• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 设置 OpsCenter
AWS Systems Manager 可以使用集成设置体验来帮助您开始使用 OpsCenter 和 Explorer(都是 Systems Manager 中的工具)。Explorer 是一个可自定义的操作控制面板,用于报告有关您 AWS 资源的信息。在本文档中,Explorer 和 OpsCenter 设置称为*集成设置*。
必须使用“集成设置”借助 Explorer 设置 OpsCenter。集成设置仅在 AWS Systems Manager 控制台中可用。您无法以编程方式设置 Explorer 和 OpsCenter。有关更多信息,请参阅 [Systems Manager Explorer 和 OpsCenter 入门](Explorer-setup.md)。
**开始前的准备工作**
设置 OpsCenter 后,您将在 Amazon EventBridge 中启用会自动创建 OpsItems 的默认规则。下表描述了自动创建 OpsItems 的默认 EventBridge 规则。您可以在 OpsCenter **设置**页面的 **OpsItem 规则**下禁用 EventBridge 规则。
**重要**
您的账户需要为默认规则创建的 OpsItems 付费。有关更多信息,请参阅 [AWS Systems Manager 定价](https://aws.amazon.com/systems-manager/pricing/)。
****
| Rule name(规则名称) | 描述 |
| --- | --- |
| SSMOpsItems-Autoscaling-instance-launch-failure | 此规则将在启动 EC2 Auto Scaling 实例失败时创建 OpsItems。 |
| SSMOpsItems-Autoscaling-instance-termination-failure | 此规则将在终止 EC2 Auto Scaling 实例失败时创建 OpsItems。 |
| SSMOpsItems-EBS-snapshot-copy-failed | 此规则将在系统无法复制 Amazon Elastic Block Store(Amazon EBS)快照时创建 OpsItems。 |
| SSMOpsItems-EBS-snapshot-creation-failed | 此规则将在系统无法创建 Amazon EBS 快照时创建 OpsItems。 |
| SSMOpsItems-EBS-volume-performance-issue | 此规则对应于 AWS Health 跟踪规则。每当 Amazon EBS 卷出现性能问题(运行状况事件 = `AWS_EBS_DEGRADED_EBS_VOLUME_PERFORMANCE`)时,此规则都会创建 OpsItems。 |
| SSMOpsItems-EC2-issue | 此规则对应于跟踪影响 AWS 服务或资源的意外事件的 AWS Health 跟踪规则。例如,当服务发出有关导致服务降级的运营问题,或者旨在提醒注意本地资源级别的问题的通信时,该规则就会创建 OpsItems。例如,此规则将为下列事件创建 OpsItem:`AWS_EC2_OPERATIONAL_ISSUE`。 |
| SSMOpsItems-EC2-scheduled-change | 此规则对应于 AWS Health 跟踪规则。AWS 可为实例计划相关事件,例如重启、停止或启动实例。该规则将为 EC2 计划事件创建 OpsItems。有关计划事件的更多信息,请参阅《Amazon EC2 用户指南》**中的 [实例的计划事件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html)。 |
| SSMOpsItems-RDS-issue | 此规则对应于跟踪影响 AWS 服务或资源的意外事件的 AWS Health 跟踪规则。例如,当服务发出有关导致服务降级的运营问题,或者旨在提醒注意本地资源级别的问题的通信时,该规则就会创建 OpsItems。例如,此规则将为下列事件创建 OpsItem:`AWS_RDS_MYSQL_DATABASE_CRASHING_REPEATEDLY`、`AWS_RDS_EXPORT_TASK_FAILED` 和 `AWS_RDS_CONNECTIVITY_ISSUE`。 |
| SSMOpsItems-RDS-scheduled-change | 此规则对应于 AWS Health 跟踪规则。该规则将为 Amazon RDS 计划事件创建 OpsItems。计划事件提供了有关 Amazon RDS 资源即将发生的更改的信息。某些事件可能会建议您执行操作以避免服务中断。其他事件则可能会自动发生,无需您执行任何操作。在执行计划的更改活动期间,您的资源可能暂时不可用。例如,此规则将为下列事件创建 OpsItem:`AWS_RDS_SYSTEM_UPGRADE_SCHEDULED` 和 `AWS_RDS_MAINTENANCE_SCHEDULED`。有关计划事件的更多信息,请参阅《AWS Health 用户指南》中的 [事件类型类别](https://docs.aws.amazon.com/health/latest/ug/aws-health-concepts-and-terms.html#event-type-categories)**。 |
| SSMOpsItems-SSM-maintenance-window-execution-failed | 此规则将在 Systems Manager 维护时段处理失败时创建 OpsItems。 |
| SSMOpsItems-SSM-maintenance-window-execution-timedout | 此规则在 Systems Manager 维护时段启动超时时创建 OpsItems。 |
请使用以下过程设置 OpsCenter。
**要设置 OpsCenter,请按以下步骤操作:**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,选择 **OpsCenter**。
1. 在 OpsCenter 主页上,选择**开始使用**。
