設定適用於組織的 Change Manager (管理帳戶) - AWS Systems Manager

設定適用於組織的 Change Manager (管理帳戶)

如果您搭配 AWS Organizations 中設定的組織使用 Change Manager (AWS Systems Manager 的功能),則本主題中的任務適用。如果您想要僅搭配單一 AWS 帳戶 使用 Change Manager,則請跳至主題 設定 Change Manager 選項和最佳實務

以 AWS 帳戶 執行本節中的任務,而且該 AWS 帳戶可 Organizations 中的管理帳戶。如需管理帳戶和其他 Organizations 概念的相關資訊,請參閱 AWS Organizations 術語與概念

如果您需要開啟 Organizations 並將帳戶指定為管理帳戶,然後再繼續進行,請參閱《AWS Organizations 使用者指南》中的建立和管理組織

注意

此設定程序無法在下列 AWS 區域 中執行:

  • 歐洲 (米蘭) (eu-south-1)

  • 中東 (巴林) (me-south-1)

  • 非洲 (開普敦) (af-south-1)

  • 亞太區域 (香港) (ap-east-1)

確保您在管理帳戶中的不同區域工作,以執行此程序。

在安裝程序期間,您需要在 Quick Setup (AWS Systems Manager 的功能) 中執行主要任務。

  • 任務 1:註冊貴組織的委派管理員帳戶

    使用 Change Manager 執行的變更相關任務可以您其中一個成員帳戶進行管理,而您可將該帳戶指定為委派管理員帳戶。您註冊的 Change Manager 的委派管理員帳戶會成為您所有 Systems Manager 操作的委派管理員帳戶。(您可能已具有其他 AWS 服務的委派管理員帳戶。) 您的 Change Manager 委派管理員帳戶 (與管理帳戶不同) 可管理整個組織的變更活動,包括變更範本、變更請求和每個核准。在委派管理員帳戶中,您也可以為 Change Manager 營運指定其他組態選項。

    重要

    委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。

  • 任務 2:定義並指定變更申請者角色或自訂任務函數的 Runbook 存取政策,且您要將其用於您的 Change Manager 操作

    若要在 Change Manager 中建立變更請求,您的會員帳戶中的使用者必須獲授予 AWS Identity and Access Management (IAM) 許可,允許他們只能存取自動化 Runbook,並變更您選擇向其提供的範本。

    注意

    當使用者建立變更請求時,他們會先選取變更範本。此變更範本可能會提供多個 Runbook,但使用者只能為每個變更要求選取一個 Runbook。變更範本也可以設定為允許使用者在其請求中包含任何可用的 Runbook。

    若要授予所需的許可,Change Manager 會使用亦為 IAM 所用的任務職能的概念。然而,與 IAM 中的任務職能的 AWS 受管政策不同,您可以指定您的 Change Manager 任務職能的名稱以及這些任務職能的 IAM 許可。

    當您設定任務職能時,建議您建立自訂政策,並僅提供執行變更管理任務所需的權限。例如,您可能根據您定義的任務職能指定許可,以將使用者限制為該特定的 Runbook 組。

    例如,您可以建立名為 DBAdmin 的任務職能。對於此任務職能,您僅可授予與 Amazon DynamoDB 資料庫相關的 Runbook 所需的許可,例如 AWS-CreateDynamoDbBackupAWSConfigRemediation-DeleteDynamoDbTable

    作為另一個範例,您可能只想授予某些使用者使用與 Amazon Simple Storage Service (Amazon S3) 儲存貯體相關的 Runbook 所需的許可,例如 AWS-ConfigureS3BucketLoggingAWSConfigRemediation-ConfigureS3BucketPublicAccessBlock

    Change Manager 的 Quick Setup 中的組態程序也會提供一組完整的 Systems Manager 系統管理許可,以供您套用至您建立的管理角色。

    您部署的每個 Change Manager Quick Setup 組態會在您的委派管理員帳戶中建立具有許可的任務職能,以在您選取的組織單位中執行 Change Manager 範本和 Automation Runbook。您最多可以為 Change Manager 建立 15 個 Quick Setup 組態。

  • 任務 3:選擇組織中要搭配 Change Manager 使用的成員帳戶

    您可以在 Organizations 設定的所有組織單位中以及其營運的所有 AWS 區域 中,搭配所有成員帳戶使用 Change Manager。如果您願意的話,您可以僅搭配部分組織單位使用 Change Manager。

重要

我們強烈建議您在開始此程序之前,先通讀其步驟,以了解您的組態選擇以及授予的許可。特別是規劃您要建立的自訂任務職能,以及您指派給每個任務職能的許可。這可確保當您稍後將您建立的任務職能政策連接到個別使用者、使用者群組或 IAM 角色時,只會授予您想要讓他們擁有的許可。

最佳實務是,先使用 AWS 帳戶 管理員登入設定委派管理員帳戶。然後在建立變更範本並識別每個範本使用的 Runbook 之後,設定任務職能及其許可。

若要設定與組織搭配使用的 Change Manager,請在 Systems Manager 主控台的 Quick Setup 區域中執行以下任務。

您可以針對您要為組織建立的每個任務職能重複此任務。您建立的每個任務職能擁有針對不同組織單位的許可。

若要在 Organizations 管理帳戶中設定 Change Manager 的組織

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Quick Setup

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後在導覽窗格中選擇 Quick Setup

  3. 選擇 Create (建立)。

  4. 選擇 Change Manager,然後選擇 Next (下一步)

