Conceitos básicos do Quick Setup
Utilize as informações deste tópico para ajudar você a se preparar para o uso da Quick Setup.
Tópicos
Perfis e permissões do IAM para integração com a Quick Setup
O Quick Setup lançou uma nova experiência de console e uma nova API. Agora você pode interagir com essa API usando o console, a AWS CLI, o AWS CloudFormation e os SDKs. Se você optar pela nova experiência, suas configurações existentes serão recriadas usando a nova API. Dependendo do número de configurações existentes na sua conta, esse processo pode levar vários minutos.
Para usar o novo console da Quick Setup, é necessário ter permissões para as seguintes ações:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm-quicksetup:*", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:DescribeStackResources", "cloudformation:ListStackSetOperations", "cloudformation:ListStackInstances", "cloudformation:DescribeStackSet", "cloudformation:ListStackSets", "cloudformation:DescribeStackInstance", "cloudformation:DescribeOrganizationsAccess", "cloudformation:ActivateOrganizationsAccess", "cloudformation:GetTemplate", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStackEvents", "cloudformation:UntagResource", "ec2:DescribeInstances", "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:ListDocuments", "ssm:DescribeDocument", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks", "ssm:GetOpsSummary", "organizations:DeregisterDelegatedAdministrator", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "resource-groups:ListGroups", "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:CreatePolicy", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "cloudformation:TagResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:RollbackStack", "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStackSet", "cloudformation:UpdateStackSet", "cloudformation:DeleteStackSet", "cloudformation:DeleteStackInstances", "cloudformation:CreateStackInstances", "cloudformation:StopStackSetOperation" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stackset/SSMQuickSetup", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:PassRole", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Effect": "Allow", "Action": [ "ssm:DeleteAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "accountdiscovery.ssm.amazonaws.com", "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "stacksets.cloudformation.amazonaws.com" ] } }, "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin" } ] }
Para restringir os usuários às permissões de somente leitura, permita somente as operações ssm-quicksetup:List* e ssm-quicksetup:Get* para a API Quick Setup.
Durante a integração, o Quick Setup cria as seguintes regras do AWS Identity and Access Management (IAM) em seu nome:
-
AWS-QuickSetup-LocalExecutionRole: concede permissões do AWS CloudFormation para usar qualquer modelo, excluindo o modelo de política de patch, e cria os recursos necessários. -
AWS-QuickSetup-LocalAdministrationRole: concede permissões para o AWS CloudFormation assumir aAWS-QuickSetup-LocalExecutionRole. -
AWS-QuickSetup-PatchPolicy-LocalExecutionRole: concede permissões do AWS CloudFormation para usar o modelo de política de patch, e cria os recursos necessários. -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole: concede permissões para o AWS CloudFormation assumir aAWS-QuickSetup-PatchPolicy-LocalExecutionRole.
Se você estiver integrando uma conta de gerenciamento (a conta que você usa para criar uma organização no AWS Organizations), a Quick Setup também criará os seguintes perfis em seu nome:
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer: concede permissões para a execução doAWS-EnableExplorerrunbook de automação. O runbookAWS-EnableExplorerconfigura o Explorer, um recurso do Systems Manager, para exibir informações de várias Contas da AWS e Regiões da AWS. -
AWSServiceRoleForAmazonSSM: uma função vinculada ao serviço que concede acesso do ao recursos da AWS gerenciados e usados pelo Systems Manager. -
AWSServiceRoleForAmazonSSM_AccountDiscovery: uma função vinculada ao serviço que concede permissões ao Systems Manager para chamar Serviços da AWS, a fim de descobrir informações da Conta da AWS ao sincronizar os dados. Para ter mais informações, consulte Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer.
Ao integrar uma conta de gerenciamento, o Quick Setup habilita o acesso confiável entre o AWS Organizations e o CloudFormation para implantar as configurações do Quick Setup em toda a sua organização. Para habilitar o acesso confiável, sua conta de gerenciamento deve ter permissões de administrador. Após a integração, você não precisa mais de permissões de administrador. Para obter mais informações, consulte Habilitar o acesso confiável com o Organizations.
