Erste Schritte mit Quick Setup - AWS Systems Manager
IAM-Rollen und -Berechtigungen für Quick Setup OnboardingManuelles Onboarding für die Arbeit mit Quick Setup API programmatisch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Quick Setup

Verwenden Sie die Informationen in diesem Thema, um sich auf die Verwendung vorzubereiten Quick Setup.

IAM-Rollen und -Berechtigungen für Quick Setup Onboarding

Quick Setup hat ein neues Konsolenerlebnis und eine neue API eingeführt. Jetzt können Sie mit dieser API über die Konsole, AWS CLI AWS CloudFormation, und interagieren SDKs. Wenn Sie sich für das neue Erlebnis entscheiden, werden Ihre vorhandenen Konfigurationen mithilfe der neuen API neu erstellt. Je nach Anzahl der vorhandenen Konfigurationen in Ihrem Konto kann dieser Vorgang einige Minuten dauern.

Um das neue zu verwenden Quick Setup Konsole, Sie müssen über Berechtigungen für die folgenden Aktionen verfügen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm-quicksetup:*",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStacks",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackResources",
                "cloudformation:ListStackSetOperations",
                "cloudformation:ListStackInstances",
                "cloudformation:DescribeStackSet",
                "cloudformation:ListStackSets",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeOrganizationsAccess",
                "cloudformation:ActivateOrganizationsAccess",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackSetOperationResults",
                "cloudformation:DescribeStackEvents",
                "cloudformation:UntagResource",
                "ec2:DescribeInstances",
                "ssm:DescribeAutomationExecutions",
                "ssm:GetAutomationExecution",
                "ssm:ListAssociations",
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:ListDocuments",
                "ssm:DescribeDocument",
                "ssm:ListResourceDataSync",
                "ssm:DescribePatchBaselines",
                "ssm:GetPatchBaseline",
                "ssm:DescribeMaintenanceWindows",
                "ssm:DescribeMaintenanceWindowTasks",
                "ssm:GetOpsSummary",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListRoots",
                "organizations:ListParents",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:DescribeOrganizationalUnit",
                "organizations:ListAWSServiceAccessForOrganization",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "resource-groups:ListGroups",
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:CreatePolicy",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "cloudformation:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:RollbackStack",
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStackSet",
                "cloudformation:UpdateStackSet",
                "cloudformation:DeleteStackSet",
                "cloudformation:DeleteStackInstances",
                "cloudformation:CreateStackInstances",
                "cloudformation:StopStackSetOperation"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
                "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
                "arn:aws:cloudformation:*:*:type/resource/*",
                "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRolePolicy",
                "iam:PassRole",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWS-QuickSetup-*",
                "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteAssociation",
                "ssm:CreateAssociation",
                "ssm:StartAssociationsOnce"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartAutomationExecution",
            "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary",
                "ssm:CreateResourceDataSync",
                "ssm:UpdateResourceDataSync"
            ],
            "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "accountdiscovery.ssm.amazonaws.com",
                        "ssm.amazonaws.com",
                        "ssm-quicksetup.amazonaws.com",
                        "stacksets.cloudformation.amazonaws.com"
                    ]
                }
            },
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
        }
    ]
}

Um Benutzern nur Leseberechtigungen zu gewähren, verwenden Sie nur die Option Zulassen ssm-quicksetup:List* und ssm-quicksetup:Get* Operationen für Quick Setup API.

Während des Onboardings Quick Setup erstellt in Ihrem Namen die folgenden Rollen AWS Identity and Access Management (IAM):

  • AWS-QuickSetup-LocalExecutionRole – Erteilt AWS CloudFormation Berechtigungen zur Verwendung beliebiger Vorlagen, mit Ausnahme der Patch-Richtlinienvorlage, und zur Erstellung der erforderlichen Ressourcen.

