本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定適用於組織的 Change Manager (管理帳戶)
如果您正在使用Change Manager中設定組織的功能 AWS Systems Manager,則此主題中的工作適用 AWS Organizations。如果您Change Manager只想與單一使用 AWS 帳戶,請跳至主題設定 Change Manager 選項和最佳實務。
在「Organizations」中用作管理帳戶的本節中執行工作。 AWS 帳戶 如需管理帳戶和其他 Organizations 概念的相關資訊,請參閱 AWS Organizations 術語與概念。
如果您需要開啟 Organizations 並將帳戶指定為管理帳戶,然後再繼續進行,請參閱《AWS Organizations 使用者指南》中的建立和管理組織。
注意
此設定程序無法在下列情況下執行 AWS 區域:
-
歐洲 (米蘭) (eu-south-1)
-
中東 (巴林) (me-south-1)
-
非洲 (開普敦) (af-south-1)
-
亞太區域 (香港) (ap-east-1)
確保您在管理帳戶中的不同區域工作,以執行此程序。
在安裝程序期間,您可以執行中Quick Setup的下列主要工作 AWS Systems Manager。
-
任務 1:註冊貴組織的委派管理員帳戶
使用 Change Manager 執行的變更相關任務可以您其中一個成員帳戶中進行管理,而您可將該帳戶指定為委派管理員帳戶。您註冊的 Change Manager 的委派管理員帳戶會成為您所有 Systems Manager 操作的委派管理員帳戶。(您可能已委派其他系統管理員帳戶 AWS 服務)。您的 Change Manager 委派管理員帳戶 (與管理帳戶不同) 可管理整個組織的變更活動,包括變更範本、變更請求和每個核准。在委派管理員帳戶中,您也可以為 Change Manager 營運指定其他組態選項。
重要
委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。
-
任務 2:定義並指定變更申請者角色或自訂任務函數的 Runbook 存取政策,且您要將其用於您的 Change Manager 操作
若要在中建立變更請求Change Manager,您成員帳戶中的使用者必須獲得 AWS Identity and Access Management (IAM) 許可,這些權限只允許他們存取自動化手冊,並變更您選擇提供給他們使用的範本。
注意
當使用者建立變更請求時,他們會先選取變更範本。此變更範本可能會提供多個 Runbook,但使用者只能為每個變更要求選取一個 Runbook。變更範本也可以設定為允許使用者在其請求中包含任何可用的 Runbook。
若要授予所需的許可,Change Manager 會使用亦為 IAM 所用的任務職能的概念。然而,與 IAM 中的任務職能的AWS 受管政策不同,您可以指定您的 Change Manager 任務職能的名稱以及這些任務職能的 IAM 許可。
當您設定任務職能時,建議您建立自訂政策,並僅提供執行變更管理任務所需的權限。例如,您可能根據您定義的任務職能指定許可,以將使用者限制至特定的執行手冊組。
例如,您可以建立名為
DBAdmin的任務職能。對於此任務職能,您僅可授予與 Amazon DynamoDB 資料庫相關的 Runbook 所需的許可,例如AWS-CreateDynamoDbBackup和AWSConfigRemediation-DeleteDynamoDbTable。作為另一個範例,您可能只想授予某些使用者使用與 Amazon Simple Storage Service (Amazon S3) 儲存貯體相關的 Runbook 所需的許可,例如
AWS-ConfigureS3BucketLogging和AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock。Change Manager 的 Quick Setup 中的組態程序也會提供一組完整的 Systems Manager 系統管理許可,以供您套用至您建立的管理角色。
您部署的每個 Change Manager Quick Setup 組態會在您的委派管理員帳戶中建立具有許可的任務職能,以在您選取的組織單位中執行 Change Manager 範本和 Automation Runbook。您最多可以為 Change Manager 建立 15 個 Quick Setup 組態。
-
任務 3:選擇組織中要搭配 Change Manager 使用的成員帳戶
您可以在 Organizations 設定的所有組織單位中以及其營運的所有 AWS 區域 中,搭配所有成員帳戶使用 Change Manager。如果您願意的話,您可以僅搭配部分組織單位使用 Change Manager。
重要
我們強烈建議您在開始此程序之前,先通讀其步驟,以了解您的組態選擇以及授予的許可。特別是規劃您要建立的自訂任務職能,以及您指派給每個任務職能的許可。這可確保當您稍後將您建立的任務職能政策連接到個別使用者、使用者群組或 IAM 角色時,只會授予您想要讓他們擁有的許可。
最佳作法是先使用系統管理員的登入來設定委派的 AWS 帳戶 管理員帳戶。然後在建立變更範本並識別每個範本使用的 Runbook 之後,設定任務職能及其許可。
若要設定與組織搭配使用的 Change Manager,請在 Systems Manager 主控台的 Quick Setup 區域中執行以下任務。
您可以針對您要為組織建立的每個任務職能重複此任務。您建立的每個任務職能擁有針對不同組織單位的許可。
若要在 Organizations 管理帳戶中設定 Change Manager 的組織
請在以下位置開啟 AWS Systems Manager 主控台。
