Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di Change Manager per un'organizzazione (account di gestione)
Le attività in questo argomento si applicano se utilizziChange Manager, una funzionalità di AWS Systems Manager, con un'organizzazione configurata in AWS Organizations. Se desideri utilizzarle Change Manager solo con una Account AWS, vai all'argomentoConfigurazione di opzioni Change Manager e best practice.
Esegui le attività in questa sezione in un account Account AWS che funge da account di gestione in Organizations. Per informazioni sull'account di gestione e su altri concetti relativi alle Organizations, consulta Concetti e terminologia AWS Organizations.
Se è necessario attivare Organizations e specificare il proprio account come account di gestione prima di procedere, consulta Creating and managing an organization (Creazione e gestione di un'organizzazione) nella Guida per l'utente AWS Organizations .
Nota
Questo processo di configurazione non può essere eseguito nei seguenti casi Regioni AWS:
-
Europa (Milano) (eu-south-1)
-
Medio Oriente (Bahrein) (me-south-1)
-
Africa (Città del Capo) (af-south-1)
-
Asia Pacifico (Hong Kong) ap-east-1
Assicurati di lavorare in una Regione diversa nel tuo account di gestione per questa procedura.
Durante la procedura di configurazione, si eseguono le seguenti attività principali inQuick Setup, una capacità di AWS Systems Manager.
-
Processo 1: registrare l'account amministratore delegato per l'organizzazione
I processi correlati alle modifiche eseguite utilizzando Change Manager sono gestite in uno dei tuoi account membri, da indicare come account amministratore delegato. L'account amministratore delegato registrato in Change Manager diventa l'account amministratore delegato per tutte le operazioni di Systems Manager. (Potresti avere account amministrativi delegati per altri Servizi AWS). L'account di amministratore delegato per Change Manager, che non è uguale all'account di gestione, gestisce le attività di modifica all'interno dell'organizzazione, inclusi modelli di modifica, richieste di modifica e approvazioni per ciascuna di esse. Nell'account amministratore delegato è inoltre possibile specificare altre opzioni di configurazione per le operazioni Change Manager.
Importante
L'account amministratore delegato deve essere l'unico membro dell'unità organizzativa (OU) a cui è assegnato in Organizations.
-
Processo 2: definire e specificare i criteri di accesso al runbook per i ruoli del richiedente di modifica o le funzioni di processo personalizzate che si desidera utilizzare per le operazioni Change Manager
Per creare richieste di modifica inChange Manager, agli utenti dei tuoi account membro devono essere concesse le autorizzazioni AWS Identity and Access Management (IAM) che consentano loro di accedere solo ai runbook di automazione e ai modelli di modifica che scegli di rendere disponibili.
Nota
Quando un utente crea una richiesta di modifica, seleziona innanzitutto un modello di modifica. Questo modello di modifica potrebbe rendere disponibili più runbook, ma l'utente può selezionare un solo runbook per ogni richiesta di modifica. È inoltre possibile configurare i modelli di modifica per consentire agli utenti di includere qualsiasi runbook disponibile nelle proprie richieste.
Per concedere le autorizzazioni necessarie, Change Manager utilizza il concetto di funzioni di processo, che viene utilizzato anche da IAM. Tuttavia, a differenza delle policy AWS gestite per le funzioni di processo in IAM, è possibile specificare entrambi i nomi dell'utente Change Manager per le funzioni di processo e le autorizzazioni IAM per tali funzioni di processo.
Quando si configura una funzione di processo, si consiglia di creare una policy personalizzata e di fornire solo le autorizzazioni necessarie per eseguire i processi di gestione delle modifiche. Ad esempio, puoi specificare le autorizzazioni che limitano gli utenti a quel set specifico di runbook in base a funzioni di processo che definisci.
