Configurazione di ruoli e autorizzazioni per Systems Manager Explorer

L'installazione integrata crea e configura automaticamente i ruoli AWS Identity and Access Management (IAM) per AWS Systems Manager Explorer e AWS Systems Manager OpsCenter. Se è stata completata l'installazione integrata, non è necessario eseguire alcun processo aggiuntivo per la configurazione di ruoli e autorizzazioni per Explorer. Tuttavia, è necessario configurare le autorizzazioni per OpsCenter, come descritto più avanti in questo argomento.

Informazioni sui ruoli creati dalla configurazione integrata

Il programma di installazione integrata crea e configura i seguenti ruoli per lavorare con Explorer e OpsCenter.

• AWSServiceRoleForAmazonSSM: fornisce l'accesso a risorse AWS gestite o utilizzate da Systems Manager.

• OpsItem-CWE-Role: consente di EventBridge creare CloudWatch eventi OpsItems in risposta a eventi comuni.

• AWSServiceRoleForAmazonSSM_AccountDiscovery: Consente a Systems Manager di chiamare altri utenti Servizi AWS per scoprire Account AWS informazioni durante la sincronizzazione dei dati. Per ulteriori informazioni su questo ruolo, consulta Informazioni sul ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery.

• AmazonSSMExplorerExport: Consente Explorer l'esportazione in un file OpsData con valori separati da virgole (CSV).

Informazioni sul ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery

Se si configura Explorer la visualizzazione dei dati da più account e regioni utilizzando AWS Organizations una sincronizzazione dei dati delle risorse, Systems Manager crea un ruolo collegato al servizio. Systems Manager utilizza questo ruolo per ottenere informazioni sull' Account AWS in AWS Organizations. Il ruolo utilizza la policy di autorizzazioni riportato di seguito.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sul ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery, consulta Utilizzo dei ruoli per raccogliere Account AWS informazioni per OpsCenter e Explorer.

Configurazione delle autorizzazioni per l' di Systems Manager OpsCenter

Dopo aver completato la configurazione integrata, è necessario configurare le autorizzazioni utente, gruppo o ruolo in modo che gli utenti possano eseguire operazioni in OpsCenter.

Prima di iniziare

È possibile configurare OpsCenter per creare e gestire OpsItems su più account o su un solo account. Se configuri OpsCenter per la creazione e la gestione multi-account di OpsItems, l'account di gestione AWS Organizations può creare, visualizzare o modificare OpsItems in altri account manualmente. Se necessario, puoi anche selezionare l'account di amministratore delegato di Systems Manager per creare e gestire OpsItems negli account membri.  Tuttavia, se configuri OpsCenter per un singolo account, puoi visualizzare o modificare gli OpsItems solo nell'account in cui gli OpsItems sono stati creati. Non è possibile condividere o trasferireOpsItems. Account AWS Per questo motivo, ti consigliamo di configurare le autorizzazioni per OpsCenter l' Account AWS ambiente utilizzato per eseguire i AWS carichi di lavoro. È quindi possibile creare utenti o gruppi in tale account. In questo modo, più tecnici operativi o professionisti IT possono creare, visualizzare e modificare OpsItems nello stesso Account AWS.

Explorer e OpsCenter usano le seguenti operazioni delle API. È possibile utilizzare tutte le funzionalità di Explorer e OpsCenter se l'utente, il gruppo o il ruolo hanno accesso a tali operazioni. È anche possibile creare un accesso più restrittivo, come descritto più avanti in questa sezione.

• CreateOpsItem

• CreateResourceDataSync

• DescribeOpsItems

• DeleteResourceDataSync

• GetOpsItem

• GetOpsSummary

• ListResourceDataSync

• UpdateOpsItem

• UpdateResourceDataSync

Se preferisci, puoi specificare l'autorizzazione di sola lettura assegnando la seguente policy inline all'account, gruppo o ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l'utente di IAM. Per informazioni su come assegnare questa policy a un gruppo IAM, consulta Attaching a Policy to an IAM Group (Collegamento di una policy a un gruppo IAM).

Crea un'autorizzazione utilizzando quanto segue e aggiungila ai tuoi utenti, gruppi o ruoli:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

A seconda dell'applicazione di identità utilizzata nell'organizzazione, è possibile selezionare una delle seguenti opzioni per configurare l'accesso degli utenti.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

• Utenti e gruppi in AWS IAM Identity Center:

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

• Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

• Utenti IAM:

  • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

  • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.

Limitazione dell'accesso a OpsItems mediante tag

È inoltre possibile limitare l'accesso a OpsItems utilizzando una policy IAM inline che specifica i tag. Ecco un esempio che specifica una chiave tag di Dipartimento e un valore di tag di Finanza. Con questo criterio, l'utente può solo chiamare l'operazione GetOpsItemAPI per visualizzare OpsItems i tag precedentemente contrassegnati con Key=Department e Value=Finance. Gli utenti non sono in grado di visualizzare qualsiasi altro OpsItems.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

Ecco un esempio che specifica le operazioni API per la visualizzazione e l'aggiornamento degli OpsItems. Questa policy specifica inoltre due set di coppie chiave-valore di tag: Department-Finance e Project-Unity.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

Per ulteriori informazioni sull'aggiunta di tag a un OpsItem, consulta Crea OpsItems manualmente.