• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 查詢來自多個區域和帳戶的清查資料
AWS Systems Manager 庫存與 Amazon Athena 整合,以協助您查詢來自多個 AWS 區域 和 的庫存資料 AWS 帳戶。Athena 整合使用資源資料同步,因此您可以在 AWS Systems Manager 主控台中**的詳細檢視**頁面上檢視所有受管節點的庫存資料。
**重要**
此功能會使用 AWS Glue 來編目 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的資料,並使用 Amazon Athena 來查詢資料。視您所爬取和查詢的資料量而定,這些服務可能會向您收取使用費。使用 AWS Glue時,您需要為爬蟲程式 (探索資料) 和 ETL 任務 (處理和載入資料) 按秒計費的每小時費率。Athena 會按照每個查詢掃描的資料量向您收費。建議您先查看這些服務的定價準則,再使用 Amazon Athena 與 Systems Manager 庫存的整合。如需詳細資訊,請參閱 [Amazon Athena 定價](https://aws.amazon.com/athena/pricing/)和 [AWS Glue 定價](https://aws.amazon.com/glue/pricing/)。
您可以檢視所有 Amazon Athena 可用之 AWS 區域 中 **Detailed View** (詳細檢視) 頁面上的庫存資料。如需支援區域的清單,請參閱*《Amazon Web Services 一般參考》*中的 [Amazon Athena 服務端點](https://docs.aws.amazon.com/general/latest/gr/athena.html#athena_region)一節。
**開始之前**
Athena 整合能夠使用資源資料同步。您必須設定和配置資源資料同步,才能使用這項功能。如需詳細資訊,請參閱[演練:使用資源資料同步來彙總庫存資料](inventory-resource-data-sync.md)。
此外,請注意,針對資源資料同步使用的中央 Amazon S3 儲存貯體,**Detailed View** (詳細檢視) 頁面會顯示其*擁有者*的庫存資料。如果您不是中央 Amazon S3 儲存貯體的擁有者,則無法在 **Detail View** (詳細檢視) 頁面上查看庫存資料。
## 設定存取權
您必須先為 IAM 實體設定檢視資料的許可,才可以在 Systems Manager 主控台的**詳細檢視**頁面上查詢和檢視來自多個帳戶和區域的資料。
如果庫存資料存放在使用 AWS Key Management Service (AWS KMS) 加密的 Amazon S3 儲存貯體中,您也必須設定 IAM 實體和服務`Amazon-GlueServiceRoleForSSM`角色以進行 AWS KMS 加密。
**Topics**
+ [設定您的 IAM 實體以存取「詳細檢視」頁面](#systems-manager-inventory-query-iam-user)
+ [(選用) 設定檢視 AWS KMS 加密資料的許可](#systems-manager-inventory-query-kms)
### 設定您的 IAM 實體以存取「詳細檢視」頁面
以下說明在**詳細檢視**頁面上檢視庫存資料所需的最低許可。
`AWSQuicksightAthenaAccess` 受管政策
以下是 `PassRole` 和其他所需的許可區塊
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGlue",
"Effect": "Allow",
"Action": [
"glue:GetCrawler",
"glue:GetCrawlers",
"glue:GetTables",
"glue:StartCrawler",
"glue:CreateCrawler"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/SSMInventoryGlueRole",
"arn:aws:iam::111122223333:role/SSMInventoryServiceRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "glue.amazonaws.com"
}
}
},
{
"Sid": "iamRoleCreation",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/*"
},
{
"Sid": "iamPolicyCreation",
"Effect": "Allow",
"Action": "iam:CreatePolicy",
"Resource": "arn:aws:iam::111122223333:policy/*"
}
]
}
```
------
(選用) 如果用於存放庫存資料的 Amazon S3 儲存貯體是使用 加密的 AWS KMS,您還必須將下列區塊新增至政策。
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:Region:account_ID:key/key_ARN"
]
}
```
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
### (選用) 設定檢視 AWS KMS 加密資料的許可
如果用於存放庫存資料的 Amazon S3 儲存貯體是使用 AWS Key Management Service (AWS KMS) 加密的,您必須使用 AWS KMS 金鑰的`kms:Decrypt`許可來設定 IAM 實體和 **Amazon-GlueServiceRoleForSSM** 角色。
**開始之前**
若要提供 AWS KMS 金鑰的`kms:Decrypt`許可,請將下列政策區塊新增至您的 IAM 實體:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:Region:account_ID:key/key_ARN"
]
}
```
如果您尚未這麼做,請完成該程序並新增 AWS KMS 金鑰的`kms:Decrypt`許可。
使用下列程序來設定具有 AWS KMS 金鑰`kms:Decrypt`許可的 **Amazon-GlueServiceRoleForSSM** 角色。
