Configurazione di ruoli e autorizzazioni per Systems Manager Explorer - AWS Systems Manager
Configurazione delle autorizzazioni per l' di Systems Manager OpsCenter

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di ruoli e autorizzazioni per Systems Manager Explorer

L'installazione integrata crea e configura automaticamente i ruoli AWS Identity and Access Management (IAM) per AWS Systems Manager Explorer e AWS Systems Manager OpsCenter. Se è stata completata l'installazione integrata, non è necessario eseguire alcun processo aggiuntivo per la configurazione di ruoli e autorizzazioni per Explorer. Tuttavia, è necessario configurare le autorizzazioni per OpsCenter, come descritto più avanti in questo argomento.

Il programma di installazione integrata crea e configura i seguenti ruoli per lavorare con Explorer e OpsCenter.

  • AWSServiceRoleForAmazonSSM: fornisce l'accesso a risorse AWS gestite o utilizzate da Systems Manager.

  • OpsItem-CWE-Role: consente la creazione di CloudWatch eventi e EventBridge la creazione OpsItems in risposta a eventi comuni.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery: Consente a Systems Manager di chiamare altri utenti Servizi AWS per scoprire Account AWS informazioni durante la sincronizzazione dei dati. Per ulteriori informazioni su questo ruolo, consulta Utilizzo dei ruoli per raccogliere informazioni sull’Account AWS per OpsCenter ed Explorer.

  • AmazonSSMExplorerExport: Consente Explorer l'esportazione in un file OpsData con valori separati da virgole (CSV).

Se si configura Explorer la visualizzazione dei dati da più account e regioni utilizzando AWS Organizations una sincronizzazione dei dati delle risorse, Systems Manager crea il ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery collegato al servizio. Systems Manager utilizza questo ruolo per ottenere informazioni sull'utente Account AWS AWS Organizations. Il ruolo utilizza la policy di autorizzazioni riportato di seguito.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sul ruolo AWSServiceRoleForAmazonSSM_AccountDiscovery, consulta Utilizzo dei ruoli per raccogliere informazioni sull’Account AWS per OpsCenter ed Explorer.

Configurazione delle autorizzazioni per l' di Systems Manager OpsCenter

Dopo aver completato la configurazione integrata, è necessario configurare le autorizzazioni utente, gruppo o ruolo in modo che gli utenti possano eseguire operazioni in OpsCenter.

Prima di iniziare

È possibile configurare OpsCenter per creare e gestire OpsItems su più account o su un solo account. Se si configura OpsCenter la creazione e la gestione OpsItems su più account, è possibile utilizzare l'account amministratore delegato di Systems Manager o l'account di AWS Organizations gestione per creare, visualizzare o modificare OpsItems manualmente altri account. Per ulteriori informazioni sull'account amministratore delegato di Systems Manager, consulta Configurazione di un amministratore delegato per Explorer.

Se configuri OpsCenter per un singolo account, è possibile visualizzare o modificare gli OpsItems solo nell'account in cui gli OpsItems sono stati creati. Non puoi condividere o trasferireOpsItems. Account AWS Per questo motivo, ti consigliamo di configurare le autorizzazioni per OpsCenter l' Account AWS ambiente utilizzato per eseguire i AWS carichi di lavoro. È quindi possibile creare utenti o gruppi in tale account. In questo modo, più tecnici operativi o professionisti IT possono creare, visualizzare e modificare OpsItems nello stesso Account AWS.

Explorer e OpsCenter usano le seguenti operazioni delle API. È possibile utilizzare tutte le funzionalità di Explorer e OpsCenter se l'utente, il gruppo o il ruolo hanno accesso a tali operazioni. È anche possibile creare un accesso più restrittivo, come descritto più avanti in questa sezione.

Se preferisci, puoi specificare l'autorizzazione di sola lettura assegnando la seguente policy inline all'account, gruppo o ruolo.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l'utente di IAM. Per informazioni su come assegnare questa policy a un gruppo IAM, consulta Attaching a Policy to an IAM Group (Collegamento di una policy a un gruppo IAM).

Crea un'autorizzazione utilizzando quanto segue e aggiungila ai tuoi utenti, gruppi o ruoli:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

A seconda dell'applicazione di identità utilizzata nell'organizzazione, è possibile selezionare una seguenti opzioni per configurare l'accesso degli utenti.

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

  • Utenti e gruppi in: AWS IAM Identity Center

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

  • Utenti IAM:

Limitazione dell'accesso a OpsItems mediante tag

È inoltre possibile limitare l'accesso a OpsItems utilizzando una policy IAM inline che specifica i tag. Ecco un esempio che specifica una chiave tag di Dipartimento e un valore di tag di Finanza. Con questo criterio, l'utente può solo chiamare l'operazione GetOpsItemAPI per visualizzare OpsItems i tag precedentemente contrassegnati con Key=Department e Value=Finance. Gli utenti non sono in grado di visualizzare qualsiasi altro OpsItems.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

Ecco un esempio che specifica le operazioni API per la visualizzazione e l'aggiornamento degli OpsItems. Questa policy specifica inoltre due set di coppie chiave-valore di tag: Department-Finance e Project-Unity.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

Per ulteriori informazioni sull'aggiunta di tag a un OpsItem, consulta Crea OpsItems manualmente.