Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
(Facultatif) Configuration manuelle OpsCenter pour une gestion OpsItems centralisée des comptes
Cette section décrit comment configurer manuellement OpsCenter pour la gestion OpsItem multicomptes. Bien que ce processus soit toujours pris en charge, il a été remplacé par un processus plus récent qui utilise Systems Manager Quick Setup. Pour de plus amples informations, veuillez consulter (Facultatif) Configurer OpsCenter pour gérer OpsItems sur plusieurs comptes à l'aide de Quick Setup.
Vous pouvez configurer un compte central pour créer manuellement des OpsItems pour les comptes membre, et gérer et corriger ces OpsItems. Le compte central peut être le compte de AWS Organizations gestion, ou à la fois le compte AWS Organizations de gestion et le compte d'administrateur délégué de Systems Manager. Nous vous recommandons d'utiliser le compte d'administrateur délégué de Systems Manager comme compte central. Vous ne pouvez utiliser cette fonction qu'après avoir configuré AWS Organizations.
Vous pouvez ainsi en consolider plusieurs au Comptes AWS sein d'une organisation que vous créez et gérez de manière centralisée. AWS Organizations L'utilisateur du compte central peut créer simultanément des OpsItems pour les comptes de tous les membres sélectionnés et gérer ces OpsItems.
Utilisez le processus décrit dans cette section pour activer le principal du service Systems Manager dans Organizations et configurer AWS Identity and Access Management (IAM) les autorisations pour travailler avec OpsItems plusieurs comptes.
Rubriques
- Avant de commencer
- Étapo 1 : Création d'une synchronisation des données de ressource
- Étape 2 : Activation du principal de service Systems Manager dans AWS Organizations
- Étape 3 : Création du rôle lié au service AWSServiceRoleForAmazonSSM_AccountDiscovery
- Étape 4 : Configuration des autorisations pour travailler sur les OpsItems de plusieurs comptes
- Étape 5 : Configuration des autorisations pour utiliser des ressources connexes sur plusieurs comptes
Note
Seuls les OpsItems de type /aws/issue sont pris en charge lors de l'utilisation d'OpsCenter sur plusieurs comptes.
Avant de commencer
Avant de configurer OpsCenter pour travailler sur lesOpsItems de plusieurs comptes, assurez-vous d'avoir configuré les éléments suivants :
-
Un compte administrateur délégué pour Systems Manager Pour de plus amples informations, veuillez consulter Configuration d'un administrateur délégué pour Explorer.
-
Une organisation définie et configurée dans Organizations. Pour plus d'informations, consultez la rubrique Création et gestion d'une organisation dans le Guide de l'utilisateur AWS Organizations .
-
Vous avez configuré Systems Manager Automation pour exécuter des runbooks d'automatisation sur plusieurs Régions AWS AWS comptes. Pour de plus amples informations, veuillez consulter Exécution d'automatisations dans plusieurs Régions AWS comptes.
Étapo 1 : Création d'une synchronisation des données de ressource
Après avoir configuré et configuré AWS Organizations, vous pouvez les agréger OpsItems OpsCenter pour l'ensemble d'une organisation en créant une synchronisation des données de ressources. Pour de plus amples informations, veuillez consulter Création d'une synchronisation des données de ressource. Lorsque vous créez la synchronisation, dans la section Ajouter des comptes, assurez-vous de choisir l'option Inclure tous les comptes depuis ma AWS Organizations configuration.
Étape 2 : Activation du principal de service Systems Manager dans AWS Organizations
Pour permettre à un utilisateur de travailler avec OpsItems plusieurs comptes, le principal de service Systems Manager doit être activé dans AWS Organizations. Si vous avez déjà configuré Systems Manager pour des scénarios multicomptes à l'aide d'autres fonctionnalités, le principal du service Systems Manager est peut-être déjà configuré dans Organizations. Exécutez les commandes suivantes à partir du AWS Command Line Interface (AWS CLI) pour vérifier. Si vous n'avez pas configuré Systems Manager pour d'autres scénarios multicomptes, passez à la procédure suivante, à savoir Activer le principal de service Systems Manager dans AWS Organizations.
Pour vérifier que le principal de service Systems Manager est activé dans AWS Organizations
-
Téléchargez
la dernière version du sur AWS CLI votre ordinateur local. -
Ouvrez le AWS CLI et exécutez la commande suivante pour spécifier vos informations d'identification et un Région AWS.
aws configureLe système vous invite à spécifier les informations suivantes. Dans l'exemple suivant, remplacez chaque
user input placeholderavec vos propres informations.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Exécutez la commande suivante pour vérifier que le principal de service Systems Manager est activé pour AWS Organizations.
aws organizations list-aws-service-access-for-organizationLa commande renvoie des informations semblables à celles de l'exemple suivant.
{ "EnabledServicePrincipals": [ { "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com", "DateEnabled": "2020-12-11T16:32:27.732000-08:00" }, { "ServicePrincipal": "opsdatasync.ssm.amazonaws.com", "DateEnabled": "2022-01-19T12:30:48.352000-08:00" }, { "ServicePrincipal": "ssm.amazonaws.com", "DateEnabled": "2020-12-11T16:32:26.599000-08:00" } ] }
Pour activer le principal de service Systems Manager dans AWS Organizations
Si vous n'avez pas encore configuré le principal de service Systems Manager pour Organizations, procédez comme suit. Pour plus d'informations sur cette commande, consultez enable-aws-service-access
-
Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait. Pour plus d'informations, consultez la section Installation CLI et configuration CLI.
