(Facultatif) Configuration manuelle OpsCenter pour gérer de manière centralisée OpsItems sur plusieurs comptes - AWS Systems Manager
Avant de commencerÉtapo 1 : Création d'une synchronisation des données de ressourceÉtape 2 : Activation du principal de service Systems Manager dans AWS OrganizationsÉtape 3 : Création du rôle lié au service AWSServiceRoleForAmazonSSM_AccountDiscoveryÉtape 4 : Configuration des autorisations avec lesquelles travailler OpsItems sur plusieurs comptesÉtape 5 : Configuration des autorisations pour utiliser des ressources connexes sur plusieurs comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

(Facultatif) Configuration manuelle OpsCenter pour gérer de manière centralisée OpsItems sur plusieurs comptes

Cette section décrit comment configurer manuellement OpsCenter pour comptes multiples OpsItem gestion. Bien que ce processus soit toujours pris en charge, il a été remplacé par un processus plus récent qui utilise Systems Manager Quick Setup. Pour plus d'informations, consultez(Facultatif) Configurer OpsCenter pour gérer OpsItems sur plusieurs comptes en utilisant Quick Setup.

Vous pouvez configurer un compte central pour créer un manuel OpsItems pour les comptes des membres, et gérez-les et corrigez-les OpsItems. Le compte central peut être le compte de AWS Organizations gestion, ou à la fois le compte AWS Organizations de gestion et le compte d'administrateur délégué de Systems Manager. Nous vous recommandons d'utiliser le compte d'administrateur délégué de Systems Manager comme compte central. Vous ne pouvez utiliser cette fonction qu'après avoir configuré AWS Organizations.

Vous pouvez ainsi en consolider plusieurs au Comptes AWS sein d'une organisation que vous créez et gérez de manière centralisée. AWS Organizations L'utilisateur du compte central peut créer OpsItems pour tous les comptes de membres sélectionnés simultanément, et gérez-les OpsItems.

Utilisez le processus décrit dans cette section pour activer le principal de service Systems Manager dans Organizations et configurer les autorisations AWS Identity and Access Management (IAM) pour travailler avec OpsItems sur plusieurs comptes.

Note

Uniquement OpsItems de type /aws/issue sont pris en charge lorsque vous travaillez dans OpsCenter sur plusieurs comptes.

Avant de commencer

Avant de procéder à la configuration OpsCenter pour travailler avec OpsItems pour tous les comptes, assurez-vous d'avoir configuré les éléments suivants :

Étapo 1 : Création d'une synchronisation des données de ressource

Après avoir configuré et configuré AWS Organizations, vous pouvez agréger OpsItems dans OpsCenter pour l'ensemble d'une organisation en créant une synchronisation des données de ressources. Pour de plus amples informations, veuillez consulter Création d'une synchronisation des données de ressource. Lorsque vous créez la synchronisation, dans la section Ajouter des comptes, veillez à choisir l’option Inclure tous les comptes de ma configuration AWS Organizations .

Étape 2 : Activation du principal de service Systems Manager dans AWS Organizations

Pour permettre à un utilisateur de travailler avec OpsItems sur tous les comptes, le principal de service Systems Manager doit être activé dans AWS Organizations. Si vous avez déjà configuré Systems Manager pour des scénarios multi-comptes à l'aide d'autres outils, le principal de service Systems Manager est peut-être déjà configuré dans Organizations. Exécutez les commandes suivantes de l' AWS Command Line Interface (AWS CLI) pour vérifier. Si vous n'avez pas configuré Systems Manager pour d'autres scénarios multicomptes, passez à la procédure suivante, à savoir Activer le principal de service Systems Manager dans AWS Organizations.

Pour vérifier que le principal de service Systems Manager est activé dans AWS Organizations

  1. Téléchargez la dernière version du sur AWS CLI votre ordinateur local.

  2. Ouvrez le AWS CLI, et exécutez la commande suivante pour spécifier vos informations d'identification et un Région AWS.

    aws configure

    Le système vous invite à spécifier les informations suivantes. Dans l'exemple suivant, remplacez chacune user input placeholder par vos propres informations.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  3. Exécutez la commande suivante pour vérifier que le principal de service Systems Manager est activé pour AWS Organizations.

    aws organizations list-aws-service-access-for-organization

    La commande renvoie des informations semblables à celles de l'exemple suivant.

    {
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}
Pour activer le principal de service Systems Manager dans AWS Organizations

Si vous n'avez pas encore configuré le principal de service Systems Manager pour Organizations, procédez comme suit. Pour plus d'informations sur cette commande, reportez-vous enable-aws-service-accessà la référence des AWS CLI commandes.

  1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait. Pour de plus amples informations, consultez Installation d' et Configuration de l'.