  5. 對於 Delegated administrator account (委派管理員帳戶),輸入您要用來管理變更範本、變更請求和 Change Manager 中的 Runbook 工作流程的 AWS 帳戶 的 ID。

    如果您先前已為 Systems Manager 指定委派管理員帳戶,其 ID 已在此欄位中報告。

    重要

    委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。

    如果您註冊的委派管理員帳戶稍後會從該角色取消註冊,系統會同時移除其管理 Systems Manager 操作的許可。請注意,您需要返回 Quick Setup、指定不同的委派管理員帳戶,然後再次指定所有任務職能和許可。

    如果您在整個組織中使用 Change Manager,我們建議始終從委派管理員帳戶進行變更。雖然您可以從組織中的其他帳戶進行變更,但這些變更將不會在委派管理員帳戶中報告或檢視。

  6. Permissions to request and make changes (請求和進行變更的許可) 區段中,執行下列動作。

    注意

    您建立的每個部署組態只會針對一個任務職能提供許可政策。您可以稍後返回 Quick Setup,以便在您建立要用於操作的變更範本時,建立更多任務職能。

    若要建立管理員角色 – 對於對所有 AWS 動作具有 IAM 許可的管理員任務職能 動作,請執行下列動作。

    重要

    授予使用者完整的管理許可務必謹慎進行,且只有當他們的角色需要完整的 Systems Manager 存取權限時進行。如需 Systems Manager 存取之安全考量的重要資訊,請參閱 適用於 AWS Systems Manager 的 Identity and Access Management 的安全最佳實務Systems Manager

    1. 對於 Job function (任務職能),輸入名稱以識別此角色及其許可,例如 MyAWSAdmin

    2. 對於 Role and permissions option (角色和許可選項),選擇 Administrator permissions (管理員許可)。

    若要建立其他任務職能 – 若要建立非管理角色,請執行下列動作:

    1. 對於 Job function (任務職能),輸入名稱以識別此角色及建議其許可。您選擇的名稱應代表您將提供許可的 Runbook 範圍,例如 DBAdminS3Admin

    2. 對於 Role and permissions option (角色和許可選項),選擇 Custom permissions (自訂許可)。

    3. Permissions policy editor (許可政策編輯器) 中,以 JSON 格式輸入 IAM 許可,進而授與此任務職能。

    提示

    我們建議您使用 IAM 政策編輯器來建構政策,然後將政策 JSON 貼到 Permissions policy (許可政策) 欄位。

    範例政策:DynamoDB 資料庫管理

    例如,您可以從政策內容開始,提供使用任務職能需要存取的 Systems Manager 文件 (SSM 文件) 的許可。以下是一個範例政策內容,可授予所有與 DynamoDB 資料庫相關的 AWS 受管自動化 Runbook,以及範例 AWS 帳戶 123456789012 中已建立的兩個變更範本 (位於美國東部 (俄亥俄) 區域 (us-east-2))。

    該政策也包含 StartChangeRequestExecution 操作的許可,這是在 Change Calendar 中建立變更請求所必需的。

    注意

    此範例並不全面。搭配使用其他 AWS 資源可能需要其他許可,例如資料庫和執行個體。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:us-east-2:123456789012:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:us-east-2:123456789012:document/MyFirstDBChangeTemplate", "arn:aws:ssm:us-east-2:123456789012:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "arn:aws:ssm:us-east-2:123456789012:automation-definition/*:*" } ] }

    如需 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS Config 資源的存取管理建立 IAM 政策

  7. Targets (目標) 區段中,選擇要將您建立之任務職能的許可授予整個組織,還是只授予部分組織單位。

    如果您選擇 Entire organization (整個組織),請繼續步驟 9。

    如果選擇 Custom (自訂),請繼續步驟 8。

  8. Target OUs (目標 OU) 區段中,選取要搭配 Change Manager 使用之組織單位的核取方塊。

  9. 選擇 Create (建立)。

系統完成為您組織設定 Change Manager 後,它會顯示部署的摘要。此摘要資訊包括為您設定之任務職能建立的許可政策名稱。例如: .AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole 記下此政策名稱,並將其連接至執行此任務職能的使用者、群組或 IAM 角色。如需連接 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的變更 IAM 使用者的許可

注意

Quick Setup 使用 AWS CloudFormation StackSets 來部署您的組態。您還可以在 AWS CloudFormation 主控台中檢視有關已完成的部署組態的資訊。如需 StackSets 的相關資訊,請參閱《AWS CloudFormation 使用者指南》中的使用 AWS CloudFormation StackSets

您的下一個步驟是設定其他 Change Manager 選項。您可以使用委派管理員帳戶或組織單位中允許搭配 Change Manager 使用的任何帳戶來完成此任務。您可以設定選項,例如選擇使用者身分識別管理選項、指定哪些使用者可以檢閱和核准或拒絕變更範本和變更請求,以及選擇允許您組織的最佳實務選項。如需相關資訊,請參閱「設定 Change Manager 選項和最佳實務」。