Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la synchronisation de données de ressource pour Inventory
Cette rubrique décrit comment configurer la synchronisation des données de ressource pour l'inventaire AWS Systems Manager. Pour de plus amples informations sur la synchronisation des données de ressource pour Systems Manager Explorer, consultez Configuration de Systems Manager Explorer de sorte à afficher les données de plusieurs comptes et Régions.
À propos de la synchronisation des données de ressource
Vous pouvez utiliser la synchronisation des données de ressources Systems Manager pour envoyer les données d'inventaire collectées à partir de toutes vos nœuds gérés vers un même compartiment Amazon Simple Storage Service (Amazon S3). La synchronisation des données de ressource met alors automatiquement à jour les données centralisées lors de la collecte de nouvelles données d'inventaire. Toutes les données d'inventaire étant stockées dans un compartiment Amazon S3 cible, vous pouvez utiliser des services tels qu'Amazon Athena et Amazon QuickSight pour interroger et analyser les données agrégées.
Par exemple, vous avez configure l'inventaire pour la collecte des données relatives au système d'exploitation (OS) et aux applications qui s'exécutent sur une série de 150 nœuds gérés. Certains de ces nœuds sont localisés dans un centre de données sur site, d'autres sont exécutés dans Amazon Elastic Compute Cloud (Amazon EC2) parmi plusieurs Régions AWS. Si vous n'avez pas configuré la synchronisation des données de ressource, vous devez soit rassembler manuellement les données d'inventaire collectées pour chaque nœud géré, soit créer des scripts pour rassembler ces informations. Vous devriez alors transférer les données vers une application afin de pouvoir les interroger et les analyser.
Grâce à la synchronisation des données de ressource, vous pouvez synchroniser toutes les données d'inventaire provenant de toutes vos nœuds gérés en une seule opération. Une fois la synchronisation réalisée avec succès, Systems Manager crée une référence pour toutes les données d'inventaire et les enregistre dans le compartiment Amazon S3 cible. Une fois les nouvelles données d'inventaire collectées, Systems Manager met automatiquement à jour les données dans le compartiment Amazon S3. Vous pouvez ensuite transférer les données rapidement et à moindre coût vers Amazon Athena et Amazon. QuickSight
Le diagramme 1 montre comment la synchronisation de données de ressources rassemble les données d'inventaire provenant d'Amazon EC2 et d'autres types de machines dans un environnement hybride et multicloud vers un compartiment Amazon S3 cible. Ce diagramme montre également comment la synchronisation des données de ressources fonctionne avec plusieurs Comptes AWS et Régions AWS.
Diagramme 1 : synchronisation de données de ressources avec Comptes AWS et Régions AWS
Si vous supprimez un nœud géré, la synchronisation des données de ressource conserve le fichier d'inventaire pour le nœud supprimé. Néanmoins, pour les nœuds en cours d'exécution, la synchronisation des données de ressource écrase les anciens fichiers d'inventaire lors de la création et de l'écriture de nouveaux fichiers sur le compartiment Amazon S3. Si vous souhaitez suivre les modifications d'inventaire au fil du temps, vous pouvez utiliser le service AWS Config pour suivre le type de ressource SSM:ManagedInstanceInventory. Pour en savoir plus, consultez Mise en route avec AWS Config.
