Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la console unifiée Systems Manager pour une organisation
Le processus de configuration de l’expérience de console unifiée Systems Manager s’effectue à partir de l’AWS Management Console, en quelques clics seulement. Pour configurer Systems Manager pour une organisation AWS Organizations, vous devez avoir accès au compte de gestion de votre organisation ainsi qu’à un autre compte de votre organisation à utiliser en tant qu’administrateur délégué. L’accès au compte de gestion est uniquement nécessaire pour activer ou désactiver Systems Manager. Pour gérer vos nœuds, vous utiliserez le compte d’administrateur délégué.
Prérequis
Lors de la gestion des nœuds au sein d’une organisation, Systems Manager utilise différents services dépendants pour configurer et améliorer les fonctionnalités de la console unifiée. Par conséquent, Systems Manager doit activer l’accès sécurisé et enregistrer un compte d’administrateur délégué pour les services suivants :
-
AWS CloudFormation : déploie les ressources nécessaires à Systems Manager sur vos comptes.
-
Explorateur de ressources AWS : recherche et filtrage des instances EC2 dans vos comptes.
-
AWS Systems Manager Explorer : surveillance et résolution des problèmes liés à l’état des ressources déployées pour Systems Manager dans vos comptes.
-
AWS Systems Manager Quick Setup : déploie les configurations Quick Setup requises pour Systems Manager sur vos comptes.
Avant de commencer, assurez‑vous que vous n’avez pas déjà dépassé le quota d’administrateurs délégués pour aucun de ces services dépendants. Sinon, vous ne parviendrez pas à enregistrer les comptes d’administrateurs délégués nécessaires pour activer Systems Manager. Lorsque vous activez Systems Manager pour une organisation, tous les comptes de votre organisation sont inclus. À ce point, il n’existe aucune disposition permettant d’exclure des comptes du processus de configuration. Lorsque vous activez Systems Manager, vous pouvez choisir les Régions AWS que vous souhaitez inclure. Seules les régions qui prennent actuellement en charge la console unifiée pour Systems Manager peuvent être sélectionnées. Pour en savoir plus sur les régions dans lesquelles l’expérience de console est disponible, consultez la section Supported Régions AWS.
Ressources de console unifiée
Le processus de configuration de la console unifiée Systems Manager effectue de nombreuses tâches préalables pour vous. Selon les fonctionnalités que vous choisissez de configurer, cela inclut notamment l’activation de la configuration de gestion d’hôte par défaut pour fournir les autorisations IAM requises à vos nœuds. Voici une liste détaillée des ressources créées par Systems Manager pour la console unifiée. Selon les fonctionnalités que vous choisissez de configurer, certaines ressources pourraient ne pas être créées.
Vues gérées Explorateur de ressources AWS
-
AWSManagedViewForSSM: permet à Systems Manager d’accéder aux informations sur les ressources indexées par l’Explorateur de ressources pour votre organisation. Ces vues gérées ne peuvent être mises à jour ou supprimées que par Systems Manager. Cela signifie que si vous souhaitez supprimer les vues gérées ou désactiver l’Explorateur de ressources, vous devez désactiver la console unifiée. Pour plus d’informations sur la désactivation de la console unifiée, consultez Désactivation de la console unifiée Systems Manager. Pour plus d’informations sur les vues gérées, consultez la section Vues gérées AWS dans le Guide de l’utilisateur de l’Explorateur de ressources.Note
Si vous avez créé un index agrégateur pour l’Explorateur de ressources dans une région différente de votre région d’origine, Systems Manager rétrograde l’index actuel. Systems Manager fait ensuite la promotion de l’index local dans votre région d’origine en tant que nouvel index agrégateur. Pendant ce temps, seuls les nœuds de votre région d’origine sont affichés. Ce processus peut prendre jusqu’à 24 heures.