Ad esempio, è possibile creare una funzione di processo con il nome
DBAdmin. Per questa funzione di processo, è possibile concedere solo le autorizzazioni necessarie per i runbook correlati ai database Amazon DynamoDB, ad esempioAWS-CreateDynamoDbBackupeAWSConfigRemediation-DeleteDynamoDbTable.Ad esempio, potresti voler concedere ad alcuni utenti solo le autorizzazioni necessarie per lavorare con i runbook correlati ai bucket Amazon Simple Storage Service (Amazon S3), ad esempio
AWS-ConfigureS3BucketLoggingeAWSConfigRemediation-ConfigureS3BucketPublicAccessBlock.Il processo di configurazione in Quick Setup per Change Manager rende inoltre disponibile un set di autorizzazioni amministrative complete di Systems Manager da applicare a un ruolo amministrativo creato dall'utente.
Ogni configurazioneChange Manager Quick Setup distribuita crea una funzione di processo nell'account amministratore delegato con autorizzazioni per l'esecuzione di modelli Change Manager e runbook di automazione nelle unità organizzative selezionate. È possibile creare fino a 15 configurazioni Quick Setup per Change Manager.
-
Processo 3: scegliere gli account membri dell'organizzazione da utilizzare con Change Manager
Puoi utilizzare Change Manager con tutti gli account membri in tutte le unità organizzative impostate in Organizations e in tutte le Regioni AWS in cui operano. Se preferisci, puoi invece utilizzare Change Manager solo con alcune delle unità organizzative.
Importante
Si consiglia vivamente, prima di iniziare questa procedura, di leggere i passaggi relativi per comprendere le scelte di configurazione che si stanno facendo e le autorizzazioni concesse. In particolare, pianificare le funzioni di processo personalizzate che verranno create e le autorizzazioni assegnate a ciascuna funzione di processo. In questo modo, quando successivamente si allegano i criteri delle funzioni di processo creati a singoli utenti, gruppi di utenti o ruoli IAM, vengono concesse solo le autorizzazioni che si intende disporre.
Come procedura ottimale, inizia configurando l'account amministratore delegato utilizzando il login di un amministratore. Account AWS Configurare quindi le funzioni del processo e le relative autorizzazioni dopo aver creato i modelli di modifica e identificato i runbook utilizzati da ciascuno di essi.
Per configurare Change Manager per l'utilizzo con un'organizzazione, eseguire il seguente processo in Quick Setup della console Systems Manager.
Ripetere questo processo per ogni funzione di processo che si desidera creare per l'organizzazione. Ogni funzione di processo creata può disporre delle autorizzazioni per un set diverso di unità organizzative.
Per configurare un'organizzazione per Change Manager nell'account di gestione delle Organizations
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. Nel riquadro di navigazione, scegli Quick Setup.
-
Nella scheda Change Manager, scegli Create (Crea).
-
In Account amministratore delegato (Abilita un account di amministratore delegato), immetti l'ID della Account AWS che si desidera utilizzare per la gestione di modelli di modifica, richieste di modifica e flussi di lavoro del runbook in Change Manager.
Se in precedenza è stato specificato un account amministratore delegato per Systems Manager, il relativo ID viene già segnalato in questo campo.
Importante
L'account amministratore delegato deve essere l'unico membro dell'unità organizzativa (OU) a cui è assegnato in Organizations.
Se l'account amministratore delegato registrato viene successivamente annullato da tale ruolo, il sistema rimuove le autorizzazioni per la gestione delle operazioni di Systems Manager contemporaneamente. Tieni presente che sarà necessario per tornare a Quick Setup, designare un account amministratore delegato diverso e specificare nuovamente tutte le funzioni e le autorizzazioni di processo.
Se utilizziChange Manager in un'organizzazione, si consiglia di apportare sempre modifiche dall'account amministratore delegato. Sebbene sia possibile apportare modifiche da altri account dell'organizzazione, tali modifiche non verranno segnalate o visualizzate dall'account amministratore delegato.
-
Nelle Permissions to request and make change (Autorizzazioni per richiedere e apportare modifiche), procedi come indicato di seguito.
Nota
Ogni configurazione di distribuzione che è stata creata fornisce policy di autorizzazione per una sola funzione di processo. È possibile tornare a Quick Setup in seguito per creare più funzioni di processo quando sono stati creati modelli di modifica da utilizzare nelle operazioni.
Per creare un ruolo amministrativo— Per una funzione di processo di amministratore che dispone di autorizzazioni IAM per tutte le operazioni AWS , procedere come descritto di seguito.