Utilisez les procédures décrites dans cette section pour créer une synchronisation des données de ressource pour l'inventaire à l'aide des consoles Amazon S3 et AWS Systems Manager. Vous pouvez également utiliser AWS CloudFormation pour créer ou supprimer une synchronisation de données de ressources. Pour utiliser AWS CloudFormation, ajoutez la ressource AWS::SSM::ResourceDataSync à votre modèle AWS CloudFormation. Pour de plus amples informations, consultez l'une des ressources de documentation suivantes :
-
AWS CloudFormation resource for resource data sync in AWS Systems Manager
(blog) -
Utilisation de modèles AWS CloudFormation dans le Guide de l'utilisateur AWS CloudFormation
Note
Vous pouvez utiliser AWS Key Management Service (AWS KMS) pour chiffrer les données d'inventaire dans le compartiment Amazon S3. Pour un exemple de création d'une synchronisation chiffrée à l'aide de AWS Command Line Interface (AWS CLI) et d'utilisation des données centralisées dans Amazon Athena et Amazon QuickSight, consultez. Démonstration : utiliser la synchronisation de données de ressources pour regrouper les données d'inventaire
Avant de commencer
Avant de créer une synchronisation des données de ressource, appliquez la procédure suivante pour créer un compartiment Amazon S3 central pour stocker les données d'inventaire agrégées. La procédure décrit comment affecter une politique de compartiment qui permet à Systems Manager d'écrire des données d'inventaire dans le compartiment à partir de plusieurs comptes. Si vous disposez déjà d'un compartiment Amazon S3 que vous souhaitez utiliser pour agréger les données d'inventaire pour la synchronisation des données de ressource, vous devez configurer celui-ci pour qu'il utilise la politique dans la procédure suivante.
Note
Systems Manager Inventory ne peut pas ajouter de données à un compartiment Amazon S3 spécifié si celui-ci est configuré pour utiliser Object Lock. Vérifiez que le compartiment Amazon S3 que vous créez ou sélectionnez pour la synchronisation de données de ressources n'est pas configuré pour utiliser Amazon S3 Object Lock. Pour plus d'informations, consultez Présentation de la fonctionnalité de verrouillage des objets Amazon S3, consultez le Guide de l'utilisateur d'Amazon Simple Storage Service.
Pour créer et configurer un compartiment Amazon S3 pour la synchronisation de données de ressources
Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/
. -
Créez un compartiment pour stocker vos données d'inventaire rassemblées. Pour plus d'informations, consultez Création d'un compartiment dans le Guide de l'utilisateur d'Amazon Simple Storage Service. Notez le nom du compartiment et la Région AWS dans laquelle vous l'avez créé.
-
Sélectionnez l'onglet Autorisations, puis Politique de compartiment.
-
Copiez et collez la politique de compartiment suivante dans l'éditeur de politique. Remplacez
DOC-EXAMPLE-BUCKETetaccount-idpar le nom du compartiment S3 créé et un ID de Compte AWS valable.Pour activer plusieurs Comptes AWS pour envoyer les données d'inventaire vers le compartiment Amazon S3 central, spécifiez chaque compte dans la politique, comme illustré dans l'exemple
Resourcesuivant :"Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/accountid=123456789012/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/accountid=444455556666/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/accountid=777788889999/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "123456789012", "444455556666", "777788889999" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:ssm:*:123456789012:resource-data-sync/*", "arn:aws:ssm:*:444455556666:resource-data-sync/*", "arn:aws:ssm:*:777788889999:resource-data-sync/*" ] } }Note
Pour plus d'informations sur l'affichage de votre ID de Compte AWS, consultez Votre ID de compte Amazon Web Services et son alias dans le Guide de l'utilisateur IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/accountid=ID_number/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/accountid=ID_number/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/accountid=ID_number/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/accountid=ID_number/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "ID_number" }, "ArnLike": { "aws:SourceArn": "arn:aws:ssm:*:ID_number:resource-data-sync/*" } } } ] }
Créer une synchronisation de données de ressources pour Inventory
Utilisez la procédure suivante pour créer une synchronisation de données de ressource pour Systems Manager Inventory avec la console Systems Manager. Pour plus d'informations sur la création d'une synchronisation de données de ressource à l'aide de l'AWS CLI, consultez Démonstration : Configurer vos nœuds gérés pour l'inventaire à l'aide de l'interface de ligne de commande.
Pour créer une synchronisation de données de ressources
Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, sélectionnez Fleet Manager.
-ou-
Si la page d'accueil AWS Systems Manager s'ouvre en premier, sélectionnez l'icône de menu (
) pour ouvrir le panneau de navigation, puis sélectionnez Fleet Manager dans le panneau de navigation.-
Dans le menu Account management (Gestion de compte), sélectionnez Resource data sync (Synchronisation de données de ressources).
-
Sélectionnez Create resource data sync (Créer une synchronisation des données de ressource).
