Configuration de la console unifiée Systems Manager pour une organisation - AWS Systems Manager
PrérequisRessources de console unifiéeConfiguration de la console unifiée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la console unifiée Systems Manager pour une organisation

Le processus de configuration de l’expérience de console unifiée Systems Manager s’effectue à partir de l’ AWS Management Console , en quelques clics seulement. Pour configurer Systems Manager pour une AWS Organizations organisation, vous devez avoir accès au compte de gestion de votre organisation et à un autre compte de votre organisation à utiliser en tant qu'administrateur délégué. L’accès au compte de gestion est uniquement nécessaire pour activer ou désactiver Systems Manager. Pour gérer vos nœuds, vous utiliserez le compte d’administrateur délégué.

Prérequis

Lors de la gestion des nœuds au sein d’une organisation, Systems Manager utilise différents services dépendants pour configurer et améliorer les fonctionnalités de la console unifiée. Par conséquent, Systems Manager doit activer l’accès sécurisé et enregistrer un compte d’administrateur délégué pour les services suivants :

  • AWS CloudFormation - Déploie les ressources nécessaires à Systems Manager sur vos comptes.

  • Explorateur de ressources AWS - Recherche et filtrage d' EC2 instances dans vos comptes.

  • AWS Systems ManagerExplorer : surveillance et résolution des problèmes liés à l’état des ressources déployées pour Systems Manager dans vos comptes.

  • AWS Systems ManagerQuick Setup : déploie les configurations Quick Setup requises pour Systems Manager sur vos comptes.

Avant de commencer, assurez-vous que vous n'avez pas déjà dépassé le quota d'administrateurs délégués pour aucun de ces services dépendants. Sinon, vous ne parviendrez pas à enregistrer les comptes d’administrateurs délégués nécessaires pour activer Systems Manager. Lorsque vous activez Systems Manager pour une organisation, tous les comptes de votre organisation sont inclus. À ce point, il n’existe aucune disposition permettant d’exclure des comptes du processus de configuration. Lorsque vous activez Systems Manager, vous pouvez choisir ce que Régions AWS vous souhaitez inclure. Seules les régions qui prennent actuellement en charge la console unifiée Systems Manager peuvent être sélectionnées. Pour en savoir plus sur les régions dans lesquelles l’expérience de console est disponible, consultez la section Supported Régions AWS.

Ressources de console unifiée

Le processus de configuration de la console unifiée Systems Manager exécute pour vous de nombreuses tâches prérequises. Selon les fonctionnalités que vous choisissez de configurer, cela inclut l'activation de la configuration de gestion d'hôte par défaut pour fournir les autorisations IAM requises à vos nœuds, etc. Voici une liste détaillée des ressources créées par Systems Manager pour la console unifiée. Selon les fonctionnalités que vous choisissez de configurer, il est possible que certaines ressources ne soient pas créées.

Explorateur de ressources AWS vues gérées

  • AWSManagedViewForSSM— Permet à Systems Manager d'accéder aux informations sur les ressources indexées par Resource Explorer pour votre organisation. Ces vues gérées ne peuvent être mises à jour ou supprimées que par Systems Manager. Cela signifie que si vous souhaitez supprimer les vues gérées ou désactiver l'explorateur de ressources, vous devez désactiver la console unifiée. Pour plus d'informations sur la désactivation de la console unifiée, consultezDésactivation de la console unifiée Systems Manager. Pour plus d'informations sur les vues gérées, consultez la section Vues AWS gérées dans le guide de l'utilisateur de Resource Explorer.

    Note

    Si vous avez créé un index agrégateur pour l’Explorateur de ressources dans une région différente de votre région d’origine, Systems Manager rétrograde l’index actuel. Systems Manager fait ensuite la promotion de l’index local dans votre région d’origine en tant que nouvel index agrégateur. Pendant ce temps, seuls les nœuds de votre région d’origine sont affichés. Ce processus peut prendre jusqu’à 24 heures.

Rôles IAM

Associations dans State Manager

  • EnableDHMCAssociation : s’exécute quotidiennement et garantit que la configuration de gestion d’hôte par défaut est activée.

  • SystemAssociationForEnablingExplorer : s’exécute quotidiennement et garantit que Explorer est activé. Explorer est utilisé pour synchroniser les données de vos nœuds gérés.

  • EnableAREXAssociation— Fonctionne tous les jours et garantit Explorateur de ressources AWS son activation. Resource Explorer est utilisé pour déterminer quelles EC2 instances Amazon de votre organisation ne sont pas gérées par Systems Manager.

  • SSMAgentUpdateAssociation : s’exécute tous les 14 jours et garantit que la dernière version disponible d’SSM Agent est installée sur vos nœuds gérés.

  • SystemAssociationForInventoryCollection : s’exécute toutes les 12 heures et collecte les données d’inventaire de vos nœuds gérés.

Compartiments S3

  • DiagnosisBucket : stocke les données collectées lors de l’exécution du dossier d’exploitation de diagnostic.

Fonctions Lambda

  • SSMLifecycleOperatorLambda : permet aux principaux d’accéder à toutes les actions AWS Configuration rapide de Systems Manager .

  • SSMLifecycleResource : ressource personnalisée pour aider à gérer le cycle de vie des ressources créées par le processus de configuration.