https://console.aws.amazon.com/systems-manager/ 在導覽窗格中,選擇 Quick Setup。
-
在 Change Manager 卡上,選擇 Create (建立)。
-
對於 Delegated administrator account (委派管理員帳戶),輸入您要用來管理變更範本、變更請求和 Change Manager 中的 Runbook 工作流程的 AWS 帳戶 的 ID。
如果您先前已為 Systems Manager 指定委派管理員帳戶,其 ID 已在此欄位中報告。
重要
委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。
如果您註冊的委派管理員帳戶稍後會從該角色取消註冊,系統會同時移除其管理 Systems Manager 操作的許可。請注意,您需要返回 Quick Setup、指定不同的委派管理員帳戶,然後再次指定所有任務職能和許可。
如果您在整個組織中使用 Change Manager,我們建議始終從委派管理員帳戶進行變更。雖然您可以從組織中的其他帳戶進行變更,但這些變更將不會在受委派管理員帳戶中報告,也不可在其中檢視。
-
在 Permissions to request and make changes (請求和進行變更的許可) 區段中,執行下列動作。
注意
您建立的每個部署組態只會針對一個任務職能提供許可政策。您可以稍後返回 Quick Setup,以便在您建立要用於操作的變更範本時,建立更多任務職能。
若要建立管理員角色 – 對於對所有 AWS 動作具有 IAM 許可的管理員任務職能 動作,請執行下列動作。
重要
授予使用者完整的管理許可務必謹慎進行,且只有當他們的角色需要完整的 Systems Manager 存取權限時進行。如需 Systems Manager 存取之安全考量的重要資訊,請參閱 適用於 AWS Systems Manager 的 Identity and Access Management 和 Systems Manager 的安全最佳實務。
-
對於 Job function (任務職能),輸入名稱以識別此角色及其許可,例如
My AWS Admin。 -
對於 Role and permissions option (角色和許可選項),選擇 Administrator permissions (管理員許可)。
若要建立其他任務職能 – 若要建立非管理角色,請執行下列動作:
-
對於 Job function (任務職能),輸入名稱以識別此角色及建議其許可。您選擇的名稱應代表您將提供許可的 Runbook 範圍,例如
DBAdmin或S3Admin。 -
對於 Role and permissions option (角色和許可選項),選擇 Custom permissions (自訂許可)。
-
在 Permissions policy editor (許可政策編輯器) 中,以 JSON 格式輸入 IAM 許可,進而授與此任務職能。
提示
我們建議您使用 IAM 政策編輯器來建構政策,然後將政策 JSON 貼到 Permissions policy (許可政策) 欄位。
範例政策:DynamoDB 資料庫管理
例如,您可以從政策內容開始,提供使用任務職能需要存取的 Systems Manager 文件 (SSM 文件) 的許可。以下是範例原則內容 AWS 帳戶
123456789012,可授予存取與 DynamoDB 資料庫相關的所有 AWS 受管自動化工作流程手冊,以及在範例中建立的兩個變更範本 (位於美國東部 (俄亥俄) 區域 ()。us-east-2該政策也包含 StartChangeRequestExecution 操作的許可,這是在 Change Calendar 中建立變更請求所必需的。
注意
此範例並不全面。使用其他 AWS 資源 (例如資料庫和節點) 時,可能需要其他權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate", "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "arn:aws:ssm:region:123456789012:automation-definition/*:*" } ] }如需 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 資源的存取管理和建立 IAM 政策。
-
-
在 Targets (目標) 區段中,選擇要將您建立之任務職能的許可授予整個組織,還是只授予部分組織單位。
如果您選擇 Entire organization (整個組織),請繼續步驟 9。
如果選擇 Custom (自訂),請繼續步驟 8。
-
在 Target OUs (目標 OU) 區段中,選取要搭配 Change Manager 使用之組織單位的核取方塊。
-
選擇建立。
系統完成為您組織設定 Change Manager 後,它會顯示部署的摘要。此摘要資訊包含為您設定之任務職能建立的角色名稱。例如 AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole。
注意
Quick Setup用 AWS CloudFormation StackSets 於部署您的組態。您還可以在 AWS CloudFormation 主控台中檢視有關已完成的部署組態的資訊。若要取得有關資訊 StackSets,請參閱《使用指南》 AWS CloudFormation StackSets中的〈AWS CloudFormation 使用〉。
您的下一個步驟是設定其他 Change Manager 選項。您可以使用委派管理員帳戶或組織單位中允許搭配 Change Manager 使用的任何帳戶來完成此任務。您可以設定選項,例如選擇使用者身分識別管理選項、指定哪些使用者可以檢閱和核准或拒絕變更範本和變更請求,以及選擇允許您組織的最佳實務選項。如需相關資訊,請參閱設定 Change Manager 選項和最佳實務。
