AWS Systems Manager e AWS Organizations - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager e AWS Organizations

AWS Systems Manager è una raccolta di funzionalità che consentono la visibilità e il controllo delle AWS risorse. Le seguenti funzionalità di Systems Manager funzionano con Organizations di Account AWS in tutta l'organizzazione:

  • Systems Manager Explorer è una dashboard operativa personalizzabile che riporta informazioni sulle AWS risorse. È possibile sincronizzare i dati operativi Account AWS in tutta l'organizzazione utilizzando Organizations and Systems Manager Explorer. Per ulteriori informazioni, consulta Systems Manager Explorer nella Guida per l'utente di AWS Systems Manager .

  • Systems Manager Change Manager è un framework di gestione delle modifiche aziendali per la richiesta, l'approvazione, l'implementazione e la creazione di report sulle modifiche operative alla configurazione e all'infrastruttura delle applicazioni. Per ulteriori informazioni, consulta AWS Systems Manager Change Manager nella Guida per l'utente di AWS Systems Manager .

  • Systems Manager OpsCenter offre una posizione centrale in cui gli ingegneri operativi e i professionisti IT possono visualizzare, esaminare e risolvere gli elementi di lavoro operativi (OpsItems) relativi alle AWS risorse. Quando si utilizza OpsCenter con Organizations, supporta l'utilizzo OpsItems da un account di gestione (un account di gestione Organizations o un account amministratore delegato di Systems Manager) e da un altro account durante una singola sessione. Una volta configurato, gli utenti possono eseguire i seguenti tipi di azione:

    • Crea, visualizza e aggiorna OpsItems in un altro account.

    • Visualizza informazioni dettagliate sulle AWS risorse specificate OpsItems in un altro account.

    • Avvia i runbook di Systems Manager Automation per risolvere i problemi relativi alle AWS risorse di un altro account.

    Per ulteriori informazioni, consulta AWS Systems Manager OpsCenter nella Guida per l'utente di AWS Systems Manager .

  • Utilizzate Quick Setup per configurare rapidamente AWS i servizi e le funzionalità utilizzati di frequente con le best practice consigliate. Per ulteriori informazioni, consulta AWS Systems Manager Quick Setup nella Guida per l'utente di AWS Systems Manager .

    Quando si registra un account amministratore AWS Organizations delegato per Systems Manager, è possibile creare, aggiornare, visualizzare ed eliminare i gestori di configurazione Quick Setup destinati alle unità organizzative di un'organizzazione. Scopri di più in Utilizzo di un amministratore delegato per la configurazione rapida nella Guida per l'AWS Systems Manager utente.

  • Quando si configura la console integrata per Systems Manager, si immette un account amministratore delegato. Questo account viene utilizzato per registrare gli account di amministratore AWS Organizations delegato con Quick Setup CloudFormation StackSets, Explorer e Resource Explorer. Scopri di più nella Guida per l'AWS Systems Manager utente alla configurazione della console integrata Systems Manager per un'organizzazione.

Utilizza le seguenti informazioni per semplificare l'integrazione AWS Systems Manager con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Il seguente ruolo collegato ai servizi viene creato automaticamente nell'account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Tale ruolo consente a Systems Manager di eseguire le operazioni supportate all'interno degli account dell'organizzazione.

Puoi eliminare o modificare questo ruolo solo se disabiliti l'accesso attendibile tra Systems Manager e Organizations o se rimuovi l'account membro dall'organizzazione.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da Systems Manager concedono l'accesso ai seguenti principali del servizio:

  • ssm.amazonaws.com

Abilitazione dell'accesso attendibile con Systems Manager

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Puoi abilitare l'accesso affidabile solo utilizzando gli strumenti Organizations.

È possibile abilitare l'accesso affidabile utilizzando la AWS Organizations console, eseguendo un AWS CLI comando o chiamando un'operazione API in uno dei AWS SDKs.

AWS Management Console
Per abilitare l'accesso al servizio attendibile tramite la console Organizations
  1. Accedere alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli AWS Systems Managernell'elenco dei servizi.

  4. Scegliere Enable trusted access (Abilita accesso sicuro).

  5. Nella finestra di AWS Systems Manager dialogo Abilita accesso affidabile per, digita enable per confermare, quindi scegli Abilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore AWS Systems Manager che ora può abilitare il funzionamento del servizio AWS Organizations dalla console di servizio.

AWS CLI, AWS API
Per abilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Utilizza i seguenti AWS CLI comandi o operazioni API per abilitare l'accesso affidabile al servizio:

  • AWS CLI: enable-aws-service-access

    Esegui il comando seguente per abilitarlo AWS Systems Manager come servizio affidabile con Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal ssm.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: Abilita AWSService l'accesso

Disabilitazione dell'accesso attendibile con Systems Manager

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

Systems Manager richiede un accesso affidabile con AWS Organizations per sincronizzare i dati operativi Account AWS all'interno dell'organizzazione. Se disabiliti l'accesso attendibile, Systems Manager non riesce a sincronizzare i dati delle operazioni e segnala un errore.

Puoi disabilitare l'accesso affidabile solo utilizzando gli strumenti Organizations.

È possibile disabilitare l'accesso affidabile utilizzando la AWS Organizations console, eseguendo un AWS CLI comando Organizations o chiamando un'operazione dell'API Organizations in una delle AWS SDKs.

AWS Management Console
Per disabilitare l'accesso al servizio attendibile utilizzando la console Organizations
  1. Accedere alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli AWS Systems Managernell'elenco dei servizi.

  4. Scegli Disable trusted access (Disabilita accesso attendibile).

  5. Nella finestra di AWS Systems Manager dialogo Disabilita l'accesso affidabile per, digita disabilita per confermare, quindi scegli Disabilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore AWS Systems Manager che ora può disabilitare il funzionamento di quel servizio AWS Organizations utilizzando la console o gli strumenti di servizio.

AWS CLI, AWS API
Per disabilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti AWS CLI comandi o operazioni API per disabilitare l'accesso affidabile ai servizi:

  • AWS CLI: disable-aws-service-access

    Esegui il comando seguente per disabilitarlo AWS Systems Manager come servizio affidabile con Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal ssm.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: disabilita AWSService l'accesso

Abilitazione di un account di amministratore delegato per Systems Manager

Quando si designa un account membro come amministratore delegato per l'organizzazione, gli utenti e i ruoli di tale account possono eseguire operazioni amministrative per Systems Manager che altrimenti possono essere eseguiti solo da utenti o ruoli nell'account di gestione dell'organizzazione. Ciò consente di separare la gestione dell'organizzazione dalla gestione di Systems Manager.

Se utilizzi Change Manager in un'organizzazione, utilizzi un account di amministratore delegato. Questo è l'account Account AWS che è stato designato come account per la gestione dei modelli di modifica, delle richieste di modifica, dei runbook delle modifiche e dei flussi di lavoro di approvazione in Change Manager. L'account delegato gestisce le attività di modifica all'interno dell'organizzazione. Quando imposti l'organizzazione per l'utilizzo con Change Manager, è necessario specificare quale dei tuoi account svolge questo ruolo. Non deve essere l'account di gestione dell'organizzazione. L'account di amministratore delegato non è necessario se si utilizza Change Manager con un solo account.

Per designare un account membro come amministratore delegato, consulta i seguenti argomenti nella Guida per l'utente di AWS Systems Manager :

Disattivazione di un account amministratore delegato per Systems Manager

Per annullare la registrazione di un amministratore delegato, consulta i seguenti argomenti nella Guida per l'utente:AWS Systems Manager