos cifrados de AWS KMS
Si el bucket de Amazon S3 que se utiliza para almacenar datos de inventario está cifrado con AWS Key Management Service (AWS KMS), configure su entidad de IAM y el rol Amazon-GlueServiceRoleForSSM con permisos kms:Decrypt para la clave de AWS KMS.
Antes de empezar
Para proporcionar los permisos kms:Decrypt de la clave AWS KMS, agregue el siguiente bloque de políticas a su entidad de IAM:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] }
Si aún no lo ha hecho, complete ese procedimiento y agregue los permisos de kms:Decrypt para la clave de AWS KMS.
Utilice el siguiente procedimiento para configurar el rol Amazon-GlueServiceRoleForSSM con los permisos de kms:Decrypt para la clave de AWS KMS.
Para configurar el rol Amazon-GlueServiceRoleForSSM con los permisos de kms:Decrypt
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, elija Roles y, a continuación, utilice el campo de búsqueda para ubicar el rol Amazon-GlueServiceRoleForSSM. Se abre la página Resumen.
-
Utilice el campo de búsqueda para buscar el rol Amazon-GlueServiceRoleForSSM. Elija el nombre del rol . Se abre la página Resumen.
-
Elija el nombre del rol . Se abre la página Resumen.
-
Elija Agregar política insertada. Se abre la página Crear política.
-
Seleccione la pestaña JSON.
-
Elimine el texto JSON existente en el editor y, a continuación, copie y pegue la siguiente política en el editor de JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] } ] } -
Elija Revisar la política
-
En la página Revisar política, escriba un nombre en el campo Nombre.
-
Elija Crear política.
Consulta de datos en la página Detailed Inventory View (Vista de inventario detallado)
Utilice el siguiente procedimiento para ver los datos de inventario de varias Regiones de AWS y Cuentas de AWS en la página Detailed View (Vista detallada) de Systems Manager Inventory.
importante
La página Detailed View (Vista detallada) de Inventory solo está disponible en las Regiones de AWS que ofrece Amazon Athena. Si las siguientes pestañas no se muestran en la página de Systems Manager Inventory, significa que Athena no está disponible en la región y que no puede utilizar la Detailed View (Vista detallada) para consultar datos.
Para ver los datos de inventario de varias regiones y cuentas en la consola de AWS Systems Manager
Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/
. En el panel de navegación, elija Inventory.
-
Elija la pestaña Detailed View (Vista detallada).
-
Seleccione la sincronización de datos de recursos para la que desea consultar datos.
-
En la lista Inventory Type (Tipo de inventario), seleccione el tipo de datos de inventario que desea consultar y, a continuación, pulse Enter.
-
Para filtrar los datos, elija la barra Filtro y, a continuación, elija una opción de filtro.
Puede utilizar el botón Export to CSV (Exportar a CSV) para ver el conjunto de consultas actual en una aplicación de hoja de cálculo como Microsoft Excel. También puede utilizar los botones Query History (Historial de consultas) y Run Advanced Queries (Ejecutar consultas avanzadas) para ver detalles sobre el historial e interactuar con sus datos en Amazon Athena.
Edición de la programación del rastreador de AWS Glue
AWS Glue rastrea los datos de inventario en el bucket de Amazon S3 central dos veces al día y de forma predeterminada. Si cambia con frecuencia los tipos de datos que se recopilarán en los nodos, es posible que desee rastrear los datos con mayor frecuencia, tal y como se describe en el siguiente procedimiento.
importante
Con AWS Glue, paga una tarifa por hora por Cuenta de AWS, que se factura por segundo, por los rastreadores (detección de datos) y los trabajos de ETL (procesamiento y carga de datos). Antes de cambiar la programación del rastreador, consulte la página de precios de AWS Glue
Para cambiar la programación del rastreador de datos de inventario
Abra la consola de AWS Glue en https://console.aws.amazon.com/glue/
. -
En el panel de navegación, elija Crawlers (Rastreadores).
-
En la lista de rastreadores, elija la opción que aparece junto al rastreador de datos de Systems Manager Inventory. El nombre del rastreador utiliza el formato siguiente:
AWSSystemsManager-amzn-s3-demo-bucket-Region-account_ID -
Elija Acción y, a continuación, seleccione Edit crawler (Editar rastreador).
-
En el panel de navegación, seleccione Schedule (Programación).
-
En el campo Expresión Cron, especifique una nueva programación mediante un formato Cron. Para obtener más información acerca del formato Cron, consulte Programaciones basadas en tiempo para trabajos y rastreadores en la Guía para desarrolladores de AWS Glue.
importante
Puede detener el rastreador para dejar de incurrir en gastos de AWS Glue. Si pone en pausa el rastreador o si cambia la frecuencia de tal forma que los datos se rastreen con menos frecuencia, Detailed View (Vista detallada) de Inventory podría mostrar datos que no están actualizados.
