開始之前步驟 1：建立資源資料同步步驟 2：啟用 AWS Organizations 中的 Systems Manager 服務主體步驟 3：建立 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色步驟 4：設定跨帳戶使用 OpsItems 的許可步驟 5：設定跨帳戶使用相關資源的許可

(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems

本節說明如何手動設定 OpsCenter 以跨帳戶管理 OpsItem。儘管此程序仍然受到支援，但它已被使用 Systems Manager Quick Setup 的新程序所取代。如需詳細資訊，請參閱(選用) 使用 Quick Setup 設定 OpsCenter 以跨帳戶管理 OpsItems。

您可以設定一个中央帳戶，以便為成員帳戶手動建立 OpsItems，管理並修正這些 OpsItems。中央帳戶可以是 AWS Organizations 管理帳戶，也可以同時是 AWS Organizations 管理帳戶和 Systems Manager 受委派的管理員帳戶。我們建議您使用 Systems Manager 受委派的管理員帳戶作為中央帳戶。在設定 AWS Organizations 之後才能使用此功能。

使用 AWS Organizations，您可以將多個 AWS 帳戶合併到您建立並集中管理的組織中。中央帳戶使用者可以為所有選取的成員帳戶同時建立 OpsItems，並管理這些 OpsItems。

使用本節中的程序來啟用 Organizations 中的 Systems Manager 服務主體，並設定 AWS Identity and Access Management (IAM) 許可，以便跨帳戶使用 OpsItems。

主題

開始之前
步驟 1：建立資源資料同步
步驟 2：啟用 AWS Organizations 中的 Systems Manager 服務主體
步驟 3：建立 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色
步驟 4：設定跨帳戶使用 OpsItems 的許可
步驟 5：設定跨帳戶使用相關資源的許可

注意

跨帳戶使用 OpsCenter 時，僅支援 /aws/issue 類型的 OpsItems。

開始之前

在設定 OpsItems 來跨帳戶使用 OpsCenter 之前，請確定您已設定下列項目：

Systems Manager 委派管理員帳戶。如需詳細資訊，請參閱設定 Explorer 的委派管理員。
在 Organizations 中設定了一個組織。如需詳細資訊，請參閱 AWS Organizations 使用者指南中的建立和管理組織。
您已將 Systems Manager Automation 設定為跨多個 AWS 和 AWS 區域帳戶執行 Automation 執行手冊。如需詳細資訊，請參閱在多個 AWS 區域和帳戶中執行自動化。

步驟 1：建立資源資料同步

在設定和配置 AWS Organizations 之後，您可以透過建立資源資料同步，在 OpsCenter 中為整個組織彙整 OpsItems。如需詳細資訊，請參閱刪除資源資料同步。建立同步時，在新增帳戶區段中，請務必選擇包含我 AWS Organizations 組態中的所有帳戶選項。

步驟 2：啟用 AWS Organizations 中的 Systems Manager 服務主體

若要讓使用者能夠跨帳戶使用 OpsItems，必須在 AWS Organizations 中啟用 Systems Manager 服務主體。如果您先前使用其他功能來設定多帳戶案例的 Systems Manager，則 Systems Manager 服務主體可能已在 Organizations 中設定。在 AWS Command Line Interface (AWS CLI) 中執行以下命令以進行驗證。如果您尚未針對其他多帳戶案例設定 Systems Manager，則請跳至下一個程序：啟用 AWS Organizations 中的 Systems Manager 服務主體。

驗證已啟用 AWS Organizations 中的 Systems Manager 服務主體

下載最新版本的 AWS CLI 至您的本機電腦。
開啟 AWS CLI 並執行以下命令，以指定您的憑證和 AWS 區域。
```
aws configure
```
系統會提示您指定下列項目。在下列範例中，將每個使用者輸入預留位置取代為您自己的資訊。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```

