Démarrer avec Quick Setup - AWS Systems Manager
Rôles et autorisations IAM pour l'intégration de Quick SetupIntégration manuelle pour travailler avec l'Quick SetupAPI de manière programmatique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démarrer avec Quick Setup

Utilisez les informations de cette rubrique pour vous aider à vous préparer à utiliser Quick Setup.

Rôles et autorisations IAM pour l'intégration de Quick Setup

Quick Setup a lancé une nouvelle expérience de console et une nouvelle API. Vous pouvez désormais interagir avec cette API à l'aide de la console AWS CLI, AWS CloudFormation, et SDKs. Si vous optez pour la nouvelle expérience, vos configurations existantes sont recréées à l’aide de la nouvelle API. En fonction du nombre de configurations existantes dans votre compte, ce processus peut prendre plusieurs minutes.

Pour utiliser la nouvelle console Quick Setup, vous devez disposer des autorisations pour effectuer les actions suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/AWS-QuickSetup-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm-quicksetup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Pour limiter les utilisateurs aux autorisations de lecture seule, autorisez uniquement les opérations ssm-quicksetup:List* et ssm-quicksetup:Get* pour l’API Quick Setup.

Lors de l'intégration, Quick Setup crée les rôles AWS Identity and Access Management (IAM) suivants en votre nom :

  • AWS-QuickSetup-LocalExecutionRole : octroie à AWS CloudFormation les autorisations pour utiliser n’importe quel modèle (à l’exception du modèle de politique de correctif) et créer les ressources nécessaires.

  • AWS-QuickSetup-LocalAdministrationRole— Accorde l'autorisation AWS CloudFormation d'assumerAWS-QuickSetup-LocalExecutionRole.

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Accorde l'autorisation AWS CloudFormation d'utiliser le modèle de politique de correctifs et de créer les ressources nécessaires.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Accorde l'autorisation AWS CloudFormation d'assumerAWS-QuickSetup-PatchPolicy-LocalExecutionRole.

Si vous créez un compte de gestion, le compte dans lequel vous créez une organisation, crée Quick Setup également les rôles suivants en AWS Organizations votre nom :

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer : octroie des autorisations au runbook Automation AWS-EnableExplorer. Le AWS-EnableExplorer runbook configureExplorer, un outil dans Systems Manager, pour afficher des informations pour plusieurs Comptes AWS et. Régions AWS

  • AWSServiceRoleForAmazonSSM— Un rôle lié à un service qui donne accès aux AWS ressources gérées et utilisées par Systems Manager.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery— Rôle lié à un service qui autorise Systems Manager à appeler pour découvrir des Compte AWS informations lors Services AWS de la synchronisation des données. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour collecter des Compte AWS informations pour OpsCenter and Explorer.

Lors de l'intégration d'un compte de gestion, Quick Setup permet un accès fiable entre AWS Organizations et CloudFormation pour déployer des Quick Setup configurations au sein de votre organisation. Pour activer l'accès approuvé, votre compte de gestion doit disposer d'autorisations d'administrateur. Après l'intégration, vous n'avez plus besoin d'autorisations d'administrateur. Pour de plus amples informations, consultez Activer l'accès approuvé avec Organizations.

Pour plus d'informations sur les types de AWS Organizations comptes, consultez AWS Organizations la terminologie et les concepts du Guide de AWS Organizations l'utilisateur.

Note

Quick Setuputilise AWS CloudFormation StackSets pour déployer vos configurations dans toutes Comptes AWS les régions. Si le nombre de comptes cibles multiplié par le nombre de régions dépasse 10 000, le déploiement de la configuration échoue. Nous vous recommandons de revoir votre cas d'utilisation et de créer des configurations qui utilisent moins de cibles pour s'adapter à la croissance de votre organisation. Les instances de piles ne sont pas déployées sur le compte de gestion de votre organisation. Pour plus d'informations, consultez Considérations lors de la création d'un ensemble de piles avec des autorisations gérées par le service.

