Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
(Facoltativo) Configurazione di OpsCenter per la gestione centralizzata multi-account di OpsItems
Questa sezione descrive come configurare manualmente OpsCenter per la gestione multi-account di OpsItem. Sebbene questo processo sia ancora supportato, è stato sostituito da un processo più recente che utilizza Quick Setup di Systems Manager. Per ulteriori informazioni, consulta (Facoltativo) Configurare OpsCenter per la gestione di OpsItems su più account utilizzando Quick Setup.
Puoi configurare un account centrale per creare manualmente OpsItems per gli account membri e per gestire e correggere tali OpsItems. L'account centrale può essere l'account di AWS Organizations gestione o sia l'account di AWS Organizations gestione che l'account amministratore delegato di Systems Manager. Si consiglia di utilizzare l'account amministratore delegato di Systems Manager come account centrale. È possibile utilizzare questa funzionalità solo dopo la configurazione di AWS Organizations.
Con AWS Organizations, è possibile consolidare più organizzazioni Account AWS in un'organizzazione da creare e gestire centralmente. L'utente dell'account centrale può creare contemporaneamente OpsItems per tutti gli account dei membri selezionati e gestire questi OpsItems.
Utilizza il processo descritto in questa sezione per abilitare il principale del servizio Systems Manager in Organizations e configurare AWS Identity and Access Management (IAM) le autorizzazioni per lavorare con OpsItems più account.
Argomenti
- Prima di iniziare
- Passaggio 1: Creazione di una sincronizzazione dati dei dati delle risorse
- Fase 2: Attivazione del servizio principale Systems Manager in AWS Organizations
- Passaggio 3: Creazione del ruolo collegato ai servizi AWSServiceRoleForAmazonSSM_AccountDiscovery
- Passaggio 4: Configurazione delle autorizzazioni per l'utilizzo multi-account di OpsItems
- Passaggio 5: Configurazione delle autorizzazioni per lavorare con le risorse correlate su più account
Nota
Durante l'utilizzo multi-account di OpsCenter, sono supportati solo OpsItems di tipo /aws/issue.
Prima di iniziare
Prima di configurare OpsCenter per l'utilizzo multi-account di OpsItems, assicurati di aver impostato quanto segue:
-
Un account di amministratore delegato per Systems Manager. Per ulteriori informazioni, consulta Configurazione di un amministratore delegato.
-
Un'organizzazione impostata e configurata in Organizations. Per ulteriori informazioni, consulta Creazione e gestione di un'organizzazione nella Guida per l'utente di AWS Organizations .
-
Systems Manager Automation è stato configurato per eseguire i runbook di automazione su più Regioni AWS AWS account. Per ulteriori informazioni, consulta Esecuzione delle automazioni in più account e regioni di Regioni AWS.
Passaggio 1: Creazione di una sincronizzazione dati dei dati delle risorse
Dopo l'installazione e la configurazione AWS Organizations, è possibile eseguire l'aggregazione OpsItems OpsCenter per un'intera organizzazione creando una sincronizzazione dei dati delle risorse. Per ulteriori informazioni, consulta Creazione di una sincronizzazione dati dei dati delle risorse. Quando crei la sincronizzazione, nella sezione Aggiungi account, assicurati di scegliere l'opzione Includi tutti gli account dalla mia AWS Organizations configurazione.
Fase 2: Attivazione del servizio principale Systems Manager in AWS Organizations
Per consentire a un utente di lavorare con OpsItems più account, è necessario abilitare il service principal di Systems Manager AWS Organizations. Se in precedenza hai configurato Systems Manager per scenari con multi-account utilizzando altre funzionalità, il principale del servizio Systems Manager potrebbe essere già configurato in Organizations. Esegui i seguenti comandi da AWS Command Line Interface (AWS CLI) per verificare. Se non hai configurato Systems Manager per altri scenari multi-account, passa alla procedura successiva, Abilitazione del principale del servizio Systems Manager in AWS Organizations.
Per verificare che il server principale del servizio Systems Manager sia abilitato in AWS Organizations
-
Scarica
la versione più recente AWS CLI di sul tuo computer locale. -
Apri ed AWS CLI esegui il comando seguente per specificare le tue credenziali e un Regione AWS.
aws configureIl sistema richiede di specificare quanto segue. Nell'esempio seguente, sostituisci ogni
segnaposto dell'input utentecon le tue informazioni.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Esegui il seguente comando per verificare che il principale del servizio Systems Manager sia abilitato in AWS Organizations.
aws organizations list-aws-service-access-for-organizationIl comando restituisce informazioni simili a quelle mostrate nell'esempio seguente.
{ "EnabledServicePrincipals": [ { "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com", "DateEnabled": "2020-12-11T16:32:27.732000-08:00" }, { "ServicePrincipal": "opsdatasync.ssm.amazonaws.com", "DateEnabled": "2022-01-19T12:30:48.352000-08:00" }, { "ServicePrincipal": "ssm.amazonaws.com", "DateEnabled": "2020-12-11T16:32:26.599000-08:00" } ] }
Per abilitare il service principal di Systems Manager in AWS Organizations
Se in precedenza non hai configurato il principale del servizio Systems Manager per Organizations, utilizza la procedura seguente. Per ulteriori informazioni su questo comando, vedere enable-aws-service-access
-
Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto. Per informazioni, consulta le pagine Installazione della CLI e Configurazione della CLI.
