Mengkonfigurasi izin untuk Systems Manager OpsCenter

Mengonfigurasi peran dan izin untuk Systems Manager Explorer

Pengaturan Terpadu secara otomatis membuat dan mengonfigurasi peran AWS Identity and Access Management (IAM) untuk AWS Systems Manager Explorer dan. AWS Systems Manager OpsCenter Jika Anda menyelesaikan Penyiapan Terpadu, maka Anda tidak perlu melakukan tugas tambahan apa pun untuk mengonfigurasi peran dan izin. Explorer Namun, Anda harus mengonfigurasi izin untukOpsCenter, seperti yang dijelaskan nanti dalam topik ini.

Pengaturan Terpadu membuat dan mengonfigurasi peran berikut untuk bekerja dengan Explorer danOpsCenter.

AWSServiceRoleForAmazonSSMMenyediakan akses ke AWS sumber daya yang dikelola atau digunakan oleh Systems Manager.
OpsItem-CWE-Role: Memungkinkan CloudWatch Acara dan EventBridge untuk membuat OpsItems dalam menanggapi peristiwa umum.
AWSServiceRoleForAmazonSSM_AccountDiscovery: Memungkinkan Systems Manager menelepon orang lain Layanan AWS untuk menemukan Akun AWS informasi saat menyinkronkan data. Untuk informasi selengkapnya tentang peran ini, silakan lihat Menggunakan peran untuk mengumpulkan Akun AWS informasi OpsCenter and Explorer.
AmazonSSMExplorerExport: Memungkinkan Explorer untuk mengekspor OpsData ke file nilai dipisahkan koma (CSV).

Jika Anda mengonfigurasi Explorer untuk menampilkan data dari beberapa akun dan Wilayah dengan menggunakan AWS Organizations dan sinkronisasi data sumber daya, Systems Manager akan membuat peran AWSServiceRoleForAmazonSSM_AccountDiscovery terkait layanan. Systems Manager menggunakan peran ini untuk mendapatkan informasi tentang Anda Akun AWS AWS Organizations. Peran tersebut menggunakan kebijakan izin berikut.

Untuk informasi selengkapnya tentang peran AWSServiceRoleForAmazonSSM_AccountDiscovery ini, lihat Menggunakan peran untuk mengumpulkan Akun AWS informasi OpsCenter and Explorer.

Mengkonfigurasi izin untuk Systems Manager OpsCenter

Setelah menyelesaikan Penyiapan Terpadu, Anda harus mengonfigurasi izin pengguna, grup, atau peran sehingga pengguna dapat melakukan tindakan. OpsCenter

Sebelum Anda mulai

Anda dapat mengonfigurasi OpsCenter untuk membuat dan mengelola OpsItems satu akun atau di beberapa akun. Jika Anda mengonfigurasi OpsCenter untuk membuat dan mengelola OpsItems di beberapa akun, Anda dapat menggunakan akun administrator yang didelegasikan Systems Manager atau akun AWS Organizations manajemen untuk membuat, melihat, atau mengedit secara manual OpsItems di akun lain. Untuk informasi selengkapnya tentang akun administrator yang didelegasikan Systems Manager, lihatMengkonfigurasi administrator yang didelegasikan untuk Explorer.

Jika Anda mengonfigurasi OpsCenter untuk satu akun, Anda hanya dapat melihat atau mengedit OpsItems di akun tempat OpsItems dibuat. Anda tidak dapat berbagi atau OpsItems mentransfer Akun AWS. Untuk alasan ini, kami menyarankan Anda mengonfigurasi izin untuk OpsCenter di Akun AWS yang digunakan untuk menjalankan beban AWS kerja Anda. Anda kemudian dapat membuat pengguna atau grup di akun itu. Dengan cara ini, beberapa insinyur operasi atau profesional TI dapat membuat, melihat, dan mengedit OpsItems dalam hal yang sama Akun AWS.

Explorerdan OpsCenter gunakan operasi API berikut. Anda dapat menggunakan semua fitur Explorer dan OpsCenter jika pengguna, grup, atau peran Anda memiliki akses ke tindakan ini. Anda juga dapat membuat akses yang lebih ketat, seperti yang dijelaskan nanti di bagian ini.

Jika mau, Anda dapat menentukan izin hanya-baca dengan menambahkan kebijakan sebaris berikut ke akun, grup, atau peran Anda.

Untuk informasi selengkapnya tentang membuat dan mengedit kebijakan IAM, lihat Membuat Kebijakan IAM dalam Panduan Pengguna IAM. Untuk informasi tentang cara menetapkan kebijakan ini ke grup IAM, lihatMelampirkan Kebijakan ke Grup IAM.

Buat izin menggunakan yang berikut ini dan tambahkan ke pengguna, grup, atau peran Anda:

Bergantung pada aplikasi identitas yang Anda gunakan di organisasi Anda, Anda dapat memilih salah satu opsi berikut untuk mengonfigurasi akses pengguna.

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin dalam Panduan Pengguna AWS IAM Identity Center .
Pengguna yang dikelola di IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti instruksi dalam Buat peran untuk penyedia identitas pihak ketiga (federasi) dalam Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Buat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
- (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Membatasi akses OpsItems dengan menggunakan tag

Anda juga dapat membatasi akses OpsItems dengan menggunakan kebijakan IAM inline yang menentukan tag. Berikut adalah contoh yang menentukan kunci tag Departemen dan nilai tag Keuangan. Dengan kebijakan ini, pengguna hanya dapat memanggil operasi GetOpsItemAPI untuk melihat OpsItems yang sebelumnya ditandai dengan Key=Department dan Value=Finance. Pengguna tidak dapat melihat yang lainOpsItems.

Berikut adalah contoh yang menentukan operasi API untuk melihat dan memperbaruiOpsItems. Kebijakan ini juga menentukan dua set pasangan nilai kunci tag: Departemen-Keuangan dan Project-Unity.

Untuk informasi tentang menambahkan tag ke sebuahOpsItem, lihatBuat OpsItems secara manual.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyiapkan layanan terkait untuk Explorer

Memahami EventBridge aturan default yang dibuat oleh Pengaturan Terpadu