1. 在 OpsCenter 设置页面上,选择**启用此选项,以便让 Explorer 根据常用规则和事件配置 AWS Config 和 Amazon CloudWatch Events,以自动创建 OpsItems**。如果您不选择此选项,OpsCenter 将保持禁用状态。
**注意**
Amazon EventBridge(前身为 Amazon CloudWatch Events)提供了 CloudWatch Events 的所有功能和一些新功能,如自定义事件总线、第三方事件源和架构注册表。
1. 请选择**启用OpsCenter**。
当您启用 OpsCenter 后,可以从**设置**中执行以下操作:
+ 使用**打开 CloudWatch 控制台**按钮创建 CloudWatch 警报。有关更多信息,请参阅 [将 CloudWatch 警报配置为创建 OpsItems](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md)。
+ 启用运营洞察。有关更多信息,请参阅 [分析运营洞察以减少 OpsItems](OpsCenter-working-operational-insights.md)。
+ 启用 AWS Security Hub CSPM 结果警报。有关更多信息,请参阅 [了解 OpsCenter 与 AWS Security Hub CSPM 的集成](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub)。
**Topics**
+ [(可选)将 OpsCenter 设置为跨账户集中管理 OpsItems](OpsCenter-setting-up-cross-account.md)
+ [(可选)设置 Amazon SNS 以接收关于 OpsItems 的通知](OpsCenter-getting-started-sns.md)
# (可选)将 OpsCenter 设置为跨账户集中管理 OpsItems
您可以使用 Systems Manager OpsCenter 在选定 AWS 区域 中的多个 AWS 账户 中集中管理 OpsItems。当您在 AWS Organizations 中设置组织后此功能可用。AWS Organizations 是一项账户管理服务,使您能够将多个 AWS 账户整合到您创建并集中管理的组织中。AWS Organizations 包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算、安全性和合规性需求。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
属于 AWS Organizations 管理账户的用户,可以设置 Systems Manager 的委派管理员账户。在 OpsCenter 的上下文中,委派管理员可以在成员账户中创建、编辑和查看 OpsItems。委派管理员还可以使用 Systems Manager 自动化运行手册批量解决 OpsItems 或修复与生成 OpsItems 的 AWS 资源相关的问题。
**注意**
您只能指定一个账户作为 Systems Manager 的委派管理员。有关更多信息,请参阅 [为 Systems Manager 创建 AWS Organizations 委派管理员](setting_up_delegated_admin.md)。
Systems Manager 提供了以下 OpsCenter 设置方法,用于在多个 AWS 账户 之间集中管理 OpsItems。
+ **快速设置功能**:快速设置功能是 Systems Manager 中的一项工具,其简化了 Systems Manager 工具的设置和配置任务。有关更多信息,请参阅 [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)。
OpsCenter 的快速设置功能可帮助您完成以下跨账户管理 OpsItems 的任务:
+ 将账户注册为委派管理员(如果尚未指定委派管理员)
+ 创建必需的 AWS Identity and Access Management(IAM)策略和角色
+ 指定一个 AWS Organizations 组织或组织单位(OU),委派管理员可以在其中跨账户管理 OpsItems
有关更多信息,请参阅 [(可选)使用 Quick Setup 配置 OpsCenter 以跨账户管理 OpsItems](OpsCenter-quick-setup-cross-account.md)。
**注意**
并非所有当前 Systems Manager 可用的 AWS 区域 都提供快速设置功能。如果快速设置功能在某区域不可用,而您希望使用它在该区域配置 OpsCenter 从而跨多个账户集中管理 OpsItems,则必须使用手动方法。要查看快速设置功能可用的 AWS 区域 列表,请参阅 [Quick Setup 在 AWS 区域 中的可用性](systems-manager-quick-setup.md#quick-setup-getting-started-regions)。
+ **手动设置**:如果快速设置功能在某区域不可用,而您希望使用它在该区域配置 OpsCenter 从而跨账户集中管理 OpsItems,则您可以使用手动步骤来实现。有关更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。
# (可选)使用 Quick Setup 配置 OpsCenter 以跨账户管理 OpsItems
Quick Setup是 AWS Systems Manager 中的一项工具,其简化了 Systems Manager 工具的设置和配置任务。OpsCenter 的Quick Setup可帮助您完成以下跨账户管理 OpsItems 的任务:
+ 指定委派管理员账户
+ 创建必需的 AWS Identity and Access Management(IAM)policy 和角色
+ 指定一个 AWS Organizations 组织或成员账户的子集,委派管理员可以在其中跨账户管理 OpsItems
当您使用快速设置功能配置 OpsCenter 以跨账户管理 OpsItems 时,Quick Setup 将在指定账户中创建以下资源。这些资源授予指定账户权限以使用 OpsItems,并使用自动化运行手册来修复生成 OpsItems 的 AWS 资源的相关问题。
****
| 资源 | 账户 |
| --- | --- |
