Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Nozioni di base su Quick Setup
Usa le informazioni contenute in questo argomento per prepararti all'uso di Quick Setup.
Ruoli e autorizzazioni IAM per l'onboarding di Quick Setup
Il 1° luglio 2024, Quick Setup ha lanciato una nuova esperienza di console e una nuova API. Puoi scegliere di attivare subito la nuova esperienza selezionando il pulsante Optin nel banner nella parte superiore della Quick Setup console. Se accedi alla nuova esperienza, le configurazioni esistenti vengono ricreate utilizzando la nuova API. A seconda del numero di configurazioni esistenti nel tuo account, questo processo può richiedere diversi minuti.
Per utilizzare la nuova Quick Setup console, è necessario disporre delle autorizzazioni per le seguenti azioni:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm-quicksetup:*", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:ListStackSetOperations", "cloudformation:ListStackInstances", "cloudformation:DescribeStackSet", "cloudformation:ListStackSets", "cloudformation:DescribeStackInstance", "cloudformation:DescribeOrganizationsAccess", "cloudformation:ActivateOrganizationsAccess", "cloudformation:GetTemplate", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStackEvents", "ec2:DescribeInstances", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:ListDocuments", "ssm:DescribeDocument", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks", "ssm:GetOpsSummary", "organizations:DeregisterDelegatedAdministrator", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "resource-groups:ListGroups", "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:CreatePolicy", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "cloudformation:TagResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:RollbackStack", "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStackSet", "cloudformation:UpdateStackSet", "cloudformation:DeleteStackSet", "cloudformation:DeleteStackInstances", "cloudformation:CreateStackInstances", "cloudformation:StopStackSetOperation" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:PassRole", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Effect": "Allow", "Action": [ "ssm:DeleteAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "accountdiscovery.ssm.amazonaws.com", "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "stacksets.cloudformation.amazonaws.com" ] } }, "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin" } ] }
Per limitare gli utenti alle autorizzazioni di sola lettura, consenti solo le ssm-quicksetup:Get* operazioni ssm-quicksetup:List* e le operazioni relative all'API. Quick Setup
Durante l'onboarding, Quick Setup crea i seguenti ruoli AWS Identity and Access Management (IAM) per tuo conto:
-
AWS-QuickSetup-LocalExecutionRole— Concede AWS CloudFormation le autorizzazioni per utilizzare qualsiasi modello, escluso il modello di policy di patch, e per creare le risorse necessarie. -
AWS-QuickSetup-LocalAdministrationRole— Concede i permessi di assunzione. AWS CloudFormationAWS-QuickSetup-LocalExecutionRole -
AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Concede le autorizzazioni per AWS CloudFormation utilizzare il modello di policy di patch e creare le risorse necessarie. -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Concede le autorizzazioni ad assumere. AWS CloudFormationAWS-QuickSetup-PatchPolicy-LocalExecutionRole
Se stai creando un account di gestione, l'account con cui crei un'organizzazione, crea Quick Setup anche i seguenti ruoli per tuo conto AWS Organizations:
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer: concede le autorizzazioni al runbook di automazioneAWS-EnableExplorer. IlAWS-EnableExplorerrunbook configuraExplorer, una funzionalità di Systems Manager, per visualizzare informazioni per più Account AWS e. Regioni AWS -
AWSServiceRoleForAmazonSSM— Un ruolo collegato al servizio che garantisce l'accesso alle AWS risorse gestite e utilizzate da Systems Manager. -
AWSServiceRoleForAmazonSSM_AccountDiscovery— Un ruolo collegato al servizio che concede a Systems Manager le autorizzazioni per effettuare chiamate per Servizi AWS rilevare Account AWS informazioni durante la sincronizzazione dei dati. Per ulteriori informazioni, consulta Informazioni sul ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery.
Quando si esegue l'onboarding di un account di gestione, Quick Setup consente l'accesso affidabile tra le configurazioni AWS Organizations e CloudFormation l'implementazione all'interno dell'organizzazione. Quick Setup Per abilitare l'accesso attendibile, l'account management deve disporre delle autorizzazioni di amministratore. Dopo l'onboarding, non sono più necessarie le autorizzazioni di amministratore. Per ulteriori informazioni, consulta Attivazione dell'accesso attendibile con Organizations.
Per informazioni sui tipi di AWS Organizations account, consulta la AWS Organizations terminologia e i concetti nella Guida per l'utente.AWS Organizations
Nota
Quick Setuputilizza AWS CloudFormation StackSets per distribuire le configurazioni in tutte Account AWS le regioni. Se il numero di account di destinazione moltiplicato per il numero di regioni supera 10.000, la configurazione non viene implementata. Ti consigliamo di esaminare il tuo caso d'uso e di creare configurazioni che utilizzino un minor numero di obiettivi per soddisfare la crescita della tua organizzazione. Le istanze di stack non vengono implementate nell'account di gestione dell'organizzazione. Per maggiori informazioni, consulta Considerazioni sulla creazione di un set di stack con autorizzazioni gestite dal servizio.