**設定具有 `kms:Decrypt` 許可的 **Amazon-GlueServiceRoleForSSM** 角色**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Roles** (角色),然後使用搜尋欄位來尋找 **Amazon-GlueServiceRoleForSSM** 角色。**Summary (摘要)** 頁面隨即開啟。
1. 使用搜尋欄位來尋找 **Amazon-GlueServiceRoleForSSM** 角色。選擇角色名稱 。**Summary (摘要)** 頁面隨即開啟。
1. 選擇角色名稱 。**Summary (摘要)** 頁面隨即開啟。
1. 選擇**新增內嵌政策**。**Create policy (建立政策)** 頁面隨即開啟。
1. 選擇 **JSON** 標籤。
1. 刪除編輯器中的現有 JSON 文字,然後複製下列政策並貼至 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key_ARN"
]
}
]
}
```
------
1. 選擇 **Review policy (檢閱政策)**
1. 在 **Review Policy (檢閱政策)** 頁面的 **Name (名稱)** 欄位中,輸入一個名稱。
1. 選擇**建立政策**。
## 在清查詳細檢視頁面上查詢資料
使用下列程序,在 Systems Manager 清查**詳細檢視**頁面上檢視來自多個 AWS 區域 和 AWS 帳戶 的清查資料。
**重要**
庫存 **Detailed View** (詳細檢視) 頁面僅在提供 Amazon Athena 的 AWS 區域 中可用。若在 Systems Manager 庫存頁面上並未顯示下列標籤,這表示 Athena 並未在該區域中提供使用,且您無法使用 **Detailed View** (詳細檢視) 來查詢資料。
![\[顯示 Inventory (庫存) 儀表板 | Detailed View (詳細檢視) | Settings (設定) 標籤\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/inventory-detailed-view-for-error.png)
**在 AWS Systems Manager 主控台中檢視來自多個區域和帳戶的庫存資料**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**庫存**。
1. 選擇 **Detailed View (詳細檢視)** 索引標籤。
![\[存取 AWS Systems Manager 庫存詳細檢視頁面\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/inventory-detailed-view.png)
1. 選擇您要查詢資料的資源資料同步。
![\[在 AWS Systems Manager 主控台中顯示庫存資料\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/inventory-display-data.png)
1. 在 **Inventory Type (庫存類型)** 清單中,選擇欲查詢的庫存資料類型,接著按 Enter 鍵。
![\[在 AWS Systems Manager 主控台中選擇庫存類型\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/inventory-type.png)
1. 若要篩選資料,請選取篩選條件列,並選擇篩選條件選項。
![\[在 AWS Systems Manager 主控台中篩選庫存資料\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/inventory-filter.png)
您能夠善用 **Export to CSV (匯出至 CSV)** 按鈕,以便在 Microsoft Excel 等試算表應用程式中檢視目前的查詢集。除此之外,您還可以使用 **Query History** (查詢歷程記錄) 和 **Run Advanced Queries** (執行進階查詢) 按鈕,藉此檢視歷程記錄詳細資訊,並與 Amazon Athena 中的資料互動。
### 編輯 AWS Glue 爬蟲程式排程
AWS Glue 根據預設, 會每天編目中央 Amazon S3 儲存貯體中的庫存資料兩次。如果您經常變更節點上要收集的資料類型,可能會需要更頻繁地抓取資料,如以下程序所述。
**重要**
AWS Glue 針對爬蟲程式 (探索資料) 和 ETL 任務 (處理和載入資料), AWS 帳戶 會根據以秒計費的每小時費率向您的 收費。在您變更爬蟲程式排程前,請查看 [AWS Glue 定價](https://aws.amazon.com/glue/pricing/)頁面。
**變更庫存資料的爬蟲程式排程**
1. 在 https://[https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) 開啟 AWS Glue 主控台。
1. 在導覽窗格中,選擇 **Crawlers** (爬蟲程式)。
1. 在爬蟲程式清單中,選擇 Systems Manager 庫存資料爬蟲程式旁的選項。爬蟲程式名稱需採用以下格式:
`AWSSystemsManager-s3-bucket-name-Region-account_ID`
1. 選擇 **Action (動作)**,然後選擇 **Edit crawler (編輯爬蟲程式)**。
1. 在導覽窗格中,選擇 **Schedule (排程)**。
1. 在 **Cron expression (Cron 運算式)** 欄位中,使用 Cron 格式來指定新排程。如需 cron 格式的詳細資訊,請參閱《*AWS Glue 開發人員指南*》中的[任務和爬蟲程式的時間排程](https://docs.aws.amazon.com/glue/latest/dg/monitor-data-warehouse-schedule.html)。
**重要**
您可以暫停爬蟲程式以停止產生費用 AWS Glue。若您暫停爬蟲程式或變更執行頻率,使系統減少爬取資料的次數,則 **Detailed View** (詳細檢視) 所顯示的資料可能不是目前的內容。