Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mulai menggunakan Quick Setup
Gunakan informasi dalam topik ini untuk membantu Anda bersiap untuk menggunakannyaQuick Setup.
Topik
IAMperan dan izin untuk orientasi Quick Setup
Quick Setupmeluncurkan pengalaman konsol baru dan yang baruAPI. Sekarang Anda dapat berinteraksi dengan ini API menggunakan konsol, AWS CLI, AWS CloudFormation, danSDKs. Jika Anda ikut serta dalam pengalaman baru, konfigurasi yang ada dibuat ulang menggunakan yang baru. API Bergantung pada jumlah konfigurasi yang ada di akun Anda, proses ini dapat memakan waktu beberapa menit.
Untuk menggunakan Quick Setup konsol baru, Anda harus memiliki izin untuk tindakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm-quicksetup:*", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:ListStackSetOperations", "cloudformation:ListStackInstances", "cloudformation:DescribeStackSet", "cloudformation:ListStackSets", "cloudformation:DescribeStackInstance", "cloudformation:DescribeOrganizationsAccess", "cloudformation:ActivateOrganizationsAccess", "cloudformation:GetTemplate", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStackEvents", "ec2:DescribeInstances", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:ListDocuments", "ssm:DescribeDocument", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks", "ssm:GetOpsSummary", "organizations:DeregisterDelegatedAdministrator", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "resource-groups:ListGroups", "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:CreatePolicy", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "cloudformation:TagResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:RollbackStack", "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStackSet", "cloudformation:UpdateStackSet", "cloudformation:DeleteStackSet", "cloudformation:DeleteStackInstances", "cloudformation:CreateStackInstances", "cloudformation:StopStackSetOperation" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:PassRole", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Effect": "Allow", "Action": [ "ssm:DeleteAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "accountdiscovery.ssm.amazonaws.com", "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "stacksets.cloudformation.amazonaws.com" ] } }, "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin" } ] }
Untuk membatasi pengguna untuk izin hanya-baca, hanya izinkan ssm-quicksetup:List* dan ssm-quicksetup:Get* operasi untuk. Quick Setup API
Selama orientasi, Quick Setup buat peran AWS Identity and Access Management (IAM) berikut atas nama Anda:
-
AWS-QuickSetup-LocalExecutionRole— Memberikan AWS CloudFormation izin untuk menggunakan templat apa pun, tidak termasuk templat kebijakan tambalan, dan membuat sumber daya yang diperlukan. -
AWS-QuickSetup-LocalAdministrationRole— Memberikan izin untuk AWS CloudFormation berasumsi.AWS-QuickSetup-LocalExecutionRole -
AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Memberikan izin AWS CloudFormation untuk menggunakan templat kebijakan tambalan, dan membuat sumber daya yang diperlukan. -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Memberikan izin untuk AWS CloudFormation berasumsi.AWS-QuickSetup-PatchPolicy-LocalExecutionRole
Jika Anda melakukan onboarding akun pengelolaan—akun yang Anda gunakan untuk membuat organisasi AWS Organizations— Quick Setup juga membuat peran berikut atas nama Anda:
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer— Memberikan izin ke runbookAWS-EnableExplorerotomatisasi.AWS-EnableExplorerRunbook mengkonfigurasiExplorer, kemampuan Systems Manager, untuk menampilkan informasi untuk beberapa Akun AWS dan. Wilayah AWS -
AWSServiceRoleForAmazonSSM— Peran terkait layanan yang memberikan akses ke AWS sumber daya yang dikelola dan digunakan oleh Systems Manager. -
AWSServiceRoleForAmazonSSM_AccountDiscovery— Peran terkait layanan yang memberikan izin kepada Systems Manager untuk menelepon untuk menemukan Akun AWS informasi saat AWS layanan menyinkronkan data. Untuk informasi selengkapnya, lihat Tentang peran AWSServiceRoleForAmazonSSM_AccountDiscovery.
Saat melakukan onboarding akun manajemen, Quick Setup aktifkan akses tepercaya antara AWS Organizations dan CloudFormation untuk menerapkan Quick Setup konfigurasi di seluruh organisasi Anda. Untuk mengaktifkan akses tepercaya, akun manajemen Anda harus memiliki izin administrator. Setelah onboarding, Anda tidak lagi memerlukan izin administrator. Untuk informasi selengkapnya, lihat Mengaktifkan akses tepercaya dengan Organizations.