  • AWS-QuickSetup-LocalAdministrationRole— Erteilt Berechtigungen AWS CloudFormation zur ÜbernahmeAWS-QuickSetup-LocalExecutionRole.

  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole— Erteilt Berechtigungen AWS CloudFormation zur Verwendung der Patch-Richtlinienvorlage und zur Erstellung der erforderlichen Ressourcen.

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole— Erteilt Berechtigungen AWS CloudFormation zum ÜbernehmenAWS-QuickSetup-PatchPolicy-LocalExecutionRole.

Wenn Sie ein Verwaltungskonto einrichten — das Konto, mit dem Sie eine Organisation erstellen — AWS OrganizationsQuick Setup erstellt außerdem die folgenden Rollen in Ihrem Namen:

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer— Erteilt Berechtigungen dem AWS-EnableExplorer-Automation-Runbook. Das AWS-EnableExplorer Runbook konfiguriert Explorer, ein Tool im Systems Manager, um Informationen für mehrere AWS-Konten und anzuzeigen AWS-Regionen.

  • AWSServiceRoleForAmazonSSM— Eine dienstbezogene Rolle, die Zugriff auf AWS Ressourcen gewährt, die von Systems Manager verwaltet und verwendet werden.

  • AWSServiceRoleForAmazonSSM_AccountDiscovery— Eine serviceverknüpfte Rolle, die Systems Manager berechtigt, beim Synchronisieren von Daten anzurufen AWS-Services , um AWS-Konto Informationen zu ermitteln. Weitere Informationen finden Sie unter Verwenden von Rollen zum Sammeln von AWS-Konto Informationen für OpsCenter and Explorer.

Beim Onboarding eines Verwaltungskontos Quick Setup ermöglicht den vertrauenswürdigen Zugriff zwischen AWS Organizations und CloudFormation die Bereitstellung Quick Setup Konfigurationen in Ihrer gesamten Organisation. Um vertrauenswürdigen Zugriff zu aktivieren, muss Ihr Verwaltungskonto über Administratorberechtigungen verfügen. Nach dem Onboarding benötigen Sie keine Administratorberechtigungen mehr. Weitere Informationen finden Sie unter Enable trusted access with Organizations (Aktivieren des vertrauenswürdigen Zugriffs mit Organizations).

Informationen zu AWS Organizations Kontotypen finden Sie unter AWS Organizations Terminologie und Konzepte im AWS Organizations Benutzerhandbuch.

Anmerkung

Quick Setup verwendet AWS CloudFormation StackSets , um Ihre Konfigurationen AWS-Konten regionsübergreifend bereitzustellen. Wenn die Anzahl der Zielkonten multipliziert mit der Anzahl der Regionen 10 000 übersteigt, kann die Konfiguration nicht bereitgestellt werden. Wir empfehlen Ihnen, Ihren Anwendungsfall zu überprüfen und Konfigurationen zu erstellen, die weniger Ziele verwenden, um dem Wachstum Ihres Unternehmens Rechnung zu tragen. Stack-Instances werden nicht für das Verwaltungskonto Ihrer Organisation bereitgestellt. Weitere Informationen finden Sie unter Considerations when creating a stack set with service-managed permissions (Überlegungen beim Erstellen eines Stack-Sets mit service-verwalteten Berechtigungen).

Manuelles Onboarding für die Arbeit mit Quick Setup API programmatisch

Wenn Sie die Konsole verwenden, um damit zu arbeiten Quick Setup, der Service erledigt die Onboarding-Schritte für Sie. Wenn Sie planen, das zu verwenden SDKs oder mit dem AWS CLI zu arbeiten Quick Setup API: Sie können die Konsole weiterhin verwenden, um die Onboarding-Schritte für Sie abzuschließen, sodass Sie sie nicht manuell durchführen müssen. Einige Kunden müssen jedoch die Onboarding-Schritte für abschließen Quick Setup programmgesteuert, ohne mit der Konsole zu interagieren. Wenn diese Methode zu Ihrem Anwendungsfall passt, müssen Sie die folgenden Schritte ausführen. All diese Schritte müssen von Ihrem AWS Organizations Verwaltungskonto aus abgeschlossen werden.

