本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Systems Manager Explorer 的角色和許可
整合式安裝程式會自動為 AWS Systems Manager 檔案總管和設定 AWS Identity and Access Management (IAM) 角色。 AWS Systems Manager OpsCenter如果您已完成整合式設定,則不需要執行任何其他工作來設定 Explorer 的角色和許可。但是,您必須設定 OpsCenter 的許可,如本主題稍後所述。
關於整合式設定建立的角色
整合式設定會建立和設定下列角色,以使用 Explorer 和 OpsCenter。
-
AWSServiceRoleForAmazonSSM︰提供由 Systems Manager 管理或使用的 AWS 資源存取權限。 -
OpsItem-CWE-Role:允許 CloudWatch 事件並 EventBridge 建立OpsItems以回應常見事件。 -
AWSServiceRoleForAmazonSSM_AccountDiscovery:允許 Systems Manager 在同步處理資料時呼叫其他人 AWS 服務 來探索 AWS 帳戶 資訊。如需有關此角色的詳細資訊,請參閱 關於AWSServiceRoleForAmazonSSM_AccountDiscovery角色。 -
AmazonSSMExplorerExport:允許導出Explorer OpsData 到逗號分隔值(CSV)文件。
關於AWSServiceRoleForAmazonSSM_AccountDiscovery角色
如果您設定Explorer使用和資源資料同步來顯示來自多個帳號 AWS Organizations 和區域的資料,則 Systems Manager 會建立服務連結角色。Systems Manager 會使用此角色來取得 AWS Organizations中 AWS 帳戶 的相關資訊。該角色會使用下列許可政策。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }
如需 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色的詳細資訊,請參閱 使用角色收集 AWS 帳戶 資OpsCenter訊 Explorer。
設定的 Systems Manager OpsCenter 的許可
完成整合式設定之後,您必須設定使用者、群組或角色許可,以便使用者在 OpsCenter 中執行動作。
開始之前
您可以將 OpsCenter 設定為建立和管理跨多個帳戶或僅單一帳戶的 OpsItems。如果您將 OpsCenter 設定為建立和管理跨多個帳戶的 OpsItems,則 AWS Organizations 管理帳戶可以在其他帳戶中手動建立、檢視或編輯 OpsItems。如有需要,您也可以選取 Systems Manager 委派管理員帳戶,以便在成員帳戶中建立和管理 OpsItems。 但是,如果您將 OpsCenter 設定為單一帳戶,則只能在建立 OpsItems 的帳戶中檢視或編輯 OpsItems。您無法共享或轉OpsItems移 AWS 帳戶。因此,我們建議您為OpsCenter中設定用於執行 AWS 工作負載的權限。 AWS 帳戶 然後,您就可以在該帳戶中建立 使用者或群組。利用這種方式,多位營運工程師或 IT 專業人員即可在相同的 AWS 帳戶中建立、檢視和編輯 OpsItems。
Explorer並OpsCenter使用以下API操作。如果使用者、群組或角色可以存取這些動作,您就可以使用 Explorer 和 OpsCenter 的所有功能。您也可以建立更嚴格的存取權,如本節前文所述。
您可以視需要將下列內嵌政策新增至帳戶、群組或角色,以指定唯讀許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }
如需有關建立和編輯IAM策略的詳細資訊,請參閱《IAM使用指南》中的〈建立IAM策略〉。如需如何將此原則指派給IAM群組的相關資訊,請參閱將原則附加至IAM群組。
使用以下項目建立許可並將許可新增至使用者、群組或角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
根據您在組織中使用的身分識別應用程式,您可以選取下列任何選項來設定使用者存取權限。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
使用者和群組位於 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
IAM透過身分識別提供者管理的使用者:
建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。
-
IAM使用者:
-
建立您的使用者可擔任的角色。請按照《用戶指南》中的「為IAM用戶創建角色」中的IAM說明進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《使用者指南》中的「向使用者 (主控台) 新增權限」IAM 中的指示進行。
-
使用標籤限制存取 OpsItems
您也可以使用指定標籤OpsItems的內嵌IAM原則來限制存取。以下範例會指定 Department 的標籤鍵和 Finance 的標籤值。使用此原則時,使用者只能呼叫GetOpsItemAPI作業以檢視OpsItems先前標記為金鑰 = 部門和值 = 財務的檢視。使用者無法檢視任何其他 OpsItems。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }
以下是指定檢視和更新API作業的範例OpsItems。此政策還會指定兩組標籤金鑰/值對:Department-Finance 和 Project-Unity。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }
如需將標籤新增到 OpsItem 的資訊,請參閱 手動建立 OpsItems。
