(Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas - AWS Systems Manager
Antes de começarEtapa 1: criar uma sincronização de dados de recursosEtapa 2: habilitar a entidade principal de serviço do Systems Manager no AWS OrganizationsEtapa 3: criar o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_AccountDiscoveryEtapa 4: configurar permissões para trabalhar com OpsItems entre contasEtapa 5: configurar permissões para trabalhar com recursos relacionados entre contas

(Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas

Esta seção descreve como configurar manualmente o OpsCenter para gerenciamento de OpsItem entre contas. Embora ainda haja suporte para esse processo, ele foi substituído por um processo mais novo que usa a Quick Setup do Systems Manager. Para ter mais informações, consulte (Opcional) Configurar o OpsCenter para gerenciar OpsItems entre contas usando a Quick Setup.

É possível configurar uma conta central para criar OpsItems de forma manual para contas de membros, e gerenciar e corrigir esses OpsItems. A conta central pode ser a conta de gerenciamento do AWS Organizations ou a conta de gerenciamento do AWS Organizations e a conta de administrador delegado do Systems Manager. É recomendável usar a conta de administrador delegado do Systems Manager como conta central. É possível usar esse recurso somente depois que você configura o AWS Organizations.

Com o AWS Organizations, é possível consolidar diversas Contas da AWS em uma organização que você cria e gerencia de forma centralizada. O usuário da conta central pode criar OpsItems para todas as contas de membro selecionadas simultaneamente e gerenciar os OpsItems.

Use o processo nesta seção para habilitar a entidade principal de serviço do Systems Manager no Organizations e configurar as permissões do AWS Identity and Access Management (IAM) para trabalhar com OpsItems entre contas.

nota

Há suporte somente para OpsItems do tipo /aws/issue para operação com o OpsCenter entre contas.

Antes de começar

Antes de configurar o OpsCenter para trabalhar com OpsItems entre contas, certifique-se de ter configurado o seguinte:

Etapa 1: criar uma sincronização de dados de recursos

Depois de instalar e configurar o AWS Organizations, será possível agregar OpsItems ao OpsCenter para uma organização inteira criando uma sincronização de dados de recursos. Para ter mais informações, consulte Criar uma sincronização de dados de recursos. Ao criar a sincronização, na seção Adicionar contas, escolha a opção Incluir todas as contas da minha configuração do AWS Organizations.

Etapa 2: habilitar a entidade principal de serviço do Systems Manager no AWS Organizations

Para permitir que um usuário trabalhe com OpsItems entre contas, a entidade principal de serviço do Systems Manager deve estar habilitada no AWS Organizations. Se você configurou anteriormente o Systems Manager para cenários de várias contas usando outros recursos, talvez a entidade principal de serviço do Systems Manager já esteja configurada no Organizations. Execute os comandos a seguir a partir da AWS Command Line Interface (AWS CLI) para verificar. Se você não configurou o Systems Manager para outros cenários de diversas contas, vá para o próximo procedimento, Para habilitar a entidade principal de serviço do Systems Manager no AWS Organizations.

Para verificar se a entidade principal de serviço do Systems Manager está habilitada no AWS Organizations

  1. Faça download da versão mais recente da AWS CLI para sua máquina local.

  2. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região da AWS.

    aws configure

    O sistema solicita que você especifique o seguinte. No exemplo a seguir, substitua cada espaço reservado para entrada do usuário por suas próprias informações.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  3. Execute o comando a seguir para verificar se a entidade principal de serviço do Systems Manager está ativada para o AWS Organizations.

    aws organizations list-aws-service-access-for-organization

    O comando retorna informações semelhantes às mostradas no exemplo a seguir.

    {
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}
Para habilitar a entidade principal de serviço do Systems Manager no AWS Organizations

Se você não configurou previamente a entidade principal de serviço do Systems Manager para o Organizations, use o procedimento a seguir para fazer isso. Para obter mais informações sobre este comando, consulte enable-aws-service-access na Referência de comandos da AWS CLI.

  1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito. Para obter informações, consulte Instalar a CLI e Configurar a CLI.

