AWS Systems Manager e AWS Organizations - AWS Organizations

AWS Systems Manager e AWS Organizations

O AWS Systems Manager é uma coleção de recursos que permitem visibilidade e controle dos recursos da AWS. Os seguintes recursos do Systems Manager funcionam com o Organizations em todas as Contas da AWS em sua organização:

  • O System Manager Explorer, é um painel de operações personalizável que fornece informações sobre os recursos da AWS. Você pode sincronizar os dados de operações de todas as Contas da AWS de sua organização usando o Organizations e o Systems Manager Explorer. Para obter mais informações, consulte Systems Manager Explorer no Guia do usuário do AWS Systems Manager.

  • O Change Manager do Systems Manager é um framework de gerenciamento de alterações corporativas para solicitar, aprovar, implementar e emitir relatórios sobre alterações operacionais na configuração e na infraestrutura de suas aplicações. Para obter mais informações, consulte Change Manager do AWS Systems Manager no Guia do usuário do AWS Systems Manager.

  • O Systems Manager OpsCenter fornece um local central no qual engenheiros de operações e profissionais de TI podem visualizar, investigar e solucionar itens de trabalho operacional (OpsItems) relacionados a recursos da AWS. Quando você usa o OpsCenter com o Organizations, ele é capaz de trabalhar com o OpsItems com base em uma conta de gerenciamento (seja uma conta de gerenciamento do Organizations ou uma conta de administrador delegado do Systems Manager) e uma outra conta durante uma única sessão. Após configurados, os usuários podem realizar os seguintes tipos de ações:

    • Criar, visualizar e atualizar o OpsItems em outra conta.

    • Visualizar informações detalhadas sobre os recursos da AWS especificados no OpsItems em outra conta.

    • Iniciar os runbooks do Systems Manager Automation para corrigir problemas com recursos da AWS em outra conta.

    Para obter mais informações, consulte AWS Systems Manager OpsCenter no Guia do usuário do AWS Systems Manager.

Use as informações a seguir para ajudá-lo a integrar o AWS Systems Manager ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Systems Manager realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Systems Manager e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Systems Manager concedem acesso às seguintes entidades de serviço primárias:

  • ssm.amazonaws.com

Habilitar o acesso confiável no Systems Manager

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do AWS Systems Manager ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS Systems Manager para habilitar a integração com o Organizations. Isso permite que o AWS Systems Manager execute qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS Systems Manager. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do AWS Systems Manager, não é necessário concluir estas etapas.

Para habiliar o acesso confiável usando o console do Systems Manager

É necessário acessar usando sua conta de gerenciamento do AWS Organizations e configurar o acesso confiável. Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do AWS Systems Manager:

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha para o AWS Systems Manager, escolha o nome do serviço e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Systems Manager que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS Systems Manager como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal ssm.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no Systems Manager

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

O Systems Manager requer acesso confiável com o AWS Organizations para sincronizar dados de operações entre todas as Contas da AWS de sua organização. Se você desativar o acesso confiável, o Systems Manager não sincroniza os dados das operações e reporta um erro.

Você pode desabilitar o acesso confiável usando as ferramentas do AWS Systems Manager ou do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS Systems Manager para desabilitar a integração com o Organizations. Isso permite que o AWS Systems Manager realize qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessários para o serviço. Continue com estas etapas apenas se você não puder desabilitar a integração usando as ferramentas fornecidas pelo AWS Systems Manager.

Se você desabilitar o acesso confiável usando o console ou as ferramentas do AWS Systems Manager, não é necessário concluir estas etapas.

Para desabilitar acesso confiável usando o console do Systems Manager

Consulte Excluir uma sincronização de dados de recursos do Systems Manager Explorer no Guia do usuário do AWS Systems Manager. Para reabilitar o acesso confiável, é necessário criar uma nova sincronização de dados de recursos para o Systems Manager Explorer.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha do AWS Systems Manager e escolha o nome do serviço.

  3. Escolha Disable trusted access (Desabilitar acesso confiável).

  4. Na caixa de diálogo de confirmação, insira disable e, em seguida, escolha Disable trusted access (Desabilitar acesso confiável).

  5. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Systems Manager que agora ele pode desabilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS Systems Manager como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal ssm.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Habilitar uma conta de administrador delegado para o Systems Manager

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Systems Manager que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Systems Manager.

Se você usa o Change Manager em uma organização, você usa uma conta de administrador delegado. Esta é a Conta da AWS que foi designada como a conta para gerenciar modelos de alteração, solicitações de alteração, runbooks de alteração e fluxos de trabalho de aprovação no Change Manager. A conta delegada gerencia as atividades de alteração em toda a organização. Quando você configura sua organização para uso com o Change Manager, você especifica qual das suas contas desempenhará essa função. Não precisa ser conta de gerenciamento da organização. Não é necessário ter a conta de administrador delegado se você usar o Change Manager com apenas uma conta.

Para designar uma conta-membro como administrador delegado, consulte os seguintes tópicos no Guia do usuário do AWS Systems Manager: