Konfigurieren von Rollen und Berechtigungen für Systems Manager Explorer - AWS Systems Manager
Konfigurieren von Berechtigungen für Systems Manager OpsCenter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Rollen und Berechtigungen für Systems Manager Explorer

Integrated Setup erstellt und konfiguriert automatisch AWS Identity and Access Management (IAM) -Rollen für AWS Systems Manager Explorer und. AWS Systems Manager OpsCenter Wenn Sie das integrierte Setup abgeschlossen haben, müssen Sie keine zusätzlichen Aufgaben ausführen, um Rollen und Berechtigungen für Explorer zu konfigurieren. Sie müssen jedoch die Berechtigung für OpsCenter konfigurieren, wie weiter unten in diesem Thema beschrieben.

Das integrierte Setup erstellt und konfiguriert die folgenden Rollen für die Arbeit mit Explorer und OpsCenter.

  • AWSServiceRoleForAmazonSSM: Bietet Zugriff auf AWS -Ressourcen, die von Systems Manager verwaltet oder verwendet werden.

  • OpsItem-CWE-Role: Ermöglicht CloudWatch Ereignisse und das Erstellen EventBridge von Inhalten als Reaktion OpsItems auf häufig auftretende Ereignisse.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery: Ermöglicht Systems Manager, beim Synchronisieren von Daten andere aufzurufen, AWS-Services um AWS-Konto Informationen zu ermitteln. Weitere Informationen über diese Rolle finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto-Informationen für OpsCenter und Explorer.

  • AmazonSSMExplorerExport: Ermöglicht Explorer den Export in eine OpsData Datei mit kommagetrennten Werten (CSV).

Wenn Sie so konfigurierenExplorer, dass Daten aus mehreren Konten und Regionen mithilfe AWS Organizations einer Ressourcendatensynchronisierung angezeigt werden, erstellt Systems Manager die AWSServiceRoleForAmazonSSM_AccountDiscovery dienstverknüpfte Rolle. Systems Manager verwendet diese Rolle, um Informationen über Ihr Konto AWS-Konten abzurufen AWS Organizations. Die Rolle verwendet die folgende Berechtigungsrichtlinie.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

Weitere Informationen zur AWSServiceRoleForAmazonSSM_AccountDiscovery-Rolle finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto-Informationen für OpsCenter und Explorer.

Konfigurieren von Berechtigungen für Systems Manager OpsCenter

Nachdem Sie die integrierte Einrichtung abgeschlossen haben, müssen Sie Benutzer-, Gruppen- oder Rollenberechtigungen konfigurieren, damit Benutzer Aktionen in OpsCenter ausführen können.

Bevor Sie beginnen

Sie können OpsCenter so konfigurieren, dass OpsItems für ein einzelnes Konto oder über mehrere Konten hinweg erstellt und verwaltet wird. Wenn Sie so konfigurieren, OpsCenter dass mehrere Konten erstellt OpsItems und verwaltet werden, können Sie entweder das delegierte Systems Manager Manager-Administratorkonto oder das AWS Organizations Verwaltungskonto verwenden, um andere Konten manuell zu erstellen, anzuzeigen oder zu bearbeitenOpsItems. Weitere Informationen zu dem delegierten Administratorkonto von Systems Manager finden Sie unter Konfigurierung eines delegierten Administrators für Explorer.

Wenn Sie OpsCenter für ein einzelnes Konto konfigurieren, können Sie OpsItems nur in dem Konto anzeigen oder bearbeiten, in dem OpsItems erstellt wurden. Sie können es nicht teilen oder übertragenOpsItems. AWS-Konten Aus diesem Grund empfehlen wir Ihnen, Berechtigungen für OpsCenter das zu konfigurieren AWS-Konto , das zur Ausführung Ihrer AWS Workloads verwendet wird. Anschließend können Sie in diesem Konto -Benutzer oder -Gruppen erstellen. Auf diese Weise können mehrere Betriebstechniker oder IT-Experten OpsItems in demselben AWS-Konto erstellen, einsehen und bearbeiten.

Explorer und OpsCenter verwenden die folgenden API-Operationen. Sie können alle Funktionen von Explorer und OpsCenter verwenden, wenn Ihre Benutzer, Gruppe oder Rolle über Zugriff für diese Aktionen verfügen. Sie können auch strengere Zugriffsberechtigungen erstellen, wie weiter unten in diesem Abschnitt beschrieben.

Wenn Sie möchten, können Sie eine schreibgeschützte Berechtigung angeben, indem Sie Ihrem Konto, Ihrer Gruppe oder Rolle die folgende Inline-Richtlinie hinzufügen.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

Weitere Informationen zum Erstellen von IAM-Benutzer-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch. Weitere Informationen zum Zuweisen dieser Richtlinie zu einer IAM-Gruppe finden Sie unter Zuordnen einer Richtlinie zu einer IAM-Gruppe.

Erstellen Sie wie folgt eine Berechtigung und fügen Sie sie Ihren Benutzern, Gruppen oder Rollen hinzu:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

Abhängig von der Identitätsanwendung, die Sie in Ihrer Organisation verwenden, können Sie eine der folgenden Optionen auswählen, um den Benutzerzugriff zu konfigurieren.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Einschränken des Zugriffs auf OpsItems mithilfe von Tags

Sie können auch den Zugriff auf OpsItems einschränken, indem Sie eine IAM-Inlinerichtlinie verwenden, die Tags festlegt. Hier sehen Sie ein Beispiel, das einen Tag-Schlüssel für Abteilung und einen Tag-Wert für Finanzen angibt. Mit dieser Richtlinie kann der Benutzer den GetOpsItemAPI-Vorgang nur aufrufen, um Daten anzuzeigenOpsItems, die zuvor mit Key=Department und Value=Finance gekennzeichnet waren. Benutzer haben keinen Zugriff auf andere OpsItems.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

Hier sehen Sie ein Beispiel, das API-Vorgänge zum Einsehen und Aktualisieren von OpsItems angibt. Diese Richtlinie gibt auch zwei Sätze von Tag-Schlüssel-Wert-Paaren an: Abteilung-Finanzen und Projekt-Unity.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

Weitere Informationen zum Hinzufügen von Tags zu einem OpsItem finden Sie unter Manuelles Erstellen der OpsItems.