Nozioni di base su Quick Setup - AWS Systems Manager
Ruoli e autorizzazioni IAM per l'onboarding di Quick SetupOnboarding manuale per lavorare con l'API a livello di codice Quick Setup

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nozioni di base su Quick Setup

Usa le informazioni contenute in questo argomento per prepararti all'uso di Quick Setup.

Ruoli e autorizzazioni IAM per l'onboarding di Quick Setup

Quick Setup ha lanciato una nuova esperienza di console e una nuova API. Ora puoi interagire con questa API utilizzando la console, AWS CLI AWS CloudFormation, e SDKs. Se accedi alla nuova esperienza, le configurazioni esistenti vengono ricreate utilizzando la nuova API. A seconda del numero di configurazioni esistenti nell'account, questo processo richiede alcuni minuti.

Per utilizzare la nuova console Quick Setup, è necessario disporre delle autorizzazioni per le operazioni seguenti:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/AWS-QuickSetup-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm-quicksetup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Per limitare gli utenti alle autorizzazioni di sola lettura, consenti solo le operazioni ssm-quicksetup:List* e ssm-quicksetup:Get* relative all'API di Quick Setup.

Durante l'onboarding, Quick Setup crea i seguenti ruoli AWS Identity and Access Management (IAM) per tuo conto:

  • AWS-QuickSetup-LocalExecutionRole: concede le autorizzazioni AWS CloudFormation per utilizzare qualsiasi modello, escluso il modello di policy di patch, e per creare le risorse necessarie.

  • AWS-QuickSetup-LocalAdministrationRole— Concede le autorizzazioni di assunzione. AWS CloudFormation AWS-QuickSetup-LocalExecutionRole

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Concede le autorizzazioni per AWS CloudFormation utilizzare il modello di policy di patch e creare le risorse necessarie.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Concede le autorizzazioni ad assumere. AWS CloudFormation AWS-QuickSetup-PatchPolicy-LocalExecutionRole

Se stai creando un account di gestione, l'account con cui crei un'organizzazione, crea Quick Setup anche i seguenti ruoli per tuo conto AWS Organizations:

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer: concede le autorizzazioni al runbook Automation AWS-EnableExplorer. Il AWS-EnableExplorer runbook configuraExplorer, uno strumento di Systems Manager, per visualizzare informazioni per più Account AWS e. Regioni AWS

  • AWSServiceRoleForAmazonSSM— Un ruolo collegato al servizio che garantisce l'accesso alle AWS risorse gestite e utilizzate da Systems Manager.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery— Un ruolo collegato al servizio che concede a Systems Manager le autorizzazioni per effettuare chiamate per Servizi AWS rilevare Account AWS informazioni durante la sincronizzazione dei dati. Per ulteriori informazioni, consulta Utilizzo dei ruoli per raccogliere Account AWS informazioni per OpsCenter e Explorer.

Quando si esegue l'onboarding di un account di gestione, Quick Setup consente l'accesso affidabile tra le configurazioni AWS Organizations e CloudFormation l'implementazione all'interno dell'organizzazione. Quick Setup Per abilitare l'accesso attendibile, l'account management deve disporre delle autorizzazioni di amministratore. Dopo l'onboarding, non sono più necessarie le autorizzazioni di amministratore. Per ulteriori informazioni, consulta Attivazione dell'accesso attendibile con Organizations.

Per informazioni sui tipi di AWS Organizations account, consulta la AWS Organizations terminologia e i concetti nella Guida per l'utente.AWS Organizations

Nota

Quick Setuputilizza AWS CloudFormation StackSets per distribuire le configurazioni in tutte Account AWS le regioni. Se il numero di account di destinazione moltiplicato per il numero di regioni supera 10.000, la configurazione non viene implementata. Ti consigliamo di esaminare il tuo caso d'uso e di creare configurazioni che utilizzino un minor numero di obiettivi per soddisfare la crescita della tua organizzazione. Le istanze di stack non vengono implementate nell'account di gestione dell'organizzazione. Per maggiori informazioni, consulta Considerazioni sulla creazione di un set di stack con autorizzazioni gestite dal servizio.

