選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems

PDF
RSS
焦點模式
(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems - AWS Systems Manager
開始之前步驟 1:建立資源資料同步步驟 2:在 中啟用 Systems Manager 服務主體 AWS Organizations步驟 3:建立 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色步驟 4:設定跨帳戶使用 OpsItems 的許可步驟 5:設定跨帳戶使用相關資源的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本節說明如何手動設定 OpsCenter 以跨帳戶管理 OpsItem。儘管此程序仍然受到支援,但它已被使用 Systems Manager Quick Setup 的新程序所取代。如需詳細資訊,請參閱(選用) 使用 Quick Setup 設定 OpsCenter 以跨帳戶管理 OpsItems

您可以設定一个中央帳戶,以便為成員帳戶手動建立 OpsItems,管理並修正這些 OpsItems。中央帳戶可以是管理帳戶,也可以是 AWS Organizations AWS Organizations 管理帳戶和 Systems Manager 委派管理員帳戶。我們建議您使用 Systems Manager 受委派的管理員帳戶作為中央帳戶。在設定 AWS Organizations之後才能使用此功能。

使用 AWS Organizations,您可以將多個 合併 AWS 帳戶 到您集中建立和管理的組織。中央帳戶使用者可以為所有選取的成員帳戶同時建立 OpsItems,並管理這些 OpsItems。

使用本節中的程序,在 Organizations 中啟用 Systems Manager 服務主體,並設定 AWS Identity and Access Management (IAM) 許可以OpsItems跨帳戶使用 。

注意

跨帳戶使用 OpsCenter 時,僅支援 /aws/issue 類型的 OpsItems。

開始之前

在設定 OpsItems 來跨帳戶使用 OpsCenter 之前,請確定您已設定下列項目:

步驟 1:建立資源資料同步

在您設定和設定之後 AWS Organizations,您可以透過建立資源資料同步OpsCenter,將整個組織彙總OpsItems到 中。如需詳細資訊,請參閱刪除資源資料同步。建立同步時,在新增帳戶區段中,請務必選擇包含我 AWS Organizations 組態中的所有帳戶選項。

步驟 2:在 中啟用 Systems Manager 服務主體 AWS Organizations

若要讓使用者跨OpsItems帳戶使用 ,則必須在 中啟用 Systems Manager 服務主體 AWS Organizations。如果您先前使用其他工具為多帳戶案例設定 Systems Manager,則 Systems Manager 服務主體可能已在 Organizations 中設定。在 AWS Command Line Interface (AWS CLI) 中執行以下命令以進行驗證。如果您尚未針對其他多帳戶案例設定 Systems Manager,則請跳至下一個程序:啟用 AWS Organizations中的 Systems Manager 服務主體

若要確認已在 中啟用 Systems Manager 服務主體 AWS Organizations

  1. 將最新版本的 下載 AWS CLI 到您的本機機器。

  2. 開啟 AWS CLI,並執行下列命令來指定您的登入資料和 AWS 區域。

    aws configure

    系統會提示您指定下列項目。在下列範例中,將每個使用者輸入預留位置取代為您自己的資訊。

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  3. 執行以下命令,驗證已為 AWS Organizations啟用 Systems Manager 服務主體。

    aws organizations list-aws-service-access-for-organization

    此命令會傳回與以下範例中的內容相似的資訊。

    {
    "EnabledServicePrincipals": [
        {
            "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
        },
        {
            "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
            "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
        },
        {
            "ServicePrincipal": "ssm.amazonaws.com",
            "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
        }
    ]
}
在 中啟用 Systems Manager 服務主體 AWS Organizations

如果您先前沒有為 Organizations 設定 Systems Manager 服務主體,則請使用以下程序進行設定。如需有關此命令的詳細資訊,請參閱《AWS CLI 命令參考》中的 enable-aws-service-access

  1. 如果您尚未安裝並設定 AWS Command Line Interface (AWS CLI),請執行此作業。如需詳細資訊,請參閱安裝 CLI 以及設定 CLI