En outre, une fois le processus de configuration terminé, vous pouvez sélectionner la tâche de nœud Diagnostiquer et corriger pour appliquer automatiquement des correctifs aux nœuds qui ne sont pas signalés comme gérés par Systems Manager. Cela peut inclure l’identification de problèmes tels que les problèmes de connectivité réseau aux points de terminaison Systems Manager. Pour de plus amples informations, veuillez consulter Diagnostiquer et remédier.

Configuration de la console unifiée

Pour configurer Systems Manager pour une organisation

  1. Connectez‑vous au compte de gestion de votre organisation.

  2. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  3. Entrez l’ID du compte que vous souhaitez enregistrer en tant qu’administrateur délégué.

  4. Une fois le compte d’administrateur délégué enregistré avec succès, connectez‑vous à ce compte et revenez à la console Systems Manager pour terminer la configuration de Systems Manager.

  5. Sélectionnez Activer Systems Manager.

  6. Dans la section Région d’origine, vous déterminez la région dans laquelle vous souhaitez que Systems Manager agrège les données de vos nœuds. Par défaut, Systems Manager sélectionne la région que vous utilisez actuellement. Pour choisir une autre région d’origine, modifiez la console avec la région que vous souhaitez utiliser avant de configurer Systems Manager. Les données des nœuds sont répliquées entre les comptes et les régions de votre organisation et stockées dans la région d’origine. La région que vous choisissez ne peut pas être modifiée une fois que Systems Manager est configuré. Pour utiliser une autre région comme région d’origine de votre organisation, vous devez désactiver la console unifiée et recommencer le processus de configuration. Si votre organisation utilise IAM Identity Center, vous devez sélectionner la même région dans laquelle vous avez configuré IAM Identity Center comme région d’origine.

  7. Dans la section Régions, sélectionnez les régions dans lesquelles vous souhaitez activer Systems Manager.

  8. Dans la section Configurations des fonctionnalités, choisissez les options que vous souhaitez activer pour votre configuration :

    Activer la configuration de gestion d'hôte par défaut (DHMC)

    Permet à Systems Manager de configurer DHMC. Cette fonctionnalité permet à Systems Manager d'utiliser un rôle IAM pour s'assurer que toutes les EC2 instances Amazon du compte et de la région disposent des autorisations nécessaires pour être gérées par Systems Manager. Vous pouvez également spécifier la fréquence de correction de la dérive. Une dérive de configuration se produit chaque fois qu'un utilisateur apporte une modification à un service ou à une fonctionnalité qui entre en conflit avec les sélections effectuées dans votre configuration. Systems Manager vérifie l'absence de dérive de configuration et tente d'y remédier en fonction de la fréquence que vous spécifiez. Vous devez spécifier une valeur comprise entre 1 et 31 jours. Si vous avez déjà configuré DHMC dans une région, Systems Manager ne modifie pas le rôle IAM que vous avez précédemment sélectionné. Pour plus d'informations sur DHMC, consultezGestion automatique EC2 des instances avec la configuration de gestion d'hôte par défaut.

    DHMC permet de gérer les EC2 instances Amazon sans que vous ayez à créer manuellement un profil d'instance AWS Identity and Access Management (IAM). Nous vous encourageons à choisir cette option afin de vous assurer que vos EC2 instances disposent des autorisations nécessaires pour être gérées par Systems Manager.

    Activer la collecte de métadonnées d'inventaire

    Permet à Systems Manager de configurer la collecte des types de métadonnées suivants à partir de vos nœuds :

    • AWS composants : EC2 pilote, agents, versions, etc.

    • Applications – noms des applications, éditeurs, versions, etc.

    • Détails du nœud – nom du système, nom du système d'exploitation, version du système d'exploitation, dernier démarrage, DNS, domaine, groupe de travail, architecture du système d'exploitation, etc.

    • Configuration réseau – adresse IP, adresse MAC, DNS, passerelle, masque de sous-réseau, etc.

    • Services – nom, nom d'affichage, état, services dépendants, type de service, type de démarrage, etc. (nœuds Windows Server uniquement).

    • Rôles Windows – nom, nom d'affichage, chemin, type de fonctionnalité, état installé, etc. (nœuds Windows Server uniquement).

    • Mises à jour Windows – ID de correctif, installé par, date d'installation, etc. (nœuds Windows Server uniquement).

    Spécifiez la fréquence à laquelle l'inventaire est collecté. Vous devez spécifier une valeur comprise entre 1 et 744 heures. Pour plus d'informations sur Inventory, un outil AWS Systems Manager intégré, voirAWS Systems Manager Inventory.

    Activer les mises à jour automatiques de l'agent Systems Manager (SSM)

    Permet à Systems Manager de vérifier la présence d'une nouvelle version de l'agent à la fréquence que vous spécifiez. La valeur de la fréquence doit être comprise entre 1 et 31 jours. S'il existe une nouvelle version, Systems Manager met automatiquement à jour l'agent sur votre nœud géré vers la dernière version publiée. Systems Manager n'installe pas l'agent sur les instances où il n'est pas déjà présent. Pour plus d'informations sur quelles AMIs ont SSM Agent de préinstallés, consultez Trouver les AMIs avec SSM Agent préinstallé.

    Nous vous encourageons à choisir cette option pour vous assurer que vos nœuds exécutent toujours la up-to-date version la plus complète deSSM Agent. Pour de plus amples informations sur SSM Agent, y compris sur la façon d'installer manuellement l'agent, veuillez consulter Travailler avec SSM Agent.

  9. Sélectionnez Envoyer.

Selon la taille de votre organisation, la configuration de l’expérience de console unifiée de Systems Manager peut prendre un certain temps.