Untuk informasi tentang jenis AWS Organizations akun, lihat AWS Organizations terminologi dan konsep di Panduan AWS Organizations Pengguna.
catatan
Quick Setupdigunakan AWS CloudFormation StackSets untuk menyebarkan konfigurasi Anda di seluruh Akun AWS dan Wilayah. Jika jumlah akun target dikalikan dengan jumlah Wilayah melebihi 10.000, konfigurasi gagal diterapkan. Sebaiknya tinjau kasus penggunaan Anda dan buat konfigurasi yang menggunakan lebih sedikit target untuk mengakomodasi pertumbuhan organisasi Anda. Instans tumpukan tidak diterapkan ke akun manajemen organisasi Anda. Untuk informasi selengkapnya, lihat Pertimbangan saat membuat kumpulan tumpukan dengan izin yang dikelola layanan.
Orientasi manual untuk bekerja dengan Quick Setup API terprogram
Jika Anda menggunakan konsol untuk bekerja dengannyaQuick Setup, layanan akan menangani langkah-langkah orientasi untuk Anda. Jika Anda berencana untuk menggunakan SDKs atau bekerja dengan Quick SetupAPI, Anda masih dapat menggunakan konsol untuk menyelesaikan langkah-langkah orientasi untuk Anda sehingga Anda tidak perlu melakukannya secara manual. AWS CLI Namun, beberapa pelanggan perlu menyelesaikan langkah-langkah orientasi untuk Quick Setup secara terprogram tanpa berinteraksi dengan konsol. Jika metode ini sesuai dengan kasus penggunaan Anda, Anda harus menyelesaikan langkah-langkah berikut. Semua langkah ini harus diselesaikan dari akun AWS Organizations manajemen Anda.
Untuk menyelesaikan orientasi manual untuk Quick Setup
-
Aktifkan akses tepercaya untuk AWS CloudFormation with Organizations. Ini memungkinkan izin akun manajemen untuk membuat dan mengelola StackSets organisasi Anda. Anda dapat menggunakan AWS CloudFormation
ActivateOrganizationsAccessAPI tindakan untuk menyelesaikan langkah ini. Untuk informasi lebih lanjut, lihat ActivateOrganizationsAccessdi AWS CloudFormation APIReferensi. -
Aktifkan integrasi Systems Manager dengan Organizations. Hal ini memungkinkan Systems Manager untuk membuat peran terkait layanan di semua akun di organisasi Anda. Hal ini juga memungkinkan Systems Manager untuk melakukan operasi atas nama Anda di organisasi Anda dan akunnya. Anda dapat menggunakan AWS Organizations
EnableAWSServiceAccessAPI tindakan untuk menyelesaikan langkah ini. Prinsip layanan untuk Systems Manager adalah.ssm.amazonaws.comUntuk informasi selengkapnya, lihat E nableAWSService Access di AWS Organizations APIReferensi. -
Buat IAM peran yang diperlukan untukExplorer. Hal ini memungkinkan Quick Setup untuk membuat dasbor untuk konfigurasi Anda sehingga Anda dapat melihat status penerapan dan asosiasi. Buat IAM peran dan lampirkan kebijakan
AWSSystemsManagerEnableExplorerExecutionPolicyterkelola. Ubah kebijakan kepercayaan untuk peran agar sesuai dengan yang berikut ini. Ganti masing-masingaccount IDdengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ArnLike": { "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*" } } } ] } -
Perbarui pengaturan Quick Setup layanan untukExplorer. Anda dapat menggunakan Quick Setup
UpdateServiceSettingsAPI tindakan untuk menyelesaikan langkah ini. Tentukan ARN IAM peran yang Anda buat pada langkah sebelumnya untuk parameterExplorerEnablingRoleArnpermintaan. Untuk informasi lebih lanjut, lihat UpdateServiceSettingsdi Quick SetupAPIReferensi. -
Buat IAM peran yang diperlukan AWS CloudFormation StackSets untuk digunakan. Anda harus membuat peran eksekusi dan peran administrasi.
-
Buat peran eksekusi. Peran eksekusi harus memiliki setidaknya satu dari
AWSQuickSetupDeploymentRolePolicyatau kebijakanAWSQuickSetupPatchPolicyDeploymentRolePolicyterkelola yang dilampirkan. Jika Anda hanya membuat konfigurasi kebijakan tambalan, Anda dapat menggunakan kebijakanAWSQuickSetupPatchPolicyDeploymentRolePolicyterkelola. Semua konfigurasi lain menggunakanAWSQuickSetupDeploymentRolePolicykebijakan. Ubah kebijakan kepercayaan untuk peran agar sesuai dengan yang berikut ini. Ganti masing-masingaccount IDandadministration role namedengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/administration role name" }, "Action": "sts:AssumeRole" } ] } -
Buat peran administrasi. Kebijakan izin harus sesuai dengan yang berikut ini. Ganti masing-masing
account IDandexecution role namedengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": "arn:*:iam::account ID:role/execution role name", "Effect": "Allow" } ] }Ubah kebijakan kepercayaan untuk peran agar sesuai dengan yang berikut ini. Ganti masing-masing
account IDdengan informasi Anda.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*" } } } ] }
-