Rôles IAM
-
RoleForOnboardingAutomation: permet à Systems Manager de gérer les ressources pendant le processus de configuration. Pour plus d’informations sur cette politique, consultez la section AWSQuickSetupSSMManageResourcesExecutionPolicy. -
RoleForLifecycleManagement: permet à Lambda de gérer le cycle de vie des ressources créées par le processus de configuration. Pour plus d’informations sur cette politique, consultez la section AWSQuickSetupSSMLifecycleManagementExecutionPolicy. -
RoleForAutomation: rôle de service que Systems Manager Automation doit assumer pour exécuter des dossiers d’exploitation. Pour de plus amples informations, consultez Créer les rôles de service pour l’automatisation à l’aide de la console. -
AWSSSMDiagnosisAdminRole: rôle administratif utilisé pour démarrer des automatisations utilisant des dossiers d’exploitation de diagnostic. Pour plus d’informations sur les politiques, consultez les sections AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy et AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy. -
AWSSSMDiagnosisExecutionRole: rôle d’exécution automatique pour le dossier d’exploitation de diagnostic. Pour plus d’informations sur les politiques, consultez les sections AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy et AWS-SSM-Automation-DiagnosisBucketPolicy. -
AWSSSMRemediationAdminRole: rôle administratif utilisé pour démarrer des automatisations utilisant des dossiers d’exploitation de résolution de problèmes. Pour plus d’informations sur les politiques, consultez les sections AWS-SSM-RemediationAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy et AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy. -
AWSSSMRemediationExecutionRole: rôle d’exécution d’automatisation pour le dossier d’exploitation de résolution des problèmes. Pour plus d’informations sur les politiques, consultez les sections AWS-SSM-RemediationAutomation-ExecutionRolePolicy et AWS-SSM-Automation-DiagnosisBucketPolicy. -
ManagedInstanceCrossAccountManagementRole: permet à Systems Manager de collecter des informations sur les nœuds gérés sur plusieurs comptes.
Associations dans State Manager
-
EnableDHMCAssociation: s’exécute quotidiennement et garantit que la configuration de gestion d’hôte par défaut est activée. -
SystemAssociationForEnablingExplorer: s’exécute quotidiennement et garantit que Explorer est activé. Explorer est utilisé pour synchroniser les données de vos nœuds gérés. -
EnableAREXAssociation: s’exécute quotidiennement et garantit que Explorateur de ressources AWS est activé. Resource Explorer est utilisé pour déterminer les instances Amazon EC2 de votre organisation qui ne sont pas gérées par Systems Manager. -
SSMAgentUpdateAssociation: s’exécute tous les 14 jours et garantit que la dernière version disponible d’SSM Agent est installée sur vos nœuds gérés. -
SystemAssociationForInventoryCollection: s’exécute toutes les 12 heures et collecte les données d’inventaire de vos nœuds gérés.
Compartiments S3
-
DiagnosisBucket: stocke les données collectées lors de l’exécution du dossier d’exploitation de diagnostic.
Fonctions Lambda
-
SSMLifecycleOperatorLambda: permet aux principaux d’accéder à toutes les actions AWS Configuration rapide de Systems Manager. -
SSMLifecycleResource: ressource personnalisée pour aider à gérer le cycle de vie des ressources créées par le processus de configuration.
En outre, une fois le processus de configuration terminé, vous pouvez sélectionner la tâche de nœud Diagnostiquer et corriger pour appliquer automatiquement des correctifs aux nœuds qui ne sont pas signalés comme gérés par Systems Manager. Cela peut inclure l’identification de problèmes tels que les problèmes de connectivité réseau aux points de terminaison Systems Manager. Pour de plus amples informations, consultez Diagnostiquer et remédier.
Configurer la console unifiée
Pour configurer Systems Manager pour une organisation
-
Connectez‑vous au compte de gestion de votre organisation.
Ouvrez la console AWS Systems Manager à l’adresse https://console.aws.amazon.com/systems-manager/
. -
Entrez l’ID du compte que vous souhaitez enregistrer en tant qu’administrateur délégué.
-
Une fois le compte d’administrateur délégué enregistré avec succès, connectez‑vous à ce compte et revenez à la console Systems Manager pour terminer la configuration de Systems Manager.
-
Sélectionnez Activer Systems Manager.
-
Dans la section Région d’origine, vous déterminez la région dans laquelle vous souhaitez que Systems Manager agrège les données de vos nœuds. Par défaut, Systems Manager sélectionne la région que vous utilisez actuellement. Pour choisir une autre région d’origine, modifiez la console avec la région que vous souhaitez utiliser avant de configurer Systems Manager. Les données des nœuds sont répliquées entre les comptes et les régions de votre organisation et stockées dans la région d’origine. La région que vous choisissez ne peut pas être modifiée une fois que Systems Manager est configuré. Pour utiliser une autre région comme région d’origine de votre organisation, vous devez désactiver la console unifiée et recommencer le processus de configuration. Si votre organisation utilise IAM Identity Center, vous devez sélectionner la même région dans laquelle vous avez configuré IAM Identity Center comme région d’origine.