  2. Faça download da versão mais recente da AWS CLI para sua máquina local.

  3. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região da AWS.

    aws configure

    O sistema solicita que você especifique o seguinte. No exemplo a seguir, substitua cada espaço reservado para entrada do usuário por suas próprias informações.

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  4. Execute o comando a seguir para habilitar a entidade principal de serviço do Management Manager para o AWS Organizations.

    aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

Etapa 3: criar o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery

Uma função vinculada ao serviço como a função AWSServiceRoleForAmazonSSM_AccountDiscovery é um tipo exclusivo de perfil do IAM vinculado diretamente a um AWS service (Serviço da AWS), como o Systems Manager. As funções vinculadas a serviços são predefinidas pelo serviço e incluem todas as permissões que o serviço requer para chamar outros Serviços da AWS em seu nome. Para obter mais informações sobre a função vinculada ao serviço do AWSServiceRoleForAmazonSSM_AccountDiscovery, consulte Permissões de função vinculada ao serviço para detecção de conta do Systems Manager.

Use o procedimento a seguir para criar a função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery usando a AWS CLI. Para obter mais informações sobre o comando usado neste procedimento, consulte create-service-linked-role na Referência de comandos da AWS CLI.

Para criar a função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery

  1. Faça login na conta de gerenciamento do AWS Organizations.

  2. Enquanto estiver conectado à conta de gerenciamento do Organizations, execute o comando a seguir.

    aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

Etapa 4: configurar permissões para trabalhar com OpsItems entre contas

Use stacksets do AWS CloudFormation para criar uma política de recursos de OpsItemGroup e um perfil de execução do IAM que forneça aos usuários permissão para trabalhar com OpsItems entre contas. Para começar, baixe e descompacte o arquivo OpsCenterCrossAccountMembers.zip. Este arquivo contém o arquivo de modelo do OpsCenterCrossAccountMembers.yaml AWS CloudFormation. Quando você cria um conjunto de pilhas usando esse modelo, o CloudFormation cria automaticamente a política de recursos OpsItemCrossAccountResourcePolicy e a função de execução OpsItemCrossAccountExecutionRole na conta. Para obter mais informações sobre a criação de conjuntos de pilhas, consulte Criação de um conjunto de pilhas no Guia do usuário do AWS CloudFormation.

Importante

Observe as seguintes informações importantes sobre esta tarefa:

  • O stackset deve ser implantado enquanto você está conectado com a conta de gerenciamento do AWS Organizations.

  • Você deve repetir esse procedimento enquanto estiver em conexão com todas as contas de destino com as quais deseja trabalhar com OpsItems entre contas, incluindo a conta de administrador delegado.

  • Se você quiser habilitar a administração de OpsItems entre contas em diferentes Regiões da AWS, escolha Add all regions (Adicionar todas as regiões) na seção Specify regions (Especificar regiões) do modelo. Não há suporte para a administração de OpsItem entre contas com regiões opcionais.

Um OpsItem pode incluir informações detalhadas sobre os recursos afetados, como as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou os buckets do Amazon Simple Storage Service (Amazon S3). O perfil de execução OpsItemCrossAccountExecutionRole, criado na Etapa 4, fornece ao OpsCenter permissões somente de leitura para que as contas de membros visualizem os recursos relacionados. Você também deve criar um perfil do IAM para fornecer às contas de gerenciamento permissão para visualizar e interagir com os recursos relacionados, o que você concluirá nesta tarefa.

Para começar, baixe e descompacte o arquivo OpsCenterCrossAccountManagementRole.zip. Este arquivo contém o arquivo de modelo do OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation. Quando você cria uma pilha usando esse modelo, o CloudFormation cria automaticamente o perfil do IAM OpsCenterCrossAccountManagementRole na conta. Para obter mais informações sobre a criação de uma pilha, consulte Criação de uma pilha no console do AWS CloudFormation no Guia do usuário do AWS CloudFormation.

Importante

Observe as seguintes informações importantes sobre esta tarefa:

  • Se você planeja especificar uma conta como um administrador delegado para o OpsCenter, certifique-se de especificar essa Conta da AWS ao criar a pilha.

  • Você deve executar esse procedimento enquanto estiver em conexão com a conta de gerenciamento do AWS Organizations e, novamente, enquanto estiver em conexão com a conta de administrador delegado.