Um das manuelle Onboarding abzuschließen für Quick Setup

  1. Aktivieren Sie den vertrauenswürdigen Zugriff für AWS CloudFormation mit Organizations. Dadurch erhält das Verwaltungskonto die Berechtigungen, die StackSets für die Erstellung und Verwaltung Ihrer Organisation erforderlich sind. Sie können die ActivateOrganizationsAccess API-Aktion verwenden AWS CloudFormation, um diesen Schritt abzuschließen. Weitere Informationen finden Sie unter ActivateOrganizationsAccess in der AWS CloudFormation -API-Referenz.

  2. Ermöglichen Sie die Integration von Systems Manager mit Organizations. Auf diese Weise kann Systems Manager eine serviceverknüpfte Rolle für alle Konten Ihrer Organisation erstellen. Auf diese Weise kann Systems Manager auch Vorgänge in Ihrem Namen in Ihrer Organisation und deren Konten ausführen. Sie können die EnableAWSServiceAccess API-Aktion verwenden AWS Organizations, um diesen Schritt abzuschließen. Der Dienstprinzipal für Systems Manager istssm.amazonaws.com. Weitere Informationen finden Sie unter Enable AWSService Access in der AWS Organizations API-Referenz.

  3. Erstellen Sie die erforderliche IAM-Rolle für Explorer. Das ermöglicht Quick Setup um Dashboards für Ihre Konfigurationen zu erstellen, sodass Sie den Bereitstellungs- und Zuordnungsstatus einsehen können. Erstellen Sie eine IAM-Rolle und fügen Sie ihr die von AWSSystemsManagerEnableExplorerExecutionPolicy verwaltete Richtlinie hinzu. Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jedes einzelne account ID durch Ihre Informationen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*"
                }
            }
        }
    ]
}

  4. Aktualisieren Sie die Quick Setup Serviceeinstellung für Explorer. Du kannst benutzen Quick Setupdie UpdateServiceSettings API-Aktion, um diesen Schritt abzuschließen. Geben Sie den ARN für die IAM-Rolle an, die Sie im vorherigen Schritt für den ExplorerEnablingRoleArn-Anforderungsparameter erstellt haben. Weitere Informationen finden Sie unter UpdateServiceSettings im .Quick Setup API-Referenz.

  5. Erstellen Sie die erforderlichen IAM-Rollen für AWS CloudFormation StackSets die Verwendung. Sie müssen eine Ausführungsrolle und eine Administratorrolle erstellen.

    1. Erstellen Sie die Ausführungsrolle. Der Ausführungsrolle sollte mindestens eine der AWSQuickSetupDeploymentRolePolicy oder AWSQuickSetupPatchPolicyDeploymentRolePolicy verwalteten Richtlinien zugeordnet sein. Wenn Sie nur Konfigurationen für Patch-Richtlinien erstellen, können Sie AWSQuickSetupPatchPolicyDeploymentRolePolicy verwaltete Richtlinien verwenden. Alle anderen Konfigurationen verwenden die AWSQuickSetupDeploymentRolePolicy-Richtlinie. Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jedes account ID Feld administration role name durch Ihre Informationen.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account ID:role/administration role name"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    2. Erstellen Sie die Administratorrolle. Die Berechtigungsrichtlinie muss wie folgt übereinstimmen. Ersetzen Sie jedes account ID und execution role name durch Ihre Informationen.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:*:iam::account ID:role/execution role name",
            "Effect": "Allow"
        }
    ]
}

      Ändern Sie die Vertrauensrichtlinie für die Rolle so, dass sie den folgenden Anforderungen entspricht. Ersetzen Sie jedes account ID durch Ihre Informationen.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account ID"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}