-
Scarica
la versione più recente AWS CLI di sul tuo computer locale. -
Apri ed AWS CLI esegui il comando seguente per specificare le tue credenziali e un Regione AWS.
aws configureIl sistema richiede di specificare quanto segue. Nell'esempio seguente, sostituisci ogni
segnaposto dell'input utentecon le tue informazioni.AWS Access Key ID [None]:key_nameAWS Secret Access Key [None]:key_nameDefault region name [None]:regionDefault output format [None]: ENTER -
Esegui il seguente comando per abilitare il principale del servizio Systems Manager per AWS Organizations.
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
Passaggio 3: Creazione del ruolo collegato ai servizi AWSServiceRoleForAmazonSSM_AccountDiscovery
Un ruolo collegato al servizio come il AWSServiceRoleForAmazonSSM_AccountDiscovery ruolo è un tipo unico di ruolo IAM collegato direttamente a un ruolo Servizio AWS, come Systems Manager. I ruoli collegati ai servizi sono predefiniti dal servizio e includono tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per conto dell'utente. Servizi AWS Per ulteriori informazioni sul ruolo collegato al servizio AWSServiceRoleForAmazonSSM_AccountDiscovery, consulta Autorizzazioni del ruolo collegato ai servizi per l'individuazione account di Systems Manager.
Utilizza la procedura seguente per creare il ruolo collegato al servizio AWSServiceRoleForAmazonSSM_AccountDiscovery utilizzando la AWS CLI. Per ulteriori informazioni sul comando utilizzato in questa procedura, vedere create-service-linked-role
Per creare il ruolo collegato ai servizi AWSServiceRoleForAmazonSSM_AccountDiscovery
-
Accedere all'account AWS Organizations di gestione.
-
Dopo aver effettuato l'accesso all'account di gestione di Organizations, esegui il comando seguente.
aws iam create-service-linked-role \ --aws-service-name accountdiscovery.ssm.amazonaws.com \ --description "Systems Manager account discovery for AWS Organizations service-linked role"
Passaggio 4: Configurazione delle autorizzazioni per l'utilizzo multi-account di OpsItems
Usa gli AWS CloudFormation stackset per creare una policy OpsItemGroup sulle risorse e un ruolo di esecuzione IAM che consentano agli utenti di lavorare OpsItems su più account. Per iniziare, scarica e decomprimi il file OpsCenterCrossAccountMembers.zip. Questo file contiene il file OpsCenterCrossAccountMembers.yaml AWS CloudFormation
modello. Quando crei un set di stack utilizzando questo modello, crea CloudFormation automaticamente la politica OpsItemCrossAccountResourcePolicy delle risorse e il ruolo di OpsItemCrossAccountExecutionRole esecuzione nell'account. Per ulteriori informazioni sulla creazione di un set di stack, consulta Creazione di un set di stack nella Guida per l'utente di AWS CloudFormation .
Importante
Prendi nota delle seguenti informazioni importanti per questa attività:
-
Il set di stack deve essere implementato dopo aver effettuato l'accesso all'account di gestione di AWS Organizations .
-
Devi ripetere questa procedura dopo aver effettuato l'accesso a tutti gli account scelti come target per l'utilizzo multi-account di OpsItems, incluso l'account di amministratore delegato.
-
Se desideri abilitare l'OpsItemsamministrazione tra account diversi Regioni AWS, scegli Aggiungi tutte le aree nella sezione Specificare le regioni del modello. L'amministrazione di OpsItem tra account non è supportata per le regioni opt-in.
Passaggio 5: Configurazione delle autorizzazioni per lavorare con le risorse correlate su più account
Un OpsItem può includere informazioni dettagliate sulle risorse interessate, ad esempio istanze Amazon Elastic Compute Cloud (Amazon EC2) o bucket Amazon Simple Storage Service (Amazon S3). Il ruolo di esecuzione OpsItemCrossAccountExecutionRole, creato nel precedente Passaggio 4, fornisce a OpsCenter le autorizzazioni di sola lettura che gli account membri possono utilizzare per visualizzare le risorse correlate. Per fornire agli account di gestione l'autorizzazione a visualizzare le risorse correlate e interagire con esse, devi creare un ruolo IAM. Tale operazione viene eseguita in questa attività.
Per iniziare, scarica e decomprimi il file OpsCenterCrossAccountManagementRole.zip. Questo file contiene il file OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation modello. Quando crei uno stack utilizzando questo modello, crea CloudFormation automaticamente il ruolo OpsCenterCrossAccountManagementRole IAM nell'account. Per ulteriori informazioni sulla creazione di uno stack, consulta Creazione di uno stack sulla AWS CloudFormation console nella Guida per l'AWS CloudFormation utente.
Importante
Prendi nota delle seguenti informazioni importanti per questa attività:
-
Se prevedi di specificare un account come amministratore delegato perOpsCenter, assicurati di specificarlo Account AWS quando crei lo stack.
-
Devi eseguire questa procedura dopo aver effettuato l'accesso all'account di gestione di AWS Organizations e ancora una volta dopo aver effettuato l'accesso all'account di amministratore delegato.
