(可选)使用 Quick Setup 配置 OpsCenter 以跨账户管理 OpsItems
Quick Setup 是一项 Amazon Systems Manager 功能,其简化了 Systems Manager 功能的设置和配置任务。OpsCenter 的 Quick Setup 功能可帮助您完成以下 OpsItems 跨账户管理任务:
-
指定委派管理员账户
-
创建必需的 Amazon Identity and Access Management(IAM)policy 和角色
-
指定一个 Amazon Organizations 组织或成员账户的子集,委派管理员可以在其中跨账户管理 OpsItems
当您使用快速设置功能配置 OpsCenter 以跨账户管理 OpsItems 时,Quick Setup 将在指定账户中创建以下资源。这些资源授予指定账户权限以使用 OpsItems,并使用自动化运行手册来修复生成 OpsItems 的 Amazon 资源的相关问题。
| 资源 | 账户 |
|---|---|
|
有关该角色的更多信息,请参阅 使用角色为 OpsCenter 和 Explorer 收集 Amazon Web Services 账户 信息。 |
Amazon Organizations 管理账户和委派管理员账户 |
|
|
委托管理员账户 |
|
默认 OpsItem 组的 |
所有 Amazon Organizations 成员账户 |
注意
如果您之前配置了 OpsCenter 以便使用手动方法跨账户管理 OpsItems,则必须删除在该过程的步骤 4 和步骤 5 中创建的 Amazon CloudFormation 堆栈或堆栈集。如果您完成以下步骤时您的账户中存在这些资源,则 Quick Setup 无法正确配置跨账户 OpsItem 管理。
使用快速设置功能配置 OpsCenter,以跨账户管理 OpsItems
-
使用 Amazon Organizations 管理账户登录 Amazon Web Services Management Console。
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 在导航窗格中,选择 Quick Setup。
-或者-
如果首先打开 Amazon Systems Manager 主页,选择菜单图标 (
) 以打开导航窗格,然后在导航窗格中选择 Quick Setup。-
选择库选项卡。
-
滚动到底部并找到 OpsCenter 配置图块。选择创建。
-
在 Quick SetupOpsCenter 页面上的委派管理员部分,输入账户 ID。如果您无法编辑此字段,则表示已经为 Systems Manager 指定了委派管理员账户。
-
在 Targets 部分中,选择选项。如果选择自定义,则选择要在其中跨账户管理 OpsItems 的组织单位(OU)。
-
选择创建。
Quick Setup 创建 OpsCenter 配置并将所需 Amazon 资源部署到指定的 OU。
注意
如果您不想跨多个账户管理 OpsItems,可以从 Quick Setup 中删除配置。删除配置时,Quick Setup 会删除最初部署配置时创建的以下 IAM policy 和角色:
-
来自委派管理员账户的
OpsItem-CrossAccountManagementRole -
来自所有 Organizations 成员账户的
OpsItem-CrossAccountExecutionRole和SSM::ResourcePolicy
Quick Setup 从所有组织单位和最初部署配置所在的 Amazon Web Services 区域 移除配置。
排查 OpsCenter 的 Quick Setup 配置问题
本部分包含的信息可帮助您解决在使用 Quick Setup 配置跨账户 OpsItem 管理时遇到的问题。
部署到这些堆栈集失败:delegatedAdmin
创建 OpsCenter 配置时,Quick Setup 会在 Organizations 管理账户中部署两个 Amazon CloudFormation 堆栈集。堆栈集使用以下前缀:AWS-QuickSetup-SSMOpsCenter。如果 Quick Setup 显示以下错误:Deployment to
these StackSets failed: delegatedAdmin,请使用以下步骤修复此问题。
排查堆栈集失败的问题:delegatedAdmin 错误
-
如果您在 Quick Setup 控制台的红色横幅中收到
Deployment to these StackSets failed: delegatedAdmin错误,请登录到委派管理员账户和指定为 Quick Setup 主区域的 Amazon Web Services 区域。 打开 Amazon CloudFormation 控制台,地址:https://console.aws.amazon.com/cloudformation
。 -
请选择您的 Quick Setup 配置创建的堆栈。堆栈名称包括以下内容:AWS-QuickSetup-SSMOpsCenter。
注意
CloudFormation 有时会删除失败的堆栈部署。如果堆栈未提供在 Stacks(堆栈)表中,请从筛选条件列表中选择 Deleted(已删除)。
-
请查看 Status(状态)和 Status reason(状态原因)。有关堆栈状态的更多信息,请参阅 Amazon CloudFormation 用户指南中的堆栈状态代码。
-
要了解失败的确切步骤,请查看 Events(事件)选项卡并查看每个事件的状态。有关更多信息,请参阅《Amazon CloudFormation User Guide》中的 Troubleshooting。
注意
如果您无法使用 CloudFormation 问题排查步骤解决部署失败问题,请删除配置并再次尝试。
Quick Setup 配置状态显示失败
如果配置详细信息页面上的配置详细信息表显示配置状态为 Failed,请登录到失败的 Amazon Web Services 账户 和区域。
排查创建 OpsCenter 配置时的 Quick Setup 失败问题
-
登录到失败发生的 Amazon Web Services 账户 和 Amazon Web Services 区域。
打开 Amazon CloudFormation 控制台,地址:https://console.aws.amazon.com/cloudformation
。 -
请选择您的 Quick Setup 配置创建的堆栈。堆栈名称包括以下内容:AWS-QuickSetup-SSMOpsCenter。
注意
CloudFormation 有时会删除失败的堆栈部署。如果堆栈未提供在 Stacks(堆栈)表中,请从筛选条件列表中选择 Deleted(已删除)。
-
请查看 Status(状态)和 Status reason(状态原因)。有关堆栈状态的更多信息,请参阅 Amazon CloudFormation 用户指南中的堆栈状态代码。
-
要了解失败的确切步骤,请查看 Events(事件)选项卡并查看每个事件的状态。有关更多信息,请参阅《Amazon CloudFormation User Guide》中的 Troubleshooting。
成员账户配置显示 ResourcePolicyLimitExceededException
如果堆栈状态显示 ResourcePolicyLimitExceededException,则表示该账户之前已使用手动方法载入了 OpsCenter 跨账户管理。要解决此问题,您必须删除在手动载入流程的步骤 4 和步骤 5 中创建的 Amazon CloudFormation 堆栈或堆栈集。有关详细信息,请参阅《Amazon CloudFormation User Guide》中的 Delete a stack set 和 Deleting a stack on the Amazon CloudFormation console。