Utilize as informações deste tópico para ajudar você a se preparar para o uso da Quick Setup.
Tópicos
Perfis e permissões do IAM para integração com a Quick Setup
O Quick Setup lançou uma nova experiência de console e uma nova API. Agora você pode interagir com essa API usando o console, a AWS CLI, o AWS CloudFormation e os SDKs. Se você optar pela nova experiência, suas configurações existentes serão recriadas usando a nova API. Dependendo do número de configurações existentes na sua conta, esse processo pode levar vários minutos.
Para usar o novo console da Quick Setup, é necessário ter permissões para as seguintes ações:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm-quicksetup:*",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:ListStackSets",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:GetTemplate",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStackEvents",
"cloudformation:UntagResource",
"ec2:DescribeInstances",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:GetDocument",
"ssm:ListDocuments",
"ssm:DescribeDocument",
"ssm:ListResourceDataSync",
"ssm:DescribePatchBaselines",
"ssm:GetPatchBaseline",
"ssm:DescribeMaintenanceWindows",
"ssm:DescribeMaintenanceWindowTasks",
"ssm:GetOpsSummary",
"organizations:DeregisterDelegatedAdministrator",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"resource-groups:ListGroups",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:CreatePolicy",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"cloudformation:TagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:RollbackStack",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances",
"cloudformation:StopStackSetOperation"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DeleteAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary",
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"accountdiscovery.ssm.amazonaws.com",
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"stacksets.cloudformation.amazonaws.com"
]
}
},
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
}
]
}Para restringir os usuários às permissões de somente leitura, permita somente as operações ssm-quicksetup:List* e ssm-quicksetup:Get* para a API Quick Setup.
Durante a integração, o Quick Setup cria as seguintes regras do AWS Identity and Access Management (IAM) em seu nome:
-
AWS-QuickSetup-LocalExecutionRole: concede permissões do AWS CloudFormation para usar qualquer modelo, excluindo o modelo de política de patch, e cria os recursos necessários. -
AWS-QuickSetup-LocalAdministrationRole: concede permissões para o AWS CloudFormation assumir aAWS-QuickSetup-LocalExecutionRole. -
AWS-QuickSetup-PatchPolicy-LocalExecutionRole: concede permissões do AWS CloudFormation para usar o modelo de política de patch, e cria os recursos necessários. -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole: concede permissões para o AWS CloudFormation assumir aAWS-QuickSetup-PatchPolicy-LocalExecutionRole.
Se você estiver integrando uma conta de gerenciamento (a conta que você usa para criar uma organização no AWS Organizations), a Quick Setup também criará os seguintes perfis em seu nome:
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer: concede permissões para a execução doAWS-EnableExplorerrunbook de automação. O runbookAWS-EnableExplorerconfigura o Explorer, uma ferramenta do Systems Manager, para exibir informações de várias Contas da AWS e Regiões da AWS. -
AWSServiceRoleForAmazonSSM: uma função vinculada ao serviço que concede acesso do ao recursos da AWS gerenciados e usados pelo Systems Manager. -
AWSServiceRoleForAmazonSSM_AccountDiscovery: uma função vinculada ao serviço que concede permissões ao Systems Manager para chamar Serviços da AWS, a fim de descobrir informações da Conta da AWS ao sincronizar os dados. Para ter mais informações, consulte Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer.
Ao integrar uma conta de gerenciamento, o Quick Setup habilita o acesso confiável entre o AWS Organizations e o CloudFormation para implantar as configurações do Quick Setup em toda a sua organização. Para habilitar o acesso confiável, sua conta de gerenciamento deve ter permissões de administrador. Após a integração, você não precisa mais de permissões de administrador. Para obter mais informações, consulte Habilitar o acesso confiável com o Organizations.
