Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer - AWS Systems Manager

Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer

O Systems Manager usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonSSM_AccountDiscovery. O AWS Systems Manager usa esse perfil de serviço do IAM para chamar outros Serviços da AWS para descobrir informações sobre a Conta da AWS.

Permissões de função vinculada ao serviço para detecção de conta do Systems Manager

A função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery confia nos seguintes serviços para aceitar a função:

  • accountdiscovery.ssm.amazonaws.com

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:

  • organizations:DescribeAccount

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListDelegatedServicesForAccount

  • organizations:ListDelegatedAdministrators

  • organizations:ListRoots

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.

Criar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery para o Systems Manager

Você deve criar uma função vinculada ao serviço se quiser usar o Explorer e o OpsCenter, recursos do Systems Manager, entre várias Contas da AWS. Para o OpsCenter, você deve criar a função vinculada ao serviço. Para ter mais informações, consulte (Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas.

Para o Explorer, se você criar uma sincronização de dados de recurso usando o Systems Manager no AWS Management Console, é possível criar a função vinculada ao serviço escolhendo o botão Create role (Criar função). Se você deseja criar uma sincronização de dados de recursos programaticamente, você deve criar a função antes de criar a sincronização de dados de recurso. Você pode criar a função usando a operação da API CreateServiceLinkedRole.

Editar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery para o Systems Manager

O Systems Manager não permite que você edite a função vinculada a serviço AWSServiceRoleForAmazonSSM_AccountDiscovery. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery para o Systems Manager

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

Limpar a função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery

Antes de usar o IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery, você primeiro deve excluir todas as sincronizações de dados de recursos do Explorer.

nota

Se o serviço Systems Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Excluir manualmente a função vinculada ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery do Systems Manager

O Systems Manager oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte AWS Systems ManagerEndpoints e cotas.

Atualiza para a perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery

Visualize detalhes sobre as atualizações do perfil vinculado ao serviço AWSServiceRoleForAmazonSSM_AccountDiscovery service-linked desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico do documento do Systems Manager.

Alteração Descrição Data

Novas permissões adicionadas

Esta função vinculada ao serviço agora inclui as permissões organizations:DescribeOrganizationalUnit e organizations:ListRoots. Essas permissões permitem que uma conta de gerenciamento do AWS Organizations ou uma conta de administrador delegado do Systems Manager trabalhem com OpsItems entre contas. Para ter mais informações, consulte (Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas.

17 de outubro de 2022