Configuration des rôles et des autorisations pour Systems Manager Explorer - AWS Systems Manager
Configuration d'autorisations pour Systems Manager OpsCenter

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des rôles et des autorisations pour Systems Manager Explorer

Le programme d'installation intégré crée et configure automatiquement des rôles AWS Identity and Access Management (IAM) pour AWS Systems Manager Explorer et. AWS Systems Manager OpsCenter Si vous avez terminé l'installation intégrée, vous n'avez pas besoin d'effectuer de tâches supplémentaires pour configurer les rôles et les autorisations pour Explorer. Toutefois, vous devez configurer l'autorisation pour OpsCenter, comme décrit ultérieurement dans cette rubrique.

L'installation intégrée crée et configure les rôles suivants pour travailler avec Explorer et OpsCenter.

  • AWSServiceRoleForAmazonSSM : fournit l'accès aux ressources gérées par AWS ou utilisées par Systems Manager.

  • OpsItem-CWE-Role: autorise CloudWatch les événements et permet EventBridge de créer des événements OpsItems en réponse à des événements courants.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery: Permet à Systems Manager d'appeler d'autres personnes Services AWS pour découvrir Compte AWS des informations lors de la synchronisation des données. Pour plus d’informations sur ce rôle, consultez Utilisation de rôles pour collecter des informations sur les Compte AWS pour OpsCenter et Explorer.

  • AmazonSSMExplorerExport: Permet d'exporter Explorer OpsData vers un fichier de valeurs séparées par des virgules (CSV).

Si vous configurez Explorer pour afficher les données de plusieurs comptes et régions à l'aide AWS Organizations d'une synchronisation des données de ressources, Systems Manager crée le rôle AWSServiceRoleForAmazonSSM_AccountDiscovery lié au service. Systems Manager utilise ce rôle pour obtenir des informations sur votre Comptes AWS entrée AWS Organizations. Le rôle utilise la politique d'autorisations suivante.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

Pour plus d'informations sur le rôle AWSServiceRoleForAmazonSSM_AccountDiscovery, consultez Utilisation de rôles pour collecter des informations sur les Compte AWS pour OpsCenter et Explorer.

Configuration d'autorisations pour Systems Manager OpsCenter

Après avoir terminé l'installation intégrée, vous devez configurer les autorisations d'utilisateur, de groupe ou de rôle afin que les utilisateurs puissent effectuer des actions dans OpsCenter.

Avant de commencer

Vous pouvez configurer OpsCenter pour créer et gérer OpsItems pour un seul compte ou pour plusieurs comptes. Si vous configurez OpsCenter pour créer et gérer OpsItems plusieurs comptes, vous pouvez utiliser le compte d'administrateur délégué de Systems Manager ou le compte de AWS Organizations gestion pour créer, afficher ou modifier manuellement OpsItems dans d'autres comptes. Pour plus d’informations sur le compte d’administrateur délégué de Systems Manager, consultez Configuration d’un administrateur délégué pour Explorer.

Si vous configurez OpsCenter pour un seul compte, vous pouvez uniquement consulter ou modifier les OpsItems du compte sur lequel les OpsItems ont été créés. Vous ne pouvez pas partager ou transférer de l'un OpsItems à l'autre Comptes AWS. Pour cette raison, nous vous recommandons de configurer les autorisations pour OpsCenter Compte AWS ce qui est utilisé pour exécuter vos AWS charges de travail. Vous pouvez ensuite créer des utilisateurs ou groupes dans ce compte. De cette manière, les ingénieurs de plusieurs opérations ou professionnels de l'informatique peuvent créer, afficher et modifier OpsItems dans le même Compte AWS.

Explorer et OpsCenter utilisent les opérations d'API suivantes. Vous pouvez utiliser toutes les fonctions d'Explorer et d'OpsCenter si votre utilisateur, groupe ou rôle a accès à ces actions. Vous pouvez également créer un accès plus restrictif, comme décrit plus loin dans cette section.

Si vous préférez, vous pouvez spécifier l'autorisation de lecture seule en ajoutant la politique en ligne suivante à votre compte, groupe ou rôle.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

Pour de plus amples informations sur la création de politiques IAM, consultez Création de politiques IAM dans le guide de l'utilisateur IAM. Pour de plus amples informations sur la façon d'attribuer cette politique à un groupe IAM, consultez Attacher une politique à un groupe IAM.

Créez une autorisation à l'aide des éléments suivants et ajoutez-la à vos utilisateurs, groupes ou rôles :

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

En fonction de l’application d’identité que vous utilisez dans votre organisation, vous pouvez sélectionner n’importe laquelle des options suivantes pour configurer l’accès des utilisateurs.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Restriction de l'accès aux OpsItems à l'aide de balises

Vous pouvez également limiter l'accès de OpsItems à l'aide d'une politique IAM en ligne qui spécifie des balises. Voici un exemple qui spécifie une clé de balise Service et une valeur de balise Finance. Avec cette politique, l'utilisateur ne peut appeler l'opération GetOpsItemAPI OpsItems que pour afficher les opérations précédemment étiquetées avec Key=Department et Value=Finance. Les utilisateurs ne peuvent pas afficher les autres OpsItems.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

Voici un exemple qui spécifie les opérations d'API pour l'affichage et la mise à jour d' OpsItems. Cette politique spécifie également deux ensembles de paires clé/valeur de balises : ministère des Finances et projet Unity.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

Pour plus d'informations sur l'ajout de balises à un OpsItem, consultez Créer manuellement OpsItems.