本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Systems Manager Explorer 的角色和許可
整合式設定會自動建立和設定 AWS Systems Manager Explorer 和 AWS Systems Manager OpsCenter 的 AWS Identity and Access Management (IAM) 角色。如果您已完成整合式設定,則不需要執行任何其他工作來設定 Explorer 的角色和許可。但是,您必須設定 OpsCenter 的許可,如本主題稍後所述。
關於整合式設定建立的角色
整合式設定會建立和設定下列角色,以使用 Explorer 和 OpsCenter。
-
AWSServiceRoleForAmazonSSM︰提供由 Systems Manager 管理或使用的 AWS 資源存取權限。 -
OpsItem-CWE-Role:允許 CloudWatch Events 和 EventBridge 建立 OpsItems 以回應常見事件。 -
AWSServiceRoleForAmazonSSM_AccountDiscovery︰允許 Systems Manager 呼叫其他 AWS 服務,以在同步資料時探索 AWS 帳戶 資訊。如需有關此角色的詳細資訊,請參閱 關於AWSServiceRoleForAmazonSSM_AccountDiscovery角色。 -
AmazonSSMExplorerExport:允許 Explorer 將 OpsData 匯出至以逗號分隔值的 (CSV) 檔案。
關於AWSServiceRoleForAmazonSSM_AccountDiscovery角色
如果將 Explorer 設定為使用 AWS Organizations 和資源資料同步以顯示來自多個帳戶和區域的資料,則 Systems Manager 會建立服務連結角色。Systems Manager 會使用此角色來取得 AWS Organizations 中 AWS 帳戶 的相關資訊。該角色會使用下列許可政策。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListParents" ], "Resource":"*" } ] }
如需 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色的詳細資訊,請參閱 使用角色收集 AWS 帳戶 資OpsCenter訊 Explorer。
設定的 Systems Manager OpsCenter 的許可
完成整合式設定之後,您必須設定使用者、群組或角色許可,以便使用者在 OpsCenter 中執行動作。
開始之前
您可以將 OpsCenter 設定為建立和管理跨多個帳戶或僅單一帳戶的 OpsItems。如果您將 OpsCenter 設定為建立和管理跨多個帳戶的 OpsItems,則 AWS Organizations 管理帳戶可以在其他帳戶中手動建立、檢視或編輯 OpsItems。如有需要,您也可以選取 Systems Manager 委派管理員帳戶,以便在成員帳戶中建立和管理 OpsItems。 但是,如果您將 OpsCenter 設定為單一帳戶,則只能在建立 OpsItems 的帳戶中檢視或編輯 OpsItems。無法跨 AWS 帳戶 共享或傳輸 OpsItems。因此,建議您在用來執行 AWS 工作負載的 AWS 帳戶 中設定 OpsCenter 許可。然後,您就可以在該帳戶中建立 使用者或群組。利用這種方式,多位營運工程師或 IT 專業人員即可在相同的 AWS 帳戶 中建立、檢視和編輯 OpsItems。
Explorer 和 OpsCenter 會使用下列 API 操作。如果使用者、群組或角色可以存取這些動作,您就可以使用 Explorer 和 OpsCenter 的所有功能。您也可以建立更嚴格的存取權,如本節前文所述。
您可以視需要將下列內嵌政策新增至帳戶、群組或角色,以指定唯讀許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:GetOpsSummary", "ssm:DescribeOpsItems", "ssm:GetServiceSetting", "ssm:ListResourceDataSync" ], "Resource": "*" } ] }
如需有關建立和編輯 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 政策。如需如何將此政策指派給 IAM 群組的資訊,請參閱將政策連接到 IAM 群組。
使用以下項目建立許可並將許可新增至使用者、群組或角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "*" } ] }
視您在組織中使用的身分應用程式而定, 您可以選取下列任何選項設定使用者存取權。
若要提供存取權,請新增許可到您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立許可集合。請遵循《AWS IAM Identity Center 使用者指南》的建立許可集合中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接連接至使用者,或將使用者新增至使用者群組。請遵循《IAM 使用者指南》的新增許可到使用者 (主控台)中的指示。
-
使用標籤限制存取 OpsItems
您也可以使用指定標籤的內嵌 IAM 政策,限制存取 OpsItems。以下範例會指定 Department 的標籤鍵和 Finance 的標籤值。使用此政策,使用者只能呼叫 GetOpsItem API 操作,檢視之前以 Key=Department 和 Value=Finance 標記的 OpsItems。使用者無法檢視任何其他 OpsItems。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetOpsItem" ], "Resource": "*" , "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } } } ] }
以下範例會指定檢視和更新 OpsItems 的 API 操作。此政策還會指定兩組標籤金鑰/值對:Department-Finance 和 Project-Unity。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:GetOpsItem", "ssm:UpdateOpsItem" ], "Resource":"*", "Condition":{ "StringEquals":{ "ssm:resourceTag/Department":"Finance", "ssm:resourceTag/Project":"Unity" } } } ] }
如需將標籤新增到 OpsItem 的資訊,請參閱 手動建立 OpsItems。