| `AWSServiceRoleForAmazonSSM_AccountDiscovery` AWS Identity and Access Management(IAM)服务相关角色 有关该角色的更多信息,请参阅[使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息](using-service-linked-roles-service-action-2.md)。 | AWS Organizations 管理账户和委派管理员账户 |
| `OpsItem-CrossAccountManagementRole` IAM 角色 `AWS-SystemsManager-AutomationAdministrationRole` IAM 角色 | 委派管理员帐户 |
| `OpsItem-CrossAccountExecutionRole` IAM 角色 `AWS-SystemsManager-AutomationExecutionRole` IAM 角色 默认 OpsItem 组的 `AWS::SSM::ResourcePolicy` Systems Manager 资源策略(`OpsItemGroup`) | 所有 AWS Organizations 成员账户 |
**注意**
如果您之前配置了 OpsCenter 以便使用[手动方法](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)跨账户管理 OpsItems,则必须删除在该过程的步骤 4 和步骤 5 中创建的 AWS CloudFormation 堆栈或堆栈集。如果您完成以下步骤时您的账户中存在这些资源,则 Quick Setup 无法正确配置跨账户 OpsItem 管理。
**使用快速设置功能配置 OpsCenter,以跨账户管理 OpsItems**
1. 使用 AWS Organizations 管理账户登录 AWS 管理控制台。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Quick Setup**。
1. 选择**库**选项卡。
1. 滚动到底部并找到 **OpsCenter** 配置图块。选择**创建**。
1. 在 Quick SetupOpsCenter 页面上的**委派管理员**部分,输入账户 ID。如果您无法编辑此字段,则表示已经为 Systems Manager 指定了委派管理员账户。
1. 在 **Targets** 部分中,选择选项。如果选择**自定义**,则选择要在其中跨账户管理 OpsItems 的组织单位(OU)。
1. 选择**创建**。
Quick Setup 创建 OpsCenter 配置并将所需 AWS 资源部署到指定的 OU。
**注意**
如果您不想跨多个账户管理 OpsItems,可以从 Quick Setup 中删除配置。删除配置时,Quick Setup 会删除最初部署配置时创建的以下 IAM policy 和角色:
来自委派管理员账户的 `OpsItem-CrossAccountManagementRole`
来自所有 Organizations 成员账户的 `OpsItem-CrossAccountExecutionRole` 和 `SSM::ResourcePolicy`
Quick Setup 从所有组织单位和最初部署配置所在的 AWS 区域 移除配置。
## 排查 OpsCenter 的 Quick Setup 配置问题
本部分包含的信息可帮助您解决在使用 Quick Setup 配置跨账户 OpsItem 管理时遇到的问题。
**Topics**
+ [部署到这些堆栈集失败:delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed)
+ [Quick Setup 配置状态显示失败](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed)
### 部署到这些堆栈集失败:delegatedAdmin
创建 OpsCenter 配置时,Quick Setup 会在 Organizations 管理账户中部署两个 AWS CloudFormation 堆栈集。堆栈集使用以下前缀:`AWS-QuickSetup-SSMOpsCenter`。如果 Quick Setup 显示以下错误:`Deployment to these StackSets failed: delegatedAdmin`,请使用以下步骤修复此问题。
**排查堆栈集失败的问题:delegatedAdmin 错误**
1. 如果您在 Quick Setup 控制台的红色横幅中收到 `Deployment to these StackSets failed: delegatedAdmin` 错误,请登录到委派管理员账户和指定为 Quick Setup 主区域的 AWS 区域。
1. 通过以下网址打开 CloudFormation 控制台:[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/)。
1. 请选择您的 Quick Setup 配置创建的堆栈。堆栈名称包括以下内容:**AWS-QuickSetup-SSMOpsCenter**。
**注意**
CloudFormation 有时会删除失败的堆栈部署。如果堆栈未提供在 **Stacks**(堆栈)表中,请从筛选条件列表中选择 **Deleted**(已删除)。
1. 请查看 **Status**(状态)和 **Status reason**(状态原因)。有关堆栈状态的更多信息,请参阅 *AWS CloudFormation 用户指南*中的[堆栈状态代码](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)。
1. 要了解失败的确切步骤,请查看 **Events**(事件)选项卡并查看每个事件的**状态**。有关更多信息,请参阅《AWS CloudFormation User Guide》**中的 [Troubleshooting](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)。
**注意**
如果您无法使用 CloudFormation 问题排查步骤解决部署失败问题,请删除配置并再次尝试。
### Quick Setup 配置状态显示失败
如果**配置详细信息**页面上的**配置详细信息**表显示配置状态为 `Failed`,请登录到失败的 AWS 账户 和区域。
**排查创建 OpsCenter 配置时的 Quick Setup 失败问题**
1. 登录到失败发生的 AWS 账户和 AWS 区域。
1. 通过以下网址打开 CloudFormation 控制台:[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/)。
1. 请选择您的 Quick Setup 配置创建的堆栈。堆栈名称包括以下内容:**AWS-QuickSetup-SSMOpsCenter**。
**注意**
CloudFormation 有时会删除失败的堆栈部署。如果堆栈未提供在 **Stacks**(堆栈)表中,请从筛选条件列表中选择 **Deleted**(已删除)。
1. 请查看 **Status**(状态)和 **Status reason**(状态原因)。有关堆栈状态的更多信息,请参阅 *AWS CloudFormation 用户指南*中的[堆栈状态代码](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)。
1. 要了解失败的确切步骤,请查看 **Events**(事件)选项卡并查看每个事件的**状态**。有关更多信息,请参阅《AWS CloudFormation User Guide》**中的 [Troubleshooting](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)。
#### 成员账户配置显示 ResourcePolicyLimitExceededException
如果堆栈状态显示 `ResourcePolicyLimitExceededException`,则表示该账户之前已使用[手动方法](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)载入了 OpsCenter 跨账户管理。要解决此问题,您必须删除在手动载入流程的步骤 4 和步骤 5 中创建的 AWS CloudFormation 堆栈或堆栈集。有关详细信息,请参阅《AWS CloudFormation User Guide》**中的 [Delete a stack set](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html) 和 [Deleting a stack on the CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)。
# (可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems
本节介绍如何为跨账户 OpsItem 管理手动配置 OpsCenter。虽然仍支持此进程,但它已被使用 Systems Manager Quick Setup 的新进程所取代。有关更多信息,请参阅 [(可选)使用 Quick Setup 配置 OpsCenter 以跨账户管理 OpsItems](OpsCenter-quick-setup-cross-account.md)。
您可以设置一个中央账户为成员账户手动创建 OpsItems,并管理和修复这些 OpsItems。中央账户可以是 AWS Organizations 管理账户,也可以是 AWS Organizations 管理账户兼 Systems Manager 委派管理员账户。我们建议您使用 Systems Manager 委派管理员账户作为中央账户。您只能在配置 AWS Organizations 后使用此功能。
借助 AWS Organizations,您可以将多个 AWS 账户 整合到您创建并集中管理的组织中。中央账户用户可以同时为所有选定的成员账户创建 OpsItems 并管理这些 OpsItems。
使用本节中的过程在“组织”中启用 Systems Manager 服务主体,并配置 AWS Identity and Access Management(IAM)权限,以便跨账户使用 OpsItems。
**Topics**
+ [开始前的准备工作](#OpsCenter-before-you-begin)
+ [步骤 1:创建资源数据同步](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [步骤 2:在 AWS Organizations 中启用 Systems Manager 服务主体](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [步骤 3:创建 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [步骤 4:配置用于跨账户使用 OpsItems 的权限](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [步骤 5:配置用于跨账户使用相关资源的权限](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)
**注意**
当在 OpsCenter 中跨账户工作时,仅支持 `/aws/issue` 类型的 OpsItems。
## 开始前的准备工作
在将 OpsCenter 设置为跨账户使用 OpsItems 之前,请确保已设置以下内容:
+ Systems Manager 委托管理员账户。有关更多信息,请参阅 [为 Explorer 配置委派管理员](Explorer-setup-delegated-administrator.md)。
+ 已在组织中设置和配置了一个组织。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[创建并管理组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。
+ 您将 Systems Manager Automation 配置为跨多个 AWS 区域 和 AWS 账户运行自动化运行手册。有关更多信息,请参阅 [在多个 AWS 区域 和账户中运行自动化](running-automations-multiple-accounts-regions.md)。