Importante
La concessione di autorizzazioni amministrative complete agli utenti deve essere eseguita con parsimonia e solo se i ruoli richiedono l'accesso completo a Systems Manager. Per informazioni importanti sulle considerazioni sulla sicurezza per l'accesso a Systems Manager, consultaGestione delle identità e degli accessi per l'AWS Systems Manager e Best practice relative alla sicurezza di Systems Manager.
-
Per Funzione di processo, immettere un nome per identificare questo ruolo e le relative autorizzazioni, ad esempio
My AWS Admin. -
Per l'opzione Ruolo e autorizzazioni, scegliereAutorizzazioni dell'amministratore.
Creare altre funzioni di processo; per creare un ruolo non amministrativo, procedere come segue:
-
Per Funzione di processo, immettere un nome per identificare questo ruolo e suggerirne le autorizzazioni. Il nome scelto deve rappresentare l'ambito dei runbook per i quali verranno fornite le autorizzazioni, ad esempio
DBAdminoS3Admin. -
Per l'opzione Ruolo e autorizzazioni, scegliere Autorizzazioni personalizzate.
-
Nell'Editor della policy di autorizzazione, immettere le autorizzazioni IAM, in formato JSON, da concedere a questa funzione di processo.
Suggerimento
Si consiglia di utilizzare l'editor della policy IAM per costruire il criterio e quindi incollare il criterio JSON nel file Policy delle autorizzazioni.
Policy di esempio: gestione del database DynamoDB
Ad esempio, è possibile iniziare con il contenuto di policy che fornisce autorizzazioni per l'utilizzo dei documenti di Systems Manager (documenti SSM) a cui la funzione di processo deve accedere. Di seguito è riportato un contenuto di policy di esempio che garantisce l'accesso a tutti i runbook di automazione AWS gestiti relativi ai database DynamoDB e a due modelli di modifica che sono stati creati nell'esempio Account AWS
123456789012, nella regione Stati Uniti orientali (Ohio) () ().us-east-2La policy include anche l'autorizzazione per l'operazione StartChangeRequestExecution, necessaria per creare una richiesta di modifica in Change Calendar.
Nota
Questo esempio non è completo. Potrebbero essere necessarie autorizzazioni aggiuntive per lavorare con altre AWS risorse, come database e nodi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate", "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*" } ] }Per ulteriori informazioni sulle policy IAM, consulta Gestione degli accessi per Risorse AWS e Creazione di policy IAM nella Guida per l'utente IAM.
-
-
Nella sezione Targets, scegliere se concedere le autorizzazioni per la funzione di processo che stai creando per l'intera organizzazione o solo ad alcune unità organizzative.
Se si sceglie Intera organizzazione continuare con la fase 9.
Se si sceglie Personalizza continuare con la fase 8.
-
Nella sezione Unità organizzative di destinazionecelezionare le caselle di controllo delle unità organizzative da utilizzare con Change Manager.
-
Scegliere Create (Crea).
Al termine della configurazione del sistema Change Manager per l'organizzazione, visualizza un riepilogo delle distribuzioni. Queste informazioni di riepilogo includono il nome del ruolo creato per la funzione di processo configurata. Ad esempio, AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole.
Nota
Quick Setuputilizza AWS CloudFormation StackSets per distribuire le configurazioni. È inoltre possibile visualizzare le informazioni su una configurazione di distribuzione completata nella console AWS CloudFormation . Per informazioni su StackSets, consulta Working with AWS CloudFormation StackSets nella Guida per l'AWS CloudFormation utente.
La fase successiva consiste nel configurare ulteriori opzioni Change Manager. È possibile completare questo processo nell'account amministratore delegato o in qualsiasi account in un'unità organizzativa consentita per l'utilizzo con Change Manager. È possibile configurare opzioni quali la scelta di un'opzione di gestione delle identità utente, specificare gli utenti che possono esaminare e approvare o rifiutare i modelli di modifica e le richieste di modifica e scegliere le opzioni di best practice da consentire per l'organizzazione. Per informazioni, consulta Configurazione di opzioni Change Manager e best practice.