-
Dans le champ Sync name (Nom de la synchronisation), saisissez un nom pour la configuration de la synchronisation.
-
Dans le champ Nom du compartiment, saisissez le nom du compartiment Amazon S3 que vous avez créé selon la procédure Pour créer et configurer un compartiment Amazon S3 pour la synchronisation de données de ressources.
-
(Facultatif) Dans le champ Bucket prefix (Préfixe du compartiment), saisissez le nom d'un préfixe de compartiment Amazon S3 (sous-répertoire).
-
Dans le champ Bucket region (Région du compartiment), sélectionnez This region (Cette région) si le compartiment Amazon S3 créé est localisé dans la Région AWS actuelle. Si le compartiment est localisé dans une autre Région AWS, sélectionnez Another region (Autre région), et saisissez le nom de la région.
Note
Si la synchronisation et le compartiment Amazon S3 cible sont localisés dans des régions différentes, vous pourriez être sujet à une tarification de transfert de données. Pour plus d'informations, consultez Tarification Amazon S3
. -
(Facultatif) Dans le champ KMS Key ARN (ARN de clé KMS), saisissez ou collez un ARN de clé KMS pour chiffrer les données d'inventaire dans Amazon S3.
-
Sélectionnez Create (Créer).
Pour synchroniser les données d'inventaire issues de plusieurs Régions AWS, vous devez créer une synchronisation de données de ressources dans chaque région. Répétez cette procédure dans chaque Région AWS où vous souhaitez collecter des données d'inventaire et envoyez-les vers le compartiment Amazon S3 central. Lorsque vous créez la synchronisation dans chaque région, spécifiez le compartiment Amazon S3 central dans le champ Bucket name (Nom du compartiment). Ensuite, utilisez l'option Bucket region (Région du compartiment) pour choisir la région où vous avez créé le compartiment Amazon S3 central, comme illustré dans la capture d'écran suivante. La prochaine fois que l'association s'exécute pour collecter les données d'inventaire, Systems Manager stocke les données dans le compartiment Amazon S3 central.
Création d'une synchronisation des données de ressource d'inventaire pour les comptes définis dans AWS Organizations
Vous pouvez synchroniser les données d'inventaire provenant de Comptes AWS définis dans AWS Organizations avec un compartiment Amazon S3 central. Après avoir terminé les procédures suivantes, les données d'inventaire sont synchronisées avec des préfixes de clé Amazon S3 individuels dans le compartiment central. Chaque préfixe de clé représente un ID de Compte AWS différent.
Avant de commencer
Avant de commencer, vérifiez que vous avez configuré plusieurs Comptes AWS dans AWS Organizations. Pour plus d'informations, consultez dans le Guide de l'utilisateur AWS Organizations.
Sachez, en outre, que vous devez créer la synchronisation de données de ressources basée sur l'organisation pour chaque Région AWS et Compte AWS définis dans AWS Organizations.
Création d'un compartiment Amazon S3 central
Appliquez la procédure suivante pour créer un compartiment Amazon S3 central pour stocker les données d'inventaire agrégées. La procédure décrit comment affecter une politique de compartiment qui permet à Systems Manager d'écrire des données d'inventaire dans le compartiment à partir de votre ID de compte AWS Organizations. Si vous disposez déjà d'un compartiment Amazon S3 que vous souhaitez utiliser pour agréger les données d'inventaire pour la synchronisation des données de ressource, vous devez configurer celui-ci pour qu'il utilise la politique dans la procédure suivante.
Pour créer et configurer un compartiment Amazon S3 pour la synchronisation de données de ressource pour plusieurs comptes définis dans AWS Organizations
Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/
. -
Créez un compartiment pour stocker vos données d'inventaire agrégées. Pour plus d'informations, consultez Création d'un compartiment dans le Guide de l'utilisateur d'Amazon Simple Storage Service. Notez le nom du compartiment et la Région AWS dans laquelle vous l'avez créé.
-
Sélectionnez l'onglet Autorisations, puis Politique de compartiment.