Intégration manuelle pour travailler avec l'Quick SetupAPI de manière programmatique

Si vous employez la console pour utiliser Quick Setup, le service gère les étapes d’intégration pour vous. Si vous envisagez d'utiliser SDKs ou d' AWS CLI utiliser l'Quick SetupAPI, vous pouvez toujours utiliser la console pour effectuer les étapes d'intégration à votre place afin de ne pas avoir à les exécuter manuellement. Cependant, certains clients doivent effectuer les étapes d’intégration pour Quick Setup par programmation sans interagir avec la console. Si cette méthode correspond à votre cas d’utilisation, vous devez suivre les étapes suivantes. Toutes ces étapes doivent être effectuées depuis votre compte AWS Organizations de gestion.

Pour finaliser l’intégration manuelle pour Quick Setup

  1. Activez un accès sécurisé pour AWS CloudFormation les Organisations. Cela fournit au compte de gestion les autorisations nécessaires pour créer et gérer StackSets pour votre organisation. Vous pouvez utiliser AWS CloudFormation l'action de l'ActivateOrganizationsAccessAPI pour terminer cette étape. Pour plus d’informations, consultez ActivateOrganizationsAccess dans la Référence d’API AWS CloudFormation .

  2. Activez l’intégration de Systems Manager avec Organizations. Cela permet à Systems Manager de créer un rôle lié à un service dans tous les comptes de votre organisation. Cela permet également à Systems Manager d’effectuer en votre nom les opérations dans votre organisation et ses comptes. Vous pouvez utiliser AWS Organizations l'action de l'EnableAWSServiceAccessAPI pour terminer cette étape. Le principal service de Systems Manager est ssm.amazonaws.com .Pour plus d'informations, consultez la section Activer l'AWSServiceaccès dans le guide de référence des AWS Organizations API.

  3. Créez le rôle IAM requis pour Explorer. Cela permet à Quick Setup de créer des tableaux de bord pour vos configurations afin que vous puissiez visualiser les statuts de déploiement et d’association. Créez un rôle IAM et attachez‑y la politique gérée AWSSystemsManagerEnableExplorerExecutionPolicy. Modifiez la politique d’approbation pour le rôle pour qu’elle corresponde à ce qui suit. Remplacez chacune account ID par vos informations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*"
                }
            }
        }
    ]
}

  4. Mettez à jour le paramètre de service Quick Setup pour Explorer. Vous pouvez utiliser l’action d’API UpdateServiceSettings d’Quick Setup pour finaliser cette étape. Spécifiez l’ARN du rôle IAM que vous avez créé à l’étape précédente pour le paramètre de demande ExplorerEnablingRoleArn. Pour plus d’informations, consultez UpdateServiceSettings dans la Référence d’API Quick Setup.

  5. Créez les rôles IAM requis AWS CloudFormation StackSets à utiliser. Vous devez créer un rôle d’exécution et un rôle d’administration.

    1. Créer le rôle d'exécution. Au moins l’une des politiques gérées AWSQuickSetupDeploymentRolePolicy ou AWSQuickSetupPatchPolicyDeploymentRolePolicy doit être attachée au rôle d’exécution. Si vous créez uniquement des configurations de politiques de correctifs, vous pouvez utiliser la politique gérée AWSQuickSetupPatchPolicyDeploymentRolePolicy. Toutes les autres configurations utilisent la politique AWSQuickSetupDeploymentRolePolicy. Modifiez la politique d’approbation pour le rôle pour qu’elle corresponde à ce qui suit. Remplacez chacun account ID et administration role name par vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account ID:role/administration role name"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    2. Créez le rôle d’administration. La politique d’autorisations doit correspondre à ce qui suit. Remplacez chacun account ID et execution role name par vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:*:iam::account ID:role/execution role name",
            "Effect": "Allow"
        }
    ]
}

      Modifiez la politique d’approbation pour le rôle pour qu’elle corresponde à ce qui suit. Remplacez chacune account ID par vos informations.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}