AWS Systems Manager e AWS Organizations - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager e AWS Organizations

AWS Systems Manager è una raccolta di funzionalità che consentono la visibilità e il controllo delle AWS risorse. Le seguenti funzionalità di Systems Manager funzionano con Organizations di Account AWS in tutta l'organizzazione:

  • Systems Manager Explorer è un pannello di controllo operativo personalizzabile che riporta informazioni sulle AWS risorse. È possibile sincronizzare i dati operativi Account AWS in tutta l'organizzazione utilizzando Organizations and Systems Manager Explorer. Per ulteriori informazioni, consulta Systems Manager Explorer nella Guida per l'utente di AWS Systems Manager .

  • Systems Manager Change Manager è un framework di gestione delle modifiche aziendali per la richiesta, l'approvazione, l'implementazione e la creazione di report sulle modifiche operative alla configurazione e all'infrastruttura delle applicazioni. Per ulteriori informazioni, consulta AWS Systems Manager Change Manager nella Guida per l'utente di AWS Systems Manager .

  • Systems Manager OpsCenter offre una posizione centrale in cui gli ingegneri operativi e i professionisti IT possono visualizzare, esaminare e risolvere gli elementi di lavoro operativi (OpsItems) relativi alle AWS risorse. Quando si utilizza OpsCenter con Organizations, supporta l'utilizzo OpsItems da un account di gestione (un account di gestione Organizations o un account amministratore delegato di Systems Manager) e da un altro account durante una singola sessione. Una volta configurato, gli utenti possono eseguire i seguenti tipi di azione:

    • Crea, visualizza e aggiorna OpsItems in un altro account.

    • Visualizza informazioni dettagliate sulle AWS risorse specificate OpsItems in un altro account.

    • Avvia i runbook di Systems Manager Automation per risolvere i problemi relativi alle AWS risorse di un altro account.

    Per ulteriori informazioni, vedere AWS Systems Manager OpsCenterla Guida per l'AWS Systems Manager utente.

Utilizza le seguenti informazioni per semplificare l'integrazione AWS Systems Manager con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Il seguente ruolo collegato ai servizi viene creato automaticamente nell'account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Tale ruolo consente a Systems Manager di eseguire le operazioni supportate all'interno degli account dell'organizzazione.

Puoi eliminare o modificare questo ruolo solo se disabiliti l'accesso attendibile tra Systems Manager e Organizations o se rimuovi l'account membro dall'organizzazione.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da Systems Manager concedono l'accesso ai seguenti principali del servizio:

  • ssm.amazonaws.com

Abilitazione dell'accesso attendibile con Systems Manager

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Puoi abilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.

Puoi abilitare l'accesso affidabile utilizzando la AWS Organizations console, eseguendo un AWS CLI comando o chiamando un'operazione API in uno degli AWS SDK.

AWS Management Console
Per abilitare l'accesso al servizio attendibile tramite la console Organizations
  1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli AWS Systems Managernell'elenco dei servizi.

  4. Scegliere Enable trusted access (Abilita accesso sicuro).

  5. Nella finestra di AWS Systems Manager dialogo Abilita accesso affidabile per, digita enable per confermarlo, quindi scegli Abilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore AWS Systems Manager che ora può abilitare quel servizio utilizzando la console con cui lavorare AWS Organizations.

AWS CLI, AWS API
Per abilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti AWS CLI comandi o operazioni API per abilitare l'accesso affidabile al servizio:

  • AWS CLI: enable-aws-service-access

    È possibile eseguire il comando seguente per abilitarlo AWS Systems Manager come servizio affidabile con Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal ssm.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: Abilita AWSServiceAccess

Disabilitazione dell'accesso attendibile con Systems Manager

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

Systems Manager richiede un accesso affidabile con AWS Organizations per sincronizzare i dati operativi Account AWS all'interno dell'organizzazione. Se disabiliti l'accesso attendibile, Systems Manager non riesce a sincronizzare i dati delle operazioni e segnala un errore.

Puoi disabilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.

Puoi disabilitare l'accesso affidabile utilizzando la AWS Organizations console, eseguendo un AWS CLI comando Organizations o chiamando un'operazione dell'API Organizations in uno degli AWS SDK.

AWS Management Console
Per disabilitare l'accesso al servizio attendibile utilizzando la console Organizations
  1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli AWS Systems Managernell'elenco dei servizi.

  4. Scegli Disable trusted access (Disabilita accesso attendibile).

  5. Nella finestra di AWS Systems Manager dialogo Disabilita l'accesso affidabile per, digita disabilita per confermarlo, quindi scegli Disabilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore AWS Systems Manager che ora può disabilitare quel servizio utilizzando la console o gli strumenti con cui lavorare AWS Organizations.

AWS CLI, AWS API
Per disabilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti AWS CLI comandi o operazioni API per disabilitare l'accesso affidabile ai servizi:

  • AWS CLI: disable-aws-service-access

    È possibile eseguire il comando seguente per disabilitarlo AWS Systems Manager come servizio affidabile con Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal ssm.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: disabilita AWSServiceAccess

Abilitazione di un account di amministratore delegato per Systems Manager

Quando si designa un account membro come amministratore delegato per l'organizzazione, gli utenti e i ruoli di tale account possono eseguire operazioni amministrative per Systems Manager che altrimenti possono essere eseguiti solo da utenti o ruoli nell'account di gestione dell'organizzazione. Ciò consente di separare la gestione dell'organizzazione dalla gestione di Systems Manager.

Se utilizzi Change Manager in un'organizzazione, utilizzi un account di amministratore delegato. Questo è l'account Account AWS che è stato designato come account per la gestione dei modelli di modifica, delle richieste di modifica, dei runbook delle modifiche e dei flussi di lavoro di approvazione in Change Manager. L'account delegato gestisce le attività di modifica all'interno dell'organizzazione. Quando imposti l'organizzazione per l'utilizzo con Change Manager, è necessario specificare quale dei tuoi account svolge questo ruolo. Non deve essere l'account di gestione dell'organizzazione. L'account di amministratore delegato non è necessario se si utilizza Change Manager con un solo account.

Per designare un account membro come amministratore delegato, consulta i seguenti argomenti nella Guida per l'utente di AWS Systems Manager :