为组织设置变更管理器(管理帐户) - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为组织设置变更管理器(管理帐户)

如果您使用的是 “变更管理器”(Amazon Web Services Systems Manager中设置的组织,该组织位于Amazon Organizations。如果您只想将变更管理器与单个Amazon Web Services 账户中,跳至主题配置变更管理器选项和最佳做法

执行本节中的任务Amazon Web Services 账户,它作为管理账户(在 OrOrganizations)。有关管理帐户和其他 Organizations 概念的信息,请参阅Amazon Organizations术语和概念

如果您需要启用 “Organizations” 并在继续操作之前将您的帐户指定为管理帐户,请参阅创建和管理组织中的Amazon Organizations用户指南

注意

目前,此设置过程无法在以下Amazon Web Services 区域:

  • 欧洲(米兰)(eu-south-1)

  • 中东(巴林)(me-south-1)

  • 非洲(开普敦)(af-south-1)

  • 亚太地区(香港)(ap-east-1)

请确保您在管理帐户中的不同区域中工作,以执行此过程。

在安装过程中,您可以在快速设置中执行以下主要任务,即Amazon Web Services Systems Manager。

  • Task 1:为您的组织注册委派管理员账户

    使用变更管理器执行的与更改相关的任务在您的成员账户,您将其指定为委派管理员账户。为 Change Manager 注册的委派管理员帐户将成为所有 Systems Manager 操作的委派管理员帐户。(您可能已委派管理员帐户Amazon服务。) 您的 Change Manager 的委派管理员帐户与您的管理帐户不同,它可以管理整个组织中的更改活动,包括变更模板、变更请求和每个更改请求的批准。在委派管理员帐户中,您还可以为 Change Manager 操作指定其他配置选项。

    重要

    委派管理员帐户必须是在 “Organizations” 中为其分配的组织单位 (OU) 的唯一成员。

  • Task 2:定义和指定要用于变更管理器操作的更改请求者角色或自定义作业函数的 Runbook 访问策略

    为了在变更管理器中创建更改请求,您的成员账户中的用户必须获得 AWS Identity and Access Management (IAM) 权限,这些权限允许他们仅访问您选择使其可用的自动化运行手册和更改模板。

    注意

    当用户创建变更请求时,他们首先选择变更模板。此更改模板可能使多个 Runbook 可用,但用户只能为每个变更请求选择一个 Runbook。还可以将更改模板配置为允许用户在其请求中包含任何可用的 Runbook。

    要授予所需的权限,变更管理器使用工作职能,IAM 也使用它。但是,与Amazon工作职能的 托管策略,您可以指定变更管理器作业函数的名称以及这些作业函数的 IAM 权限。

    配置作业职能时,我们建议您创建自定义策略,并仅提供执行更改管理任务所需的权限。例如,您可以指定将用户限制到基于该特定 Runbook 集的权限上的工作职能您定义的。

    例如,您可以创建一个名为DBAdmin。对于此工作职能,您可以仅授予与 Amazon DynamoDB 数据库相关的 Runbook 所需的权限,例如AWS-CreateDynamoDbBackupAWSConfigRemediation-DeleteDynamoDbTable

    作为另一个示例,您可能希望仅授予某些用户使用与 Amazon Simple Storage Service (Amazon S3) 桶相关的 Runbook 所需的权限,例如AWS-ConfigureS3BucketLoggingAWSConfigRemediation-ConfigureS3BucketPublicAccessBlock

    更改管理器的快速设置中的配置过程还使一组完整的 Systems Manager 管理权限可供您应用于创建的管理角色。

    部署的每个 Change Manager 快速安装配置都会在您的委派管理员帐户中创建一个作业功能,该功能具有在您选定的组织单位中运行 Change Manager 模板和自动化运行手册的权限。您可以为更改管理器创建多达 15 个快速设置配置。

  • Task 3:选择要与 Change Manager 配合使用的组织中的成员帐户

    您可以将变更管理器用于 Organizations 中设置的所有组织单位中的所有成员帐户,并在所有Amazon Web Services 区域他们在操作。如果您愿意,则可以改为只对某些组织单位使用 Change Manager。

重要

在开始此过程之前,我们强烈建议您阅读其步骤,以了解您正在做出的配置选择和授予的权限。特别是,规划要创建的自定义作业功能以及分配给每个工作职能的权限。这可确保稍后将创建的作业职能策略附加到单个用户或用户组时,只会向他们授予您希望拥有的权限。

作为最佳做法,首先使用Amazon Web Services 账户管理员。然后,在创建更改模板并确定每个模板使用的 Runbook 之后,配置作业函数及其权限。

要将更改管理器设置为与组织一起使用,请在 Systems Manager 控制台的快速设置区域中执行以下任务。

对于要为组织创建的每个工作职能,您可以重复此任务。您创建的每个工作职能都可以对一组不同的组织单位具有权限。

在 Organizations 管理帐户中为变更管理器设置组织

  1. 打开Amazon Web Services Systems Manager控制台位于https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择快速设置

    -或者-

    如果Amazon Web Services Systems Manager首先打开主页,选择菜单图标( ) 打开导航窗格中的,然后选择选择快速设置在导航窗格中。

  3. 选择创建

  4. 选择变更管理员,然后选择。下一步

  5. 适用于委派管理员账户中,输入账户 IDAmazon Web Services 账户要用于管理变更管理器中的变更模板、变更请求和 Runbook 工作流。

    如果您之前为 Systems Manager 指定了委派管理员帐户,则此字段中已报告其 ID。

    重要

    委派管理员帐户必须是在 “Organizations” 中为其分配的组织单位 (OU) 的唯一成员。

    如果您注册的委派管理员帐户稍后从该角色中取消注册,则系统会同时删除其管理 Systems Manager 操作的权限。请记住,您需要返回到快速设置、指定不同的委派管理员帐户,然后再次指定所有作业功能和权限。

    如果跨组织使用 Change Manager,我们建议您始终使用委派的管理员帐户进行更改。虽然您可以从组织中的其他帐户进行更改,但这些更改将不会在委派管理员帐户中报告或从委派管理员帐户中查看。

  6. 请求和进行更改的权限部分,执行以下操作。

    注意

    您创建的每个部署配置仅为一个作业功能提供权限策略。您可以稍后返回到 “快速设置” 以创建更多作业功能,以便在您的操作中使用的更改模板。

    创建管理角色— 对于管理员作业函数,该函数具有所有Amazon操作中,执行以下操作。

