AWS Systems Manager e AWS Organizations

AWS Systems Manager è una raccolta di funzionalità che consentono visibilità e controllo delle risorse AWS. Le seguenti funzionalità di Systems Manager funzionano con Organizations di Account AWS in tutta l'organizzazione:

• Systems Manager Explorer è un pannello di controllo delle operazioni personalizzabile che riporta informazioni sulle risorse AWS. Puoi sincronizzare i dati delle operazioni tra tutti gli Account AWS dell'organizzazione utilizzando Organizations e Systems Manager Explorer. Per ulteriori informazioni, consulta Systems Manager Explorer nella Guida per l'utente di AWS Systems Manager.

• Systems Manager Change Manager è un framework di gestione delle modifiche aziendali per la richiesta, l'approvazione, l'implementazione e la creazione di report sulle modifiche operative alla configurazione e all'infrastruttura delle applicazioni. Per ulteriori informazioni, consulta AWS Systems Manager Change Manager nella Guida per l'utente di AWS Systems Manager.

• Il Systems Manager OpsCenter fornisce una posizione centrale dove i tecnici operativi e i professionisti dell’IT possono visualizzare, esaminare e risolvere elementi operativi (OpsItems) relativi alle risorse AWS. Quando si utilizza OpsCenter con Organizations, si supporta l'utilizzo di OPSItems da un account di gestione (un account di gestione di Organizations o un account amministratore delegato di Systems Manager) e da un altro account durante una singola sessione. Una volta configurato, gli utenti possono eseguire i seguenti tipi di azioni:

  • Crea, visualizza e aggiorna OPSItems in un altro account.

  • Visualizza informazioni dettagliate sulle risorse AWS specificate in OpsItems in un altro account.

  • Avvia i Runbook di automazione di Systems Manager per risolvere i problemi relativi alle risorse di AWS di un altro account.

  Per ulteriori informazioni, consulta AWS Systems Manager OpsCenter nella AWS Systems Manager Guida per l'utente.

Utilizza le seguenti informazioni per facilitare l'integrazione di AWS Systems Manager con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Il seguente ruolo collegato ai servizi viene creato automaticamente nell'account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Tale ruolo consente a Systems Manager di eseguire le operazioni supportate all'interno degli account dell'organizzazione.

Puoi eliminare o modificare questo ruolo solo se disabiliti l'accesso attendibile tra Systems Manager e Organizations o se rimuovi l'account membro dall'organizzazione.

• AWSServiceRoleForAmazonSSM_AccountDiscovery

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da Systems Manager concedono l'accesso ai seguenti principali del servizio:

• ssm.amazonaws.com

Abilitazione dell'accesso attendibile con Systems Manager

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Puoi abilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.

È possibile abilitare l'accesso attendibile utilizzando la console AWS Organizations, eseguendo un comando AWS CLI o chiamando un'operazione API in un SDK AWS.

AWS Management Console

Per abilitare l'accesso al servizio attendibile tramite la console Organizations

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina Services (Servizi), trova la riga per AWS Systems Manager, scegli il nome del servizio, quindi scegli Enable trusted access (Abilita accesso attendibile).

3. Nella finestra di dialogo di conferma, abilita Show the option to enable trusted access (Mostra l'opzione per abilitare l'accesso attendibile), inserisci enable nella casella, quindi scegli Enable trusted access (Abilita accesso attendibile).

4. Se sei l'amministratore solo di AWS Organizations, comunica all'amministratore di AWS Systems Manager che ora può abilitare quel servizio utilizzando la console per il funzionamento con AWS Organizations.

AWS CLI, AWS API

Per abilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti comandi della AWS CLI oppure operazioni API per abilitare l'accesso al servizio attendibile:

• AWS CLI: enable-aws-service-access

  Puoi eseguire il comando seguente per abilitare AWS Systems Manager come servizio attendibile con Organizations.

  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com

  Questo comando non produce alcun output se ha esito positivo.

• API AWS: EnableAWSServiceAccess

Disabilitazione dell'accesso attendibile con Systems Manager

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

Systems Manager richiede l'accesso attendibile con AWS Organizations per sincronizzare i dati delle operazioni tra gli Account AWS nell'organizzazione. Se disabiliti l'accesso attendibile, Systems Manager non riesce a sincronizzare i dati delle operazioni e segnala un errore.

Puoi disabilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.

È possibile disabilitare l'accesso attendibile utilizzando la console AWS Organizations, eseguendo un comando AWS CLI Organizations oppure chiamando un'operazione API Organizations in un SDK AWS.

AWS Management Console

Per disabilitare l'accesso al servizio attendibile utilizzando la console Organizations

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina Services (Servizi), individuare la riga per AWS Systems Manager e scegliere il nome del servizio.

3. Scegli Disable trusted access (Disabilita accesso attendibile).

4. Nella finestra di dialogo di conferma, inserisci disable nella casella, quindi scegli Disable trusted access (Disabilita accesso attendibile).

5. Se sei l'amministratore solo di AWS Organizations, comunica all'amministratore di AWS Systems Manager che ora può disabilitare quel servizio utilizzando la console o gli strumenti per il funzionamento con AWS Organizations.

AWS CLI, AWS API

Per disabilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti comandi AWS CLI oppure operazioni API per disabilitare l'accesso al servizio attendibile:

• AWS CLI: disable-aws-service-access

  Puoi eseguire il comando seguente per disabilitare AWS Systems Manager come servizio attendibile con Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com

  Questo comando non produce alcun output se ha esito positivo.

• API AWS: DisableAWSServiceAccess

Abilitazione di un account di amministratore delegato per Systems Manager

Quando si designa un account membro come amministratore delegato per l'organizzazione, gli utenti e i ruoli di tale account possono eseguire operazioni amministrative per Systems Manager che altrimenti possono essere eseguiti solo da utenti o ruoli nell'account di gestione dell'organizzazione. Ciò consente di separare la gestione dell'organizzazione dalla gestione di Systems Manager.

Se utilizzi Change Manager in un'organizzazione, utilizzi un account di amministratore delegato. Questo è l'Account AWS che è stato designato come account per la gestione di modelli di modifica, richieste di modifica, runbook di modifica e flussi di lavoro di approvazione in Change Manager. L'account delegato gestisce le attività di modifica all'interno dell'organizzazione. Quando imposti l'organizzazione per l'utilizzo con Change Manager, è necessario specificare quale dei tuoi account svolge questo ruolo. Non deve essere l'account di gestione dell'organizzazione. L'account di amministratore delegato non è necessario se si utilizza Change Manager con un solo account.

Per designare un account membro come amministratore delegato, consulta i seguenti argomenti nella Guida per l'utente di AWS Systems Manager:

• Per Explorer e OpsCenter, vedere Configurazione di un amministratore delegato.

• Per Change Manager, consulta Impostazione di un'organizzazione e di un account delegato per Change Manager.