本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Systems Manager 和 Amazon Organizations
<a name="services-that-can-integrate-ssm"></a>

Amazon Systems Manager 是一系列可实现 Amazon 资源可见性和控制的功能。以下 Systems Manager 功能可跨您组织中的所有 Amazon Web Services 账户 与 Organizations 配合工作：
+ Systems Manager Explorer 是一个可自定义的操作控制面板，用于报告有关您的 Amazon 资源的信息。您可以使用 Organizations and Systems Manager Explorer 同步组织 Amazon Web Services 账户 中所有人的操作数据。有关更多信息，请参阅《Amazon Systems Manager 用户指南》**中的 [Systems Manager Explorer](https://docs.amazonaws.cn/systems-manager/latest/userguide/Explorer.html)。
+ Systems Manager Change Manager 是一个企业变更管理框架，用于请求、批准、实施和报告应用程序配置和基础架构的操作变更。有关更多信息，请参阅《Amazon Systems Manager 用户指南》**中的 [Amazon Systems Manager Change Manager](https://docs.amazonaws.cn/systems-manager/latest/userguide/change-manager.html)。
+ Systems Manager OpsCenter 提供了一个中心位置，运营工程师和 IT 专业人员可以在其中查看、调查和解决与 Amazon 资源相关的运营工作项目 (OpsItems)。当您 OpsCenter 与 Organizations 一起使用时，它支持在单个会话 OpsItems 中使用管理帐户（组织管理帐户或 Systems Manager 委托的管理员帐户）和另一个帐户。配置后，用户可以执行以下类型的操作：
  +  OpsItems 在另一个账户中创建、查看和更新。
  + 查看有关在其他账户 OpsItems 中指定的 Amazon 资源的详细信息。
  + 启动 Systems Manager Automation 运行手册以修复其他 Amazon 账户中的资源问题。

  有关更多信息，请参阅《Amazon Systems Manager 用户指南》**中的 [Amazon Systems Manager OpsCenter](https://docs.amazonaws.cn/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)。
+ 使用快速设置可根据推荐的最佳做法快速配置常用 Amazon 服务和功能。有关更多信息，请参阅《Amazon Systems Manager 用户指南》**中的 [Amazon Systems Manager Quick Setup](https://docs.amazonaws.cn/systems-manager/latest/userguide/systems-manager-quick-setup.html)。

  在 Systems Manager 注册 Amazon Organizations 委托管理员帐户时，您可以创建、更新、查看和删除针对组织中组织单位的快速设置配置管理器。要了解更多信息，请参阅《Amazon Systems Manager 用户指南》**中的[使用快速设置功能的委派管理员](https://docs.amazonaws.cn/systems-manager/latest/userguide/quick-setup-delegated-administrator.html)。
+ 在设置 Systems Manager 集成控制台时，需要输入委派管理员账户。此帐户用于在 “快速设置”、“资源管理器” 和 “资源管理器” 中注册 Amazon Organizations 委派的管理员帐户。 CloudFormation StackSets要了解更多信息，请参阅《Amazon Systems Manager 用户指南》**中的[设置组织的 Systems Manager 集成控制台](https://docs.amazonaws.cn/systems-manager/latest/userguide/systems-manager-setting-up-organizations.html)。

使用以下信息来帮助您集 Amazon Systems Manager 成 Amazon Organizations。



## 启用集成时，创建了一个服务相关角色
<a name="integrate-enable-slr-ssm"></a>

以下[服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Systems Manager 在您组织中的组织账户内执行支持的操作。

只有在禁用 Systems Manager 和 Organizations 之间的信任访问权限，或者如果您从组织中删除成员账户，您才能删除或修改此角色。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`

## 服务相关角色使用的服务委托人
<a name="integrate-enable-svcprin-ssm"></a>

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Systems Manager 使用的服务相关角色为以下服务委托人授予访问权限：
+ `ssm.amazonaws.com`

## 使用 Systems Manager 启用信任访问权限
<a name="integrate-enable-ta-ssm"></a>

有关启用信任访问权限所需权限的信息，请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具启用可信访问权限。

您可以使用 Amazon Organizations 控制台、运行 Amazon CLI 命令或在其中一个中调用 API 操作来启用可信访问 Amazon SDKs。

------
#### [ Amazon Web Services 管理控制台 ]

**要使用 Organizations 控制台启用信任服务访问权限，请执行以下操作：**

1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在导航窗格中，选择**服务**。

1. 在服务列表中选择 **Amazon Systems Manager**。

1. 选择 **Enable trusted access (启用可信访问)**。

1. 在**启用 Amazon Systems Manager的可信访问权限**对话框中，键入**启用**进行确认，然后选择**启用可信访问权限**。

1. 如果您仅是的管理员 Amazon Organizations，请告知管理员他们现在可以 Amazon Organizations 从服务控制台启用该服务。 Amazon Systems Manager 