執行以下命令，驗證已為 AWS Organizations 啟用 Systems Manager 服務主體。


aws organizations list-aws-service-access-for-organization

此命令會傳回與以下範例中的內容相似的資訊。


{
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}

啟用 AWS Organizations 中的 Systems Manager 服務主體

如果您先前沒有為 Organizations 設定 Systems Manager 服務主體，則請使用以下程序進行設定。如需有關此命令的詳細資訊，請參閱《AWS CLI 命令參考》中的 enable-aws-service-access。

如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI)，請進行相應的操作。如需詳細資訊，請參閱安裝 CLI 以及設定 CLI。
下載最新版本的 AWS CLI 至您的本機電腦。
開啟 AWS CLI 並執行以下命令，以指定您的憑證和 AWS 區域。
```
aws configure
```
系統會提示您指定下列項目。在下列範例中，將每個使用者輸入預留位置取代為您自己的資訊。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```

執行以下命令，啟用 AWS Organizations 的 Systems Manager 服務主體。


aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

步驟 3：建立 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色

諸如 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色等服務連結角色是直接連結至 AWS 服務 (例如 Systems Manager) 的特殊 IAM 角色類型。服務連結角色由服務預先定義，並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。如需 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色的詳細資訊，請參閱適用於 Systems Manager 帳戶探索的服務連結角色許可。

透過使用 AWS CLI，使用以下程序來建立 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色。如需有關此程序中所用命令的詳細資訊，請參閱《AWS CLI 命令參考》中的 create-service-linked-role。

建立 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色

登入 AWS Organizations 管理帳戶。

登入 Organizations 管理帳戶時，請執行以下命令。


aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

步驟 4：設定跨帳戶使用 OpsItems 的許可

使用 AWS CloudFormation 堆疊集來建立 OpsItemGroup 資源政策和 IAM 執行角色，為使用者提供跨帳戶使用 OpsItems 的許可。若要開始使用，請下載並解壓縮 OpsCenterCrossAccountMembers.zip 檔案。此檔案包含 OpsCenterCrossAccountMembers.yaml AWS CloudFormation 範本檔案。當您使用此範本建立堆疊集時，CloudFormation 會自動在帳戶中建立 OpsItemCrossAccountResourcePolicy 資源政策和 OpsItemCrossAccountExecutionRole 執行角色。如需有關建立堆疊集的詳細資訊，請參閱《AWS CloudFormation 使用者指南》中的建立堆疊集。

重要

記下有關此任務的以下重要資訊。

您必須在登入 AWS Organizations 管理帳戶時部署堆疊集。
您必須在登入到您希望跨帳戶使用 OpsItems 的每個指定帳戶時重複此過程，包括委派管理員帳戶。
如果您要在不同的 AWS 區域中啟用跨帳戶 OpsItems 管理，則請選擇範本的 Specify regions (指定區域) 區段中的 Add all regions (新增所有區域)。選擇加入區域不支援跨帳戶 OpsItem 管理。

OpsItem 可包括受影響資源 (例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 Amazon Simple Storage Service (Amazon S3) 儲存貯體) 的詳細資訊。您在之前步驟 4 中建立的 OpsItemCrossAccountExecutionRole 執行角色會為成員帳戶提供 OpsCenter 唯讀許可，以便檢視相關資源。您還必須建立 IAM 角色，以便為管理帳戶提供檢視相關資源並與之互動的許可，您將在此任務中完成。

若要開始使用，請下載並解壓縮 OpsCenterCrossAccountManagementRole.zip 檔案。此檔案包含 OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation 範本檔案。當您使用此範本建立堆疊時，CloudFormation 會自動在帳戶中建立 OpsCenterCrossAccountManagementRole IAM 角色。如需有關建立堆疊的詳細資訊，請參閱《AWS CloudFormation 使用者指南》中的在 AWS CloudFormation 主控台中建立堆疊。

重要

記下有關此任務的以下重要資訊。

如果您計劃將帳戶指定為 OpsCenter 的委派管理員，則請務必在建立堆疊時指定 AWS 帳戶。
您必須在登入 AWS Organizations 管理帳戶時執行此程序，並在登入委派管理員帳戶時再次執行此程序。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用 Quick Setup 進行設定

設定 Amazon SNS