## 步骤 1:创建资源数据同步
设置和配置 AWS Organizations 后,您可以通过创建资源数据同步在 OpsCenter 中为整个组织聚合 OpsItems。有关更多信息,请参阅 [创建资源数据同步](Explorer-resource-data-sync-configuring-multi.md)。创建同步时,请务必在**添加账户**部分中选择**包括我的 AWS Organizations 配置中的所有账户**选项。
## 步骤 2:在 AWS Organizations 中启用 Systems Manager 服务主体
要让用户能够跨账户使用 OpsItems,必须在 AWS Organizations 中启用 Systems Manager 服务主体。如果您以前使用其他工具为多账户方案配置了 Systems Manager,则 Organizations 中可能已经配置 Systems Manager 服务主体。从(AWS Command Line InterfaceAWS CLI)运行以下命令以进行验证。如果您*尚未*为其他多账户方案配置 Systems Manager,请跳到下一个步骤,即*在 AWS Organizations 中启用 Systems Manager 服务主体*。
**验证 AWS Organizations 中是否启用了 Systems Manager 服务主体**
1. 在本地计算机上,[下载](https://aws.amazon.com/cli/)最新版本的 AWS CLI。
1. 打开 AWS CLI,然后运行以下命令,以指定您的凭证和 AWS 区域。
```
aws configure
```
系统将提示您指定以下内容。在以下示例中,将每个*用户输入占位符*替换为您自己的信息。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 运行以下命令以验证是否为 AWS Organizations 启用了 Systems Manager 服务主体。
```
aws organizations list-aws-service-access-for-organization
```
该命令会返回类似以下示例中显示的信息。
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:27.732000-08:00"
},
{
"ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
"DateEnabled": "2022-01-19T12:30:48.352000-08:00"
},
{
"ServicePrincipal": "ssm.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:26.599000-08:00"
}
]
}
```
**在 AWS Organizations 中启用 Systems Manager 服务主体**
如果您以前未为“组织”配置 Systems Manager 服务主体,请按照以下步骤执行此操作。有关此命令的更多信息,请参阅*AWS CLI 命令参考* 中的 [enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) 。
1. 安装并配置 AWS Command Line Interface(AWS CLI)(如果尚未执行该操作)。有关信息,请参阅[安装 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 和[配置 CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)。
1. 在本地计算机上,[下载](https://aws.amazon.com/cli/)最新版本的 AWS CLI。
1. 打开 AWS CLI,然后运行以下命令,以指定您的凭证和 AWS 区域。
```
aws configure
```
系统将提示您指定以下内容。在以下示例中,将每个*用户输入占位符*替换为您自己的信息。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 运行以下命令为 AWS Organizations 启用 Systems Manager 服务主体。
```
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
```
## 步骤 3:创建 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
服务相关角色(如 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 角色)是一种与(AWS 服务如 Systems Manager)直接关联的独特类型的 IAM 角色。服务相关角色由服务预定义,具有服务代表您调用其他 AWS 服务 所需的所有权限。有关 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色的更多信息,请参阅[Systems Manager 账户发现的服务相关角色权限](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2)。
使用以下过程,通过利用 AWS CLI 创建 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。有关在此步骤中使用的命令的更多信息,请参阅*AWS CLI 命令参考*中的 [create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html)。
**创建 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色**
1. 登录 AWS Organizations 管理账户。
1. 登录“组织”管理账户时,运行以下命令。
```
aws iam create-service-linked-role \
--aws-service-name accountdiscovery.ssm.amazonaws.com \
--description "Systems Manager account discovery for AWS Organizations service-linked role"
```