  2. 將最新版本的 下載 AWS CLI 到您的本機機器。

  3. 開啟 AWS CLI,並執行下列命令來指定您的登入資料和 AWS 區域。

    aws configure

    系統會提示您指定下列項目。在下列範例中,將每個使用者輸入預留位置取代為您自己的資訊。

    AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER

  4. 執行以下命令,啟用 AWS Organizations的 Systems Manager 服務主體。

    aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"

步驟 3:建立 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色

例如 AWSServiceRoleForAmazonSSM_AccountDiscovery角色的服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS 服務,例如 Systems Manager。服務連結角色是由 服務預先定義,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。如需 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色的詳細資訊,請參閱適用於 Systems Manager 帳戶探索的服務連結角色許可

透過使用 AWS CLI,使用以下程序來建立 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色。如需有關此程序中所用命令的詳細資訊,請參閱《AWS CLI 命令參考》中的 create-service-linked-role

建立 AWSServiceRoleForAmazonSSM_AccountDiscovery 服務連結角色

  1. 登入 AWS Organizations 管理帳戶。

  2. 登入 Organizations 管理帳戶時,請執行以下命令。

    aws iam create-service-linked-role \
    --aws-service-name accountdiscovery.ssm.amazonaws.com \
    --description "Systems Manager account discovery for AWS Organizations service-linked role"

步驟 4:設定跨帳戶使用 OpsItems 的許可

使用 AWS CloudFormation 堆疊集來建立OpsItemGroup資源政策和 IAM 執行角色,以授予使用者OpsItems跨帳戶使用 的許可。若要開始使用,請下載並解壓縮 OpsCenterCrossAccountMembers.zip 檔案。此檔案包含 OpsCenterCrossAccountMembers.yaml AWS CloudFormation 範本檔案。當您使用此範本建立堆疊集時,CloudFormation 會自動在帳戶中建立 OpsItemCrossAccountResourcePolicy 資源政策和 OpsItemCrossAccountExecutionRole 執行角色。如需有關建立堆疊集的詳細資訊,請參閱《AWS CloudFormation 使用者指南》中的建立堆疊集

重要

記下有關此任務的以下重要資訊。

  • 您必須在登入 AWS Organizations 管理帳戶時部署堆疊集。

  • 您必須在登入到您希望跨帳戶使用 OpsItems 的每個指定帳戶時重複此過程,包括委派管理員帳戶。

  • 如果您想要在不同的 中啟用跨帳戶OpsItems管理 AWS 區域,請選擇在範本的指定區域區段中新增所有區域。 選擇加入區域不支援跨帳戶 OpsItem 管理。

OpsItem 可包括受影響資源 (例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 Amazon Simple Storage Service (Amazon S3) 儲存貯體) 的詳細資訊。您在之前步驟 4 中建立的 OpsItemCrossAccountExecutionRole 執行角色會為成員帳戶提供 OpsCenter 唯讀許可,以便檢視相關資源。您還必須建立 IAM 角色,以便為管理帳戶提供檢視相關資源並與之互動的許可,您將在此任務中完成。

若要開始使用,請下載並解壓縮 OpsCenterCrossAccountManagementRole.zip 檔案。此檔案包含 OpsCenterCrossAccountManagementRole.yaml AWS CloudFormation 範本檔案。當您使用此範本建立堆疊時,CloudFormation 會自動在帳戶中建立 OpsCenterCrossAccountManagementRole IAM 角色。如需建立堆疊的詳細資訊,請參閱AWS CloudFormation 《 使用者指南》中的在 AWS CloudFormation 主控台上建立堆疊

重要

記下有關此任務的以下重要資訊。

  • 如果您打算將帳戶指定為 的委派管理員OpsCenter,請務必在建立堆疊 AWS 帳戶 時指定 。

  • 您必須在登入 AWS Organizations 管理帳戶時執行此程序,並在登入委派管理員帳戶時再次執行此程序。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。