Para obter mais informações sobre tipos de conta do AWS Organizations, consulte Terminologia e conceitos do AWS Organizations no Guia do usuário do AWS Organizations.
nota
O Quick Setup usa StackSets do AWS CloudFormation para implantar suas configurações entre Contas da AWS e regiões. Se o número de contas de destino multiplicado pelo número de regiões exceder dez mil, a implantação da configuração falhará. É recomendável analisar seu caso de uso e criar configurações que usem menos destinos para comportar o crescimento de sua organização. As instâncias de pilhas não são implantadas na conta de gerenciamento de sua organização. Para obter mais informações, consulte Considerations when creating a stack set with service-managed permissions.
Integração manual para trabalhar com a API do Quick Setup de forma programática
Se você usa o console para trabalhar com o Quick Setup, o serviço gerencia as etapas de integração para você. Se você planeja usar SDKs ou AWS CLI trabalhar com a API do Quick Setup, ainda pode usar o console para concluir as etapas de integração, sem precisar executá-las manualmente. No entanto, alguns clientes precisam concluir as etapas de integração do Quick Setup forma programática sem interagir com o console. Se esse método for adequado ao seu caso de uso, é necessário executar as etapas a seguir. Todas essas etapas devem ser concluídas em sua conta de gerenciamento do AWS Organizations.
Para concluir a integração manual do Quick Setup
-
Ative o acesso confiável para o AWS CloudFormation com o Organizations. Isso fornece à conta de gerenciamento as permissões para criar e gerenciar StackSets para sua organização. Você pode usar a ação da API
ActivateOrganizationsAccessdo AWS CloudFormation para concluir essa etapa. Para obter mais informações, consulte ActivateOrganizationsAccess na AWS CloudFormation API Reference. -
Permita a integração do Systems Manager com o Organizations. Assim, o Systems Manager pode criar uma função vinculada ao serviço em todas as contas de sua organização. Isso também permite que o Systems Manager realize as operações em seu nome em sua organização e em suas contas. Você pode usar a ação da API
EnableAWSServiceAccessdo AWS Organizations para concluir essa etapa. A entidade principal de serviço do Systems Manager éssm.amazonaws.com.Para obter mais informações, consulte EnableAWSServiceAccess na AWS Organizations API Reference. -
Crie o perfil do IAM necessário para o Explorer. Isso permite que o Quick Setup crie painéis para suas configurações para que você possa visualizar os status de implantação e associação. Crie um perfil do IAM de cluster e anexe a política gerenciada do
AWSSystemsManagerEnableExplorerExecutionPolicy. Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cadaaccount IDpor suas próprias informações.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ArnLike": { "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*" } } } ] } -
Atualize a configuração do serviço do Quick Setup para o Explorer. Você pode usar a ação da API
UpdateServiceSettingsdo Quick Setup para concluir essa etapa. Revise o ARN do perfil do IAM que você criou na etapa anterior para o parâmetro de solicitaçãoExplorerEnablingRoleArn. Para obter mais informações, consulte UpdateServiceSettings na Quick Setup API Reference. -
Crie os perfis do IAM necessários para que os StackSets do AWS CloudFormation os usem. Você deve criar um perfil de execução e um perfil de administração.
-
Crie a função de execução. O perfil de execução deve ter pelo menos uma das políticas gerenciadas
AWSQuickSetupDeploymentRolePolicyouAWSQuickSetupPatchPolicyDeploymentRolePolicyanexadas. Se você estiver criando apenas configurações de políticas de patch, poderá usar a política gerenciadaAWSQuickSetupPatchPolicyDeploymentRolePolicy. Todas as outras configurações usam a políticaAWSQuickSetupDeploymentRolePolicy. Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cadaID da contaenome do perfil administrativopor suas informações.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/administration role name" }, "Action": "sts:AssumeRole" } ] } -
Crie o perfil administrativo. A política de permissões deve corresponder ao seguinte. Substitua cada
ID da contaenome do perfil de execuçãopor suas informações.{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": "arn:*:iam::account ID:role/execution role name", "Effect": "Allow" } ] }Modifique a política de confiança de uma função para que corresponda ao seguinte. Substitua cada
account IDpor suas próprias informações.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*" } } } ] }
-