Para obter mais informações sobre tipos de conta do AWS Organizations, consulte Terminologia e conceitos do AWS Organizations no Guia do usuário do AWS Organizations.
nota
O Quick Setup usa StackSets do AWS CloudFormation para implantar suas configurações entre Contas da AWS e regiões. Se o número de contas de destino multiplicado pelo número de regiões exceder dez mil, a implantação da configuração falhará. É recomendável analisar seu caso de uso e criar configurações que usem menos destinos para comportar o crescimento de sua organização. As instâncias de pilhas não são implantadas na conta de gerenciamento de sua organização. Para obter mais informações, consulte Considerations when creating a stack set with service-managed permissions.
Integração manual para trabalhar com a API do Quick Setup de forma programática
Se você usa o console para trabalhar com o Quick Setup, o serviço gerencia as etapas de integração para você. Se você planeja usar SDKs ou AWS CLI trabalhar com a API do Quick Setup, ainda pode usar o console para concluir as etapas de integração, sem precisar executá-las manualmente. No entanto, alguns clientes precisam concluir as etapas de integração do Quick Setup forma programática sem interagir com o console. Se esse método for adequado ao seu caso de uso, é necessário executar as etapas a seguir. Todas essas etapas devem ser concluídas em sua conta de gerenciamento do AWS Organizations.
Para concluir a integração manual do Quick Setup
-
Ative o acesso confiável para o AWS CloudFormation com o Organizations. Isso fornece à conta de gerenciamento as permissões para criar e gerenciar StackSets para sua organização. Você pode usar a ação da API
ActivateOrganizationsAccessdo AWS CloudFormation para concluir essa etapa. Para obter mais informações, consulte ActivateOrganizationsAccess na AWS CloudFormation API Reference. -
Permita a integração do Systems Manager com o Organizations. Assim, o Systems Manager pode criar uma função vinculada ao serviço em todas as contas de sua organização. Isso também permite que o Systems Manager realize as operações em seu nome em sua organização e em suas contas. Você pode usar a ação da API
EnableAWSServiceAccessdo AWS Organizations para concluir essa etapa. A entidade principal de serviço do Systems Manager éssm.amazonaws.com.Para obter mais informações, consulte EnableAWSServiceAccess na AWS Organizations API Reference. -
Crie o perfil do IAM necessário para o Explorer. Isso permite que o Quick Setup crie painéis para suas configurações para que você possa visualizar os status de implantação e associação. Crie um perfil do IAM de cluster e anexe a política gerenciada do
AWSSystemsManagerEnableExplorerExecutionPolicy. Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cadaaccount IDpor suas próprias informações.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ArnLike": { "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*" } } } ] } -
Atualize a configuração do serviço do Quick Setup para o Explorer. Você pode usar a ação da API
UpdateServiceSettingsdo Quick Setup para concluir essa etapa. Revise o ARN do perfil do IAM que você criou na etapa anterior para o parâmetro de solicitaçãoExplorerEnablingRoleArn. Para obter mais informações, consulte UpdateServiceSettings na Quick Setup API Reference. -
Crie os perfis do IAM necessários para que os StackSets do AWS CloudFormation os usem. Você deve criar um perfil de execução e um perfil de administração.
-
Crie a função de execução. O perfil de execução deve ter pelo menos uma das políticas gerenciadas
AWSQuickSetupDeploymentRolePolicyouAWSQuickSetupPatchPolicyDeploymentRolePolicyanexadas. Se você estiver criando apenas configurações de políticas de patch, poderá usar a política gerenciadaAWSQuickSetupPatchPolicyDeploymentRolePolicy. Todas as outras configurações usam a políticaAWSQuickSetupDeploymentRolePolicy. Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cadaID da contaenome do perfil administrativopor suas informações.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/administration role name" }, "Action": "sts:AssumeRole" } ] } -
Crie o perfil administrativo. A política de permissões deve corresponder ao seguinte. Substitua cada
ID da contaenome do perfil de execuçãopor suas informações.{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": "arn:*:iam::account ID:role/execution role name", "Effect": "Allow" } ] }Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cada
account IDpor suas próprias informações.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*" } } } ] }
-