-
Téléchargez
la dernière version du sur AWS CLI votre ordinateur local. -
Ouvrez le AWS CLI et exécutez la commande suivante pour spécifier vos informations d'identification et un Région AWS.
aws configureLe système vous invite à spécifier les informations suivantes. Dans l'exemple suivant, remplacez chaque
user input placeholderavec vos propres informations.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Exécutez la commande suivante pour activer le principal de service Systems Manager pour AWS Organizations.
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
Étape 3 : Création du rôle lié au service AWSServiceRoleForAmazonSSM_AccountDiscovery
Un rôle lié à un service tel que le AWSServiceRoleForAmazonSSM_AccountDiscovery rôle est un type unique de IAM rôle directement lié à un Service AWS, tel que Systems Manager. Les rôles liés au service sont prédéfinis par le service et incluent toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom. Pour de plus amples informations sur le rôle lié à un service AWSServiceRoleForAmazonSSM_AccountDiscovery, consultez Autorisations des rôles liés à un service pour Systems Manager découverte de comptes.
Utilisez la procédure suivante pour créer le rôle lié à service AWSServiceRoleForAmazonSSM_AccountDiscovery à l'aide de l' AWS CLI. Pour plus d'informations sur la commande utilisée dans cette procédure, consultez create-service-linked-role
Créer le rôle lié à un service AWSServiceRoleForAmazonSSM_AccountDiscovery
-
Connectez-vous au compte de AWS Organizations gestion.
-
Lorsque vous êtes connecté au compte de gestion d'Organizations, exécutez la commande suivante.
aws iam create-service-linked-role \ --aws-service-name accountdiscovery.ssm.amazonaws.com \ --description "Systems Manager account discovery for AWS Organizations service-linked role"
Étape 4 : Configuration des autorisations pour travailler sur les OpsItems de plusieurs comptes
Utilisez des AWS CloudFormation stacksets pour créer une politique de OpsItemGroup ressources et un rôle IAM d'exécution qui autorisent les utilisateurs à travailler avec OpsItems plusieurs comptes. Pour commencer, téléchargez et décompressez le fichier OpsCenterCrossAccountMembers.zip. Ce fichier contient le fichier OpsCenterCrossAccountMembers.yaml AWS CloudFormation
modèle. Lorsque vous créez un ensemble de piles à l'aide de ce modèle, la politique de OpsItemCrossAccountResourcePolicy ressources et le rôle OpsItemCrossAccountExecutionRole d'exécution sont CloudFormation automatiquement créés dans le compte. Pour plus d'informations sur la création de jeux de piles, consultez la rubrique Créer un ensemble de piles dans le Guide de l'utilisateur AWS CloudFormation .
Important
Veuillez tenir compte des informations importantes suivantes relatives à cette tâche :
-
Vous devez déployer l'ensemble de piles tout en étant connecté au compte de gestion AWS Organizations .
-
Vous devez répéter cette procédure lorsque vous êtes connecté à chaque compte que vous souhaitez cibler pour utiliser des OpsItems sur plusieurs comptes, y compris le compte d'administrateur délégué.
-
Si vous souhaitez activer OpsItems l'administration entre comptes dans d'autres applications Régions AWS, choisissez Ajouter toutes les régions dans la section Spécifier les régions du modèle. L'administration intercompte OpsItem n'est pas prise en charge dans les régions d'adhésion.
Étape 5 : Configuration des autorisations pour utiliser des ressources connexes sur plusieurs comptes
Cela OpsItem peut inclure des informations détaillées sur les ressources concernées, telles que les instances Amazon Elastic Compute Cloud (AmazonEC2) ou les buckets Amazon Simple Storage Service (Amazon S3). Le rôle d'exécution OpsItemCrossAccountExecutionRole, que vous avez créé lors de l'étape précédente, fournit à OpsCenter des autorisations en lecture seule permettant aux comptes membre de consulter les ressources connexes. Vous devez également créer un IAM rôle pour autoriser les comptes de gestion à consulter les ressources associées et à interagir avec celles-ci, ce que vous allez effectuer dans le cadre de cette tâche.
Pour commencer, téléchargez et décompressez le fichier OpsCenterCrossAccountManagementRole.zip. Ce fichier contient le fichier OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation modèle. Lorsque vous créez une pile à l'aide de ce modèle, le OpsCenterCrossAccountManagementRole IAM rôle est CloudFormation automatiquement créé dans le compte. Pour plus d'informations sur la création d'une pile, consultez la section Création d'une pile sur la AWS CloudFormation console dans le Guide de AWS CloudFormation l'utilisateur.
Important
Veuillez tenir compte des informations importantes suivantes relatives à cette tâche :
-
Si vous prévoyez de spécifier un compte en tant qu'administrateur délégué pourOpsCenter, veillez à le spécifier Compte AWS lors de la création de la pile.
-
Vous devez effectuer cette procédure lorsque vous êtes connecté au compte de gestion AWS Organizations , puis à nouveau lorsque vous êtes connecté au compte d'administrateur délégué.