------
#### [ Amazon CLI, Amazon API ]

**使用 OrganizationsCLI/SDK 启用信任服务访问权限**  
使用以下 Amazon CLI 命令或 API 操作启用可信服务访问权限：
+ Amazon CLI: [enable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/enable-aws-service-access.html)

  运行以下命令以在 Organi Amazon Systems Manager zations 中启用可信服务。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API：[启用AWSService访问权限](https://docs.amazonaws.cn/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Systems Manager 禁用信任访问权限
<a name="integrate-disable-ta-ssm"></a>

有关禁用信任访问所需权限的信息，请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

Systems Manager 需要可信访问权限才能同步组织 Amazon Web Services 账户 中的运营数据。 Amazon Organizations 如果您禁用信任访问，则 Systems Manager 无法同步操作数据和报告错误。

您只能使用 Organizations 工具禁用可信访问权限。

您可以使用 Amazon Organizations 控制台、运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 Amazon SDKs。

------
#### [ Amazon Web Services 管理控制台 ]

**使用 Organizations 控制台禁用信任服务访问权限**

1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在导航窗格中，选择**服务**。

1. 在服务列表中选择 **Amazon Systems Manager**。

1. 选择 **Disable trusted access（禁用信任访问权限）**。

1. 在**禁用 Amazon Systems Manager的可信访问权限**对话框中，键入**禁用**进行确认，然后选择**禁用可信访问权限**。

1. 如果您仅是的管理员 Amazon Organizations，请告知管理员他们现在可以使用服务控制台或工具禁止 Amazon Organizations 使用该服务。 Amazon Systems Manager 

------
#### [ Amazon CLI, Amazon API ]

**使用 Organizations CLI/SDK 禁用信任服务访问权限**  
您可以使用以下 Amazon CLI 命令或 API 操作来禁用可信服务访问权限：
+ Amazon CLI: [disable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/disable-aws-service-access.html)

  运行以下命令在 Organiz Amazon Systems Manager ations 中禁用可信服务。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API：[禁用AWSService访问权限](https://docs.amazonaws.cn/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 为 Systems Manager 启用委托管理员账户
<a name="integrate-enable-da-ssm"></a>

将成员账户指定为组织的委托管理员时，该账户中的用户和角色可以对 Systems Manager 执行管理操作，否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Systems Manager 的管理分开。

如果跨组织使用 Change Manager，则使用委托管理员账户。该帐户已被指定为在 Amazon Web Services 账户 变更管理器中管理变更模板、变更请求、变更运行手册和批准工作流的帐户。委托账户管理整个组织的变更活动。当您设置您的组织以便使用 Change Manager 时，您要指定您的哪个账户在此角色中使用服务。它不必是组织的管理账户。如果您只对单个账户使用 Change Manager，则不需要委托管理员账户。

**要将成员帐户指定为委托管理员，请参阅《*Amazon Systems Manager 用户指南*》中的以下主题：**  

+ 对于 Explorer 和 OpsCenter，请参阅[配置委派管理员](https://docs.amazonaws.cn/systems-manager/latest/userguide/Explorer-setup-delegated-administrator.html)。
+ 有关 Change Manager 的信息，请参阅[为 Change Manager 设置组织和委托账户](https://docs.amazonaws.cn/systems-manager/latest/userguide/change-manager-organization-setup.html)。
+ 有关快速设置功能的信息，请参阅[注册快速设置功能的委派管理员](https://docs.amazonaws.cn/systems-manager/latest/userguide/quick-setup-register-delegated-administrator.html)。

## 禁用 Systems Manager 委派管理员账户
<a name="integrate-disable-da-ssm"></a>

**要取消注册委派管理员，请参阅《Amazon Systems Manager 用户指南》**中的以下主题：**  

+ 对于 Explorer 和 OpsCenter，请参阅[注销 Explorer 授权的管理员](https://docs.amazonaws.cn/systems-manager/latest/userguide/Explorer-setup-delegated-administrator-deregister.html)。
+ 有关 Change Manager 的信息，请参阅[为 Change Manager 设置组织和委托账户](https://docs.amazonaws.cn/systems-manager/latest/userguide/change-manager-organization-setup.html)。
+ 有关快速设置功能的信息，请参阅[取消注册快速设置功能的委派管理员](https://docs.amazonaws.cn/systems-manager/latest/userguide/quick-setup-deregister-delegated-administrator.html)。