  2. Téléchargez la dernière version du sur AWS CLI votre ordinateur local.

  3. Ouvrez le AWS CLI, et exécutez la commande suivante pour spécifier vos informations d'identification et un Région AWS.

    aws configure

    Le système vous invite à spécifier les informations suivantes. Dans l'exemple suivant, remplacez chacune user input placeholder par vos propres informations.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  4. Exécutez la commande suivante pour activer le principal de service Systems Manager pour AWS Organizations.

    aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

Étape 3 : Création du rôle lié au service AWSServiceRoleForAmazonSSM_AccountDiscovery

Un rôle lié à un service tel que le AWSServiceRoleForAmazonSSM_AccountDiscovery rôle est un type unique de rôle IAM directement lié à un Service AWS, tel que Systems Manager. Les rôles liés au service sont prédéfinis par le service et incluent toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom. Pour de plus amples informations sur le rôle lié à un service AWSServiceRoleForAmazonSSM_AccountDiscovery, consultez Autorisations des rôles liés à un service pour Systems Manager découverte de comptes.

Utilisez la procédure suivante pour créer le rôle lié à service AWSServiceRoleForAmazonSSM_AccountDiscovery à l'aide de l' AWS CLI. Pour plus d'informations sur la commande utilisée dans cette procédure, reportez-vous create-service-linked-roleà la référence des AWS CLI commandes.

Créer le rôle lié à un service AWSServiceRoleForAmazonSSM_AccountDiscovery

  1. Connectez-vous au compte de AWS Organizations gestion.

  2. Lorsque vous êtes connecté au compte de gestion d'Organizations, exécutez la commande suivante.

    aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

Étape 4 : Configuration des autorisations avec lesquelles travailler OpsItems sur plusieurs comptes

Utilisez des AWS CloudFormation stacksets pour créer une politique de OpsItemGroup ressources et un rôle d'exécution IAM qui autorisent les utilisateurs à travailler avec OpsItems sur plusieurs comptes. Pour commencer, téléchargez et décompressez le fichier OpsCenterCrossAccountMembers.zip. Ce fichier contient le fichier OpsCenterCrossAccountMembers.yaml AWS CloudFormation modèle. Lorsque vous créez un ensemble de piles à l'aide de ce modèle, la politique de OpsItemCrossAccountResourcePolicy ressources et le rôle OpsItemCrossAccountExecutionRole d'exécution sont CloudFormation automatiquement créés dans le compte. Pour plus d'informations sur la création de jeux de piles, consultez la rubrique Créer un ensemble de piles dans le Guide de l'utilisateur AWS CloudFormation .

Important

Veuillez tenir compte des informations importantes suivantes relatives à cette tâche :

  • Vous devez déployer l'ensemble de piles tout en étant connecté au compte de gestion AWS Organizations .

  • Vous devez répéter cette procédure lorsque vous êtes connecté à chaque compte que vous souhaitez cibler pour travailler OpsItems entre les comptes, y compris le compte d'administrateur délégué.

  • Si vous souhaitez activer les comptes multiples OpsItems administration différente Régions AWS, choisissez Ajouter toutes les régions dans la section Spécifier les régions du modèle. Compte croisé OpsItem l'administration n'est pas prise en charge pour les régions optionnelles.

Un OpsItem peut inclure des informations détaillées sur les ressources concernées, telles que les instances Amazon Elastic Compute Cloud (Amazon EC2) ou les buckets Amazon Simple Storage Service (Amazon S3). Le rôle OpsItemCrossAccountExecutionRole d'exécution, que vous avez créé à l'étape 4 précédente, fournit OpsCenter avec des autorisations en lecture seule permettant aux comptes membres de consulter les ressources associées. Vous devez également créer un rôle IAM pour autoriser les comptes de gestion à consulter les ressources connexes et à interagir avec elles, ce que vous effectuerez au cours de cette tâche.

Pour commencer, téléchargez et décompressez le fichier OpsCenterCrossAccountManagementRole.zip. Ce fichier contient le fichier OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation modèle. Lorsque vous créez une pile à l'aide de ce modèle, le rôle OpsCenterCrossAccountManagementRole IAM est CloudFormation automatiquement créé dans le compte. Pour plus d'informations sur la création d'une pile, consultez la section Création d'une pile sur la AWS CloudFormation console dans le Guide de AWS CloudFormation l'utilisateur.

Important

Veuillez tenir compte des informations importantes suivantes relatives à cette tâche :

  • Si vous envisagez de définir un compte en tant qu'administrateur délégué pour OpsCenter, veillez à le spécifier Compte AWS lorsque vous créez la pile.

  • Vous devez effectuer cette procédure lorsque vous êtes connecté au compte de gestion AWS Organizations , puis à nouveau lorsque vous êtes connecté au compte d'administrateur délégué.