-
Dans la section Régions, sélectionnez les régions dans lesquelles vous souhaitez activer Systems Manager.
-
Dans la section Configurations des fonctionnalités, choisissez les options que vous souhaitez activer pour votre configuration :
- Activer la configuration de gestion de l’hôte par défaut (DHMC)
-
Permet à Systems Manager de configurer DHMC. Cette fonctionnalité permet à Systems Manager d’utiliser un rôle IAM pour s’assurer que toutes les instances Amazon EC2 figurant dans le compte et la région disposent des autorisations nécessaires pour être gérées par Systems Manager. Vous pouvez également spécifier la fréquence de correction des dérives. Une dérive de configuration se produit chaque fois qu’un utilisateur apporte des modifications à un service ou à une fonctionnalité qui entrent en conflit avec les sélections effectuées via votre configuration. Systems Manager vérifie la dérive de la configuration et tente de la corriger en fonction de la fréquence que vous avez spécifiée. Vous devez spécifier une valeur comprise entre 1 et 31 jours. Si vous avez déjà configuré DHMC dans une région, Systems Manager ne modifie pas le rôle IAM que vous avez sélectionné précédemment. Pour plus d’informations sur DHMC, consultez Gestion automatique EC2 des instances avec la configuration de gestion d'hôte par défaut.
DHMC permet de gérer les instances Amazon EC2 sans avoir à créer manuellement un profil d’instance AWS Identity and Access Management (IAM). Nous vous encourageons à choisir cette option pour vous assurer que vos instances EC2 disposent des autorisations nécessaires pour être gérées par Systems Manager.
- Activation de la collecte des métadonnées d’inventaire
-
Permet à Systems Manager de configurer la collecte des types de métadonnées suivants à partir de vos nœuds :
-
Composants AWS : pilote EC2, agents, versions, etc.
-
Applications – noms des applications, éditeurs, versions, etc.
-
Détails du nœud – nom du système, nom du système d'exploitation, version du système d'exploitation, dernier démarrage, DNS, domaine, groupe de travail, architecture du système d'exploitation, etc.
-
Configuration réseau : adresse IP, adresse MAC, DNS, passerelle, masque de sous-réseau, etc.
-
Services – nom, nom d'affichage, état, services dépendants, type de service, type de démarrage, etc. (nœuds Windows Server uniquement).
-
Rôles Windows – nom, nom d'affichage, chemin, type de fonctionnalité, état installé, etc. (nœuds Windows Server uniquement).
-
Mises à jour Windows : ID du correctif, installée par, date de l’installation, etc. (nœuds Windows Server uniquement).
Spécifiez la fréquence à laquelle l’inventaire est collecté. Vous devez spécifier une valeur comprise entre 1 et 744 heures. Pour plus d’informations sur Inventory, un outil d’AWS Systems Manager, consultez AWS Systems Manager Inventory.
-
- Activation des mises à jour automatiques de l’agent Systems Manager (SSM)
-
Permet à Systems Manager de rechercher une nouvelle version de l’agent à la fréquence que vous spécifiez. La valeur de la fréquence doit être comprise entre 1 et 31 jours. S’il existe une nouvelle version, Systems Manager met automatiquement à jour l’agent sur votre nœud géré vers la dernière version publiée. Systems Manager n’installe pas l’agent sur les instances où il n’est pas déjà présent. Pour plus d'informations sur quelles AMIs ont SSM Agent de préinstallés, consultez Trouver les AMIs avec SSM Agent préinstallé.
Nous vous encourageons à choisir cette option pour être sûr que vos nœuds exécutent toujours la version la plus récente de l'SSM Agent. Pour de plus amples informations sur SSM Agent, y compris sur la façon d'installer manuellement l'agent, veuillez consulter Utilisation de l’option SSM Agent.
-
Sélectionnez Envoyer.
Selon la taille de votre organisation, la configuration de l’expérience de console unifiée de Systems Manager peut prendre un certain temps.