-
Copiez et collez la politique de compartiment suivante dans l'éditeur de politique. Remplacez
DOC-EXAMPLE-BUCKETetorganization-idpar le nom du compartiment Amazon S3 créé et un ID de compte AWS Organizations valable.Vous avez également la possibilité de remplacer
bucket-prefixpar le nom d'un préfixe Amazon S3 (sous-répertoire). Si vous n'avez pas créé de préfixe, supprimezbucket-prefix/de l'ARN dans la politique suivante.{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::S3_bucket_name" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/bucket-prefix/*/accountid=*/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "s3:RequestObjectTag/OrgId": "organization-id" } } }, { "Sid": " SSMBucketDeliveryTagging", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObjectTagging", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/bucket-prefix/*/accountid=*/*" ] } ] }
Créer une synchronisation des données de ressource d'inventaire pour les comptes définis dans AWS Organizations
La procédure suivante décrit comment utiliser l'AWS CLI pour créer une synchronisation des données de ressource pour les comptes définis dans AWS Organizations. Vous devez utiliser l'AWS CLI pour effectuer cette tâche. Vous devez également effectuer cette procédure pour chaque Région AWS et Compte AWS définis dans AWS Organizations.
Pour créer une synchronisation des données de ressource pour les comptes définis dans AWS Organizations (AWS CLI)
Si vous ne l'avez pas déjà fait, installez et configurez l'AWS Command Line Interface (AWS CLI).
Pour de plus amples informations, consultez Installation ou mise à jour de la version la plus récente de l'AWS CLI.
-
Exécutez la commande suivante pour vérifier qu'aucune autre synchronisation de données de ressources n'est effectuée. Vous ne pouvez avoir qu'une seule synchronisation de données de ressources basée sur l'organisation.
aws ssm list-resource-data-syncSi la commande renvoie une autre synchronisation de données de ressources, vous devez la supprimer ou choisir de ne pas en créer de nouvelle.
-
Exécutez la commande suivante pour créer une synchronisation des données de ressource pour un compte défini dans AWS Organizations. Pour
DOC-EXAMPLE-BUCKET, spécifiez le nom du compartiment Amazon S3 que vous avez précédemment créé dans cette rubrique. Si vous avez créé un préfixe (sous-répertoire) pour votre compartiment, indiquez ces informations dansprefix-name.aws ssm create-resource-data-sync --sync-namename--s3-destination "BucketName=DOC-EXAMPLE-BUCKET,Prefix=prefix-name,SyncFormat=JsonSerDe,Region=Région AWS, for example us-east-2,DestinationDataSharing={DestinationDataSharingType=Organization}" -
Répétez les étapes 2 et 3 pour chaque Région AWS et Compte AWS où vous voulez synchroniser les données avec le compartiment Amazon S3 central.
Gestion des synchronisations des données de ressource
Chacun Compte AWS peut avoir 5 synchronisations de données de ressources par Région AWS. Vous pouvez utiliser la console AWS Systems Manager Fleet Manager pour gérer les synchronisations des données de vos ressources.
Pour afficher les synchronisations des données de ressource
Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, sélectionnez Fleet Manager.
-ou-
Si la page d'accueil AWS Systems Manager s'ouvre en premier, sélectionnez l'icône de menu (
) pour ouvrir le panneau de navigation, puis sélectionnez Fleet Manager dans le panneau de navigation.-
Dans le menu déroulant Gestion de compte, sélectionnez Synchronisation de données de ressource.
-
Sélectionnez une synchronisation des données de ressource dans le tableau, puis choisissez Afficher les détails pour afficher les informations relatives à la synchronisation de vos données de ressource.
Pour supprimer une synchronisation de données de ressources
Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, sélectionnez Fleet Manager.
-ou-
Si la page d'accueil AWS Systems Manager s'ouvre en premier, sélectionnez l'icône de menu (
) pour ouvrir le panneau de navigation, puis sélectionnez Fleet Manager dans le panneau de navigation.-
Dans le menu déroulant Gestion de compte, sélectionnez Synchronisation de données de ressource.
-
Sélectionnez une synchronisation des données de ressource dans le tableau, puis choisissez Supprimer.