Onboarding manuale per lavorare con l'API a livello di codice Quick Setup

Quando utilizzi la console per lavorare con Quick Setup, il servizio gestisce le fasi di onboarding per te. Se prevedi di utilizzare SDKs o AWS CLI utilizzare l'Quick SetupAPI, puoi comunque utilizzare la console per completare i passaggi di onboarding al posto tuo, in modo da non doverli eseguire manualmente. Tuttavia, alcuni clienti necessitano di completare le fasi di onboarding su Quick Setup in modo programmatico, senza interagire con la console. Se questo metodo si adatta al proprio caso d'uso, è necessario completare le fasi seguenti. Tutti questi passaggi devono essere completati dal tuo account di AWS Organizations gestione.

Per completare l'onboarding manuale per Quick Setup

  1. Attiva l'accesso affidabile per AWS CloudFormation with Organizations. Ciò fornisce all'account di gestione le autorizzazioni necessarie per creare e gestire StackSets l'organizzazione. Puoi utilizzare AWS CloudFormation l'azione ActivateOrganizationsAccess API per completare questo passaggio. Per ulteriori informazioni, consulta ActivateOrganizationsAccess nella documentazione di riferimento dell'API AWS CloudFormation .

  2. Abilita l'integrazione di Systems Manager con Organizations. Ciò consente a Systems Manager di creare un ruolo collegato ai servizi in tutti gli account dell'organizzazione. Inoltre, consente a Systems Manager di eseguire operazioni per conto dell'utente all'interno dell'organizzazione e dei relativi account. Puoi utilizzare AWS Organizations l'azione EnableAWSServiceAccess API per completare questo passaggio. Il servizio principale per Systems Manager èssm.amazonaws.com. Per ulteriori informazioni, vedere Enable AWSService Access nel riferimento AWS Organizations API.

  3. Creare il ruolo IAM richiesto per Explorer. Ciò consente a Quick Setup di creare pannelli di controllo per le configurazioni in modo da poter visualizzare gli stati di implementazione e associazione. Crea un ruolo IAM e collega la policy gestita AWSSystemsManagerEnableExplorerExecutionPolicy. Modificare la policy di attendibilità affinché il ruolo corrisponda a quanto segue. Sostituisci ognuna account ID con le tue informazioni.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*"
                }
            }
        }
    ]
}

  4. Aggiorna l'impostazione del servizio Quick Setup per Explorer. È possibile utilizzare l'azione API UpdateServiceSettings di Quick Setup per completare questo passaggio. Specifica l'ARN per il ruolo IAM creato nel passaggio precedente per il parametro di richiesta ExplorerEnablingRoleArn. Per ulteriori informazioni, consulta UpdateServiceSettings nella documentazione di riferimento dell'API Quick Setup.

  5. Crea i ruoli IAM richiesti AWS CloudFormation StackSets da utilizzare. È necessario creare un ruolo di esecuzione e un ruolo di amministrazione.

    1. Creare il ruolo di esecuzione. Al ruolo di esecuzione va associata almeno una delle politiche gestite, AWSQuickSetupDeploymentRolePolicy o AWSQuickSetupPatchPolicyDeploymentRolePolicy. Se stai creando solo configurazioni di policy di patch, è possibile utilizzare la policy gestita AWSQuickSetupPatchPolicyDeploymentRolePolicy. Tutte le altre configurazioni utilizzano la policy AWSQuickSetupDeploymentRolePolicy. Modificare la policy di attendibilità affinché il ruolo corrisponda a quanto segue. Sostituisci ogni account ID administration role name mano con le tue informazioni.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account ID:role/administration role name"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    2. Crea il ruolo di amministrazione. È necessario che la policy autorizzata corrisponda a quanto segue. Sostituisci ogni account ID e execution role name con le tue informazioni.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:*:iam::account ID:role/execution role name",
            "Effect": "Allow"
        }
    ]
}

      Modificare la policy di attendibilità affinché il ruolo corrisponda a quanto segue. Sostituisci ciascuno account ID con le tue informazioni.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}