## 步骤 4:配置用于跨账户使用 OpsItems 的权限
使用 AWS CloudFormation 堆栈集创建 `OpsItemGroup` 资源策略和 IAM 执行角色,以授予用户跨账户使用 OpsItems 的权限。首先,请下载并解压 [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip) 文件。此文件包含 `OpsCenterCrossAccountMembers.yaml` CloudFormation 模板文件。使用此模板创建堆栈集时,CloudFormation 会自动在账户中创建 `OpsItemCrossAccountResourcePolicy` 资源策略和 `OpsItemCrossAccountExecutionRole` 执行角色。有关创建堆栈集的更多信息,请参阅 *AWS CloudFormation 用户指南*中的 [Create a stack set](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)(创建堆栈集)。
**重要**
请注意有关此任务的以下重要信息:
您必须在登录到 AWS Organizations 管理账户时部署该堆栈集。
您必须在登录到您要*设置为目标*的*每个*账户时重复此过程,以便跨账户(包括委托管理员账户)使用 OpsItems。
如果您想在不同的 AWS 区域 中启用跨账户 OpsItems 管理,请在模板的 **Specify regions**(指定区域)部分中选择 **Add all regions**(添加所有区域)。选择加入区域不支持跨账户 OpsItem 管理。
## 步骤 5:配置用于跨账户使用相关资源的权限
OpsItem 可以包括有关受影响资源的详细信息,如 Amazon Elastic Compute Cloud(Amazon EC2)实例或 Amazon Simple Storage Service(Amazon S3)存储桶。您在“步骤 4”中创建的 `OpsItemCrossAccountExecutionRole` 执行角色将为 OpsCenter 提供只读权限,以便成员账户查看相关资源。您还必须创建 IAM 角色 以向管理账户提供查看相关资源和与之交互的权限,您将在本任务中完成此操作。
首先,请下载并解压 [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip) 文件。此文件包含 `OpsCenterCrossAccountManagementRole.yaml` CloudFormation 模板文件。当您使用此模板创建堆栈时,CloudFormation 会自动在账户中创建 `OpsCenterCrossAccountManagementRole` IAM 角色。有关创建堆栈集的更多信息,请参阅**《AWS CloudFormation 用户指南》中的[在 AWS CloudFormation 控制台上创建堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)。
**重要**
请注意有关此任务的以下重要信息:
如果您计划指定一个账户作为 OpsCenter 的委派管理员,请务必在创建堆栈时指定 AWS 账户。
您必须在登录到 AWS Organizations 管理账户时执行此过程,并在登录到委托管理员账户时再次执行此过程。
# (可选)设置 Amazon SNS 以接收关于 OpsItems 的通知
您可以将 OpsCenter 配置为在系统创建 OpsItem 或更新现有 OpsItem 时,向 Amazon Simple Notification Service(Amazon SNS)主题发送通知。
完成以下步骤以接收 OpsItems 的通知。
+ [步骤 1:创建并订阅 Amazon SNS 主题](#OpsCenter-getting-started-sns-create-topic)
+ [步骤 2:更新 Amazon SNS 访问策略](#OpsCenter-getting-started-sns-encryption-policy)
+ [步骤 3:更新 AWS KMS 访问策略](#OpsCenter-getting-started-sns-KMS-policy)
**注意**
如果您在“步骤 2”中打开了 AWS Key Management Service(AWS KMS)服务器端加密,则必须完成“步骤 3”。否则,可以跳过“步骤 3”。
+ [步骤 4:打开默认 OpsItems 规则以针对新的 OpsItems 发送通知](#OpsCenter-getting-started-sns-default-rules)
## 步骤 1:创建并订阅 Amazon SNS 主题
要接收通知,您必须创建并订阅 Amazon SNS 主题。有关更多信息,请参阅 *Amazon Simple Notification Service Developer Guide* 中的[创建 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html)和[订阅 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。
**注意**
如果您在多个 AWS 区域 或账户中使用 OpsCenter,则必须在*每个*要接收 OpsItem 通知的区域或账户中创建并订阅 Amazon SNS 主题。
## 步骤 2:更新 Amazon SNS 访问策略
您必须将 Amazon SNS 主题与 OpsItems 关联。使用以下过程设置 Amazon SNS 访问策略,以便 Systems Manager 能将 OpsItems 通知发布到您在步骤 1 中创建的 Amazon SNS 主题。
1. 访问 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home),登录 AWS 管理控制台 并打开 Amazon SNS 控制台。
1. 在导航窗格中,选择 **Topics(主题)**。
1. 选择您在“步骤 1”中创建的主题,然后选择**编辑**。
1. 展开**访问策略**。
1. 将以下 `Sid` 数据块添加到现有策略。将每个*示例资源占位符*替换为您自己的信息。
```
{
"Sid": "Allow OpsCenter to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "account ID" // Account ID of the OpsItem owner
}
}
}
```
**注意**
使用 `aws:SourceAccount` 全局条件键来防止混淆代理场景。要使用此条件键,请将值设置为 OpsItem 所有者的账户 ID。有关更多信息,请参阅《IAM 用户指南》**中的[混淆代理](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)。
1. 选择**保存更改**。
现在,当创建或更新 OpsItems 时,系统会向 Amazon SNS 主题发送通知。
**重要**
如果使用 AWS Key Management Service(AWS KMS)服务器端加密密钥配置 Amazon SNS 主题,则必须完成步骤 3。否则,可以跳过“步骤 3”。
## 步骤 3:更新 AWS KMS 访问策略
如果您为 Amazon SNS 主题启用了 AWS KMS 服务器端加密,则还必须更新您在配置主题时选择的 AWS KMS key 的访问策略。使用以下过程更新访问策略,以便 Systems Manager 能将 OpsItem 通知发布到您在“步骤 1”中创建的 Amazon SNS 主题。
**注意**
OpsCenter 不支持将 OpsItems 发布到使用 AWS 托管式密钥 配置的 Amazon SNS 主题。
1. 从 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 打开 AWS KMS 控制台。
1. 要更改 AWS 区域,请使用页面右上角的区域选择器。
1. 在导航窗格中,选择**客户托管密钥**。
1. 选择您在创建主题时选择的 KMS 密钥的 ID。
1. 在 **Key Policy (密钥策略)** 部分中,选择 **Switch to policy view (切换到策略视图)**。
1. 选择**编辑**。
1. 将以下 `Sid` 数据块添加到现有策略。将每个*示例资源占位符*替换为您自己的信息。
```
{
"Sid": "Allow OpsItems to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
"Resource": "arn:aws:kms:region:account ID:key/key ID"
}
```
在下面的示例中,在第 14 行输入新块。
![\[编辑 Amazon SNS 主题的 AWS KMS 访问策略。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/OpsItems_SNS_KMS_access_policy.png)
1. 选择**保存更改**。
## 步骤 4:打开默认 OpsItems 规则以针对新的 OpsItems 发送通知
未使用 Amazon 资源名称(ARN)针对 Amazon SNS 通知配置 Amazon EventBridge 中的默认 OpsItems 规则。使用以下过程编辑 EventBridge 中的规则并输入 `notifications` 数据块。
**将通知块添加到默认 OpsItem 规则**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **OpsCenter**。
1. 选择 **OpsItems** 选项卡,然后选择 **Configure sources (配置源)**。
1. 选择您要使用 `notifications` 块配置的源规则的名称,如以下示例所示:
![\[选择 Amazon EventBridge 规则以添加 Amazon SNS 通知块。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/OpsItems_SNS_Setup_2.png)
该规则将在 Amazon EventBridge 中打开。
1. 在规则详细信息页面的 **Targets**(目标)选项卡上,选择 **Edit**(编辑)。
1. 在 **Additional settings**(其他设置)部分,选择 **Configure input transformer**(配置输入转换器)。
1. 在**模板**框中,添加一个具有以下格式的 `notifications` 块:
```
"notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],
```
以下为示例。
```
"notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],
```
在 `resources` 块之前输入通知块,如以下美国西部(俄勒冈州)(us-west-2)区域示例所示。
```
{
"title": "EBS snapshot copy failed",
"description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
"category": "Availability",
"severity": "2",
"source": "EC2",
"notifications": [{
"arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
}],
"resources": ,
"operationalData": {
"/aws/dedup": {
"type": "SearchableString",
"value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
},
"/aws/automations": {
"value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
},
"failure-cause": {
"value":
},
"source": {
"value":
},
"start-time": {
"value":
},
"end-time": {
"value":
}
}
}
```
1. 选择**确认**。
1. 选择**下一步**。
1. 选择**下一步**。
1. 选择**更新规则**。
当系统下次为默认规则创建 OpsItem 时,系统会向 Amazon SNS 主题发布通知。