AWS Systems Manager dan AWS Organizations

AWS Systems Manager adalah kumpulan kemampuan yang memungkinkan visibilitas dan kendali sumber daya AWS. Kemampuan Systems Manager berikut bekerja dengan Organizations Akun AWS di semua organisasi Anda:

• Penjelajah Systems Manager, adalah dasbor operasi yang bisa dikustomisasi yang melaporkan informasi tentang sumber daya AWS. Anda dapat menyinkronkan data operasi di semua Akun AWS di organisasi Anda dengan menggunakan Organizations dan Penjelajah Systems Manager. Untuk informasi selengkapnya, lihat Penjelajah Systems Manager di Panduan Pengguna AWS Systems Manager.

• Pengelola Perubahan Systems Manager adalah kerangka manajemen perubahan perusahaan untuk meminta, menyetujui, menerapkan, dan melaporkan perubahan operasional untuk konfigurasi aplikasi dan infrastruktur Anda. Untuk informasi selengkapnya, lihat Pengelola Perubahan AWS Systems Manager dalam Panduan Pengguna AWS Systems Manager.

• Systems Manager OpsCenter menyediakan lokasi pusat di mana insinyur operasi dan profesional TI dapat melihat, menyelidiki, dan menyelesaikan item kerja operasional (OpsItems) yang terkait dengan AWS sumber daya. Bila Anda menggunakan OpsCenter dengan Organizations, ini mendukung bekerja dengan OpsItems dari akun manajemen (baik akun manajemen Organizations atau akun administrator yang didelegasikan Systems Manager) dan satu akun lainnya selama satu sesi. Setelah dikonfigurasi, pengguna dapat melakukan jenis tindakan berikut:

  • Buat, lihat, dan perbarui OpsItems di akun lain.

  • Lihat informasi terperinci tentang AWS sumber daya yang ditentukan OpsItems di akun lain.

  • Mulai runbook Systems Manager Automation untuk memulihkan masalah dengan AWS sumber daya di akun lain.

  Untuk informasi lebih lanjut, lihat AWS Systems Manager OpsCenter di Panduan Pengguna AWS Systems Manager.

Gunakan informasi berikut untuk membantu Anda mengintegrasikan AWS Systems Manager dengan AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Peran tertaut layanan berikut secara otomatis dibuat di akun pengelolaan organisasi Anda bila Anda mengaktifkan akses terpercaya. Peran ini memungkinkan Systems Manager untuk melakukan operasi yang didukung dalam akun organisasi Anda di organisasi Anda.

Anda dapat menghapus atau mengubah peran ini hanya jika Anda menonaktifkan akses terpercaya antara Systems Manager dan Organizations, atau jika Anda menghapus akun anggota dari organisasi.

• AWSServiceRoleForAmazonSSM_AccountDiscovery

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran tertaut layanan di bagian sebelumnya dapat diambil hanya oleh prinsipal layanan yang diotorisasi oleh hubungan kepercayaan yang ditetapkan untuk peran tersebut. Peran tertaut layanan yang digunakan oleh Systems Manager memberikan akses ke prinsipal layanan berikut:

• ssm.amazonaws.com

Mengaktifkan akses terpercaya dengan Systems Manager

Untuk informasi tentang izin yang diperlukan untuk mengaktifkan akses terpercaya, lihat Izin yang diperlukan untuk mengaktifkan akses terpercaya.

Anda dapat mengaktifkan akses terpercaya hanya menggunakan alat Organizations.

Anda dapat mengaktifkan akses terpercaya dengan menggunakan konsol AWS Organizations, dengan menjalankan perintah AWS CLI, atau dengan memanggil operasi API di salah satu SDK AWS.

AWS Management Console

Untuk mengaktifkan akses layanan terpercaya menggunakan konsol Organizations

1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Layanan, temukan baris untuk AWS Systems Manager, pilih nama layanan, dan kemudian Mengaktifkan akses terpercaya.

3. Di kotak dialog konfirmasi, aktifkan Menampilkan opsi untuk mengaktifkan akses terpercaya, masukkan enable dalam kotak, dan kemudian pilih Mengaktifkan akses terpercaya.

4. Jika Anda adalah administrator hanya AWS Organizations, beritahu administrator AWS Systems Manager bahwa mereka sekarang dapat mengaktifkan layanan tersebut menggunakan konsolnya untuk bekerja dengan AWS Organizations.

AWS CLI, AWS API

Untuk mengaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan perintah AWS CLI atau operasi API untuk mengaktifkan atau mengaktifkan akses layanan terpercaya:

• AWS CLI: enable-aws-service-access

  Anda dapat menjalankan perintah berikut untuk mengaktifkan AWS Systems Manager sebagai layanan terpercaya dengan Organizations.

  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com

  Perintah ini tidak menghasilkan output saat berhasil.

• AWSAPI: Aktifkan AWSServiceAccess

Menonaktifkan akses terpercaya dengan Systems Manager

Untuk informasi tentang izin yang diperlukan untuk menonaktifkan akses terpercaya, lihat Izin yang diperlukan untuk menonaktifkan akses terpercaya.

Systems Manager memerlukan akses terpercaya dengan AWS Organizations untuk menyinkronkan data operasi di seluruh Akun AWS di organisasi Anda. Jika Anda menonaktifkan akses terpercaya, kemudian Systems Manager gagal untuk menyinkronkan operasi data dan laporan kesalahan.

Anda dapat menonaktifkan akses terpercaya hanya menggunakan alat Organizations.

Anda dapat menonaktifkan akses terpercaya dengan menggunakan konsol AWS Organizations, dengan menjalankan perintah AWS CLI, atau dengan memanggil operasi API Organizations di salah satu SDK AWS.

AWS Management Console

Untuk menonaktifkan akses layanan terpercaya menggunakan konsol Organizations

1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Layanan, temukan baris untuk AWS Systems Manager dan kemudian pilih nama layanan.

3. Pilih Menonaktifkan akses terpercaya.

4. Di kotak dialog konfirmasi, masukkan disable dalam kotak, dan kemudian pilih Menonaktifkan akses terpercaya.

5. Jika Anda adalah administrator hanya AWS Organizations, beritahu administrator AWS Systems Manager bahwa mereka sekarang dapat menonaktifkan layanan tersebut menggunakan konsolnya untuk bekerja dengan AWS Organizations.

AWS CLI, AWS API

Cara menonaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan perintah AWS CLI atau operasi API untuk menonaktifkan akses layanan terpercaya:

• AWS CLI: disable-aws-service-access

  Anda dapat menjalankan perintah berikut untuk menonaktifkan AWS Systems Manager sebagai layanan terpercaya dengan Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com

  Perintah ini tidak menghasilkan output saat berhasil.

• AWSAPI: Nonaktifkan AWSServiceAccess

Mengaktifkan akun administrator yang didelegasikan untuk Systems Manager

Ketika Anda menetapkan akun anggota sebagai administrator yang didelegasikan untuk organisasi, pengguna dan peran dari akun tersebut dapat melakukan tindakan administratif untuk Systems Manager yang jika tidak dapat dilakukan hanya oleh pengguna atau peran dalam akun pengelolaan organisasi. Ini membantu Anda untuk memisahkan manajemen organisasi dari manajemen Systems Manager.

Jika Anda menggunakan Pengelola Perubahan di seluruh organisasi, Anda menggunakan akun administrator yang didelegasikan. Ini adalah Akun AWS yang telah ditetapkan sebagai akun untuk mengelola perubahan templat, mengubah permintaan, mengubah runbook dan alur kerja persetujuan di Pengelola Perubahan. Akun yang didelegasikan mengelola aktivitas perubahan di seluruh organisasi Anda. Saat menyiapkan organisasi untuk digunakan dengan Pengelola Perubahan, Anda menentukan akun mana yang berfungsi dalam peran ini. Itu tidak harus merupakan akun pengelolaan organisasi. Akun administrator yang didelegasikan tidak diperlukan jika Anda menggunakan Change Manager hanya dengan satu akun.

Untuk menunjuk akun anggota sebagai administrator yang didelegasikan, lihat topik berikut di AWS Systems ManagerPanduan Pengguna:

• Untuk Explorer dan OpsCenter, lihat Mengkonfigurasi Administrator Delegasi.

• Untuk Mengubah Manajer, lihat Menyiapkan organisasi dan akun yang didelegasikan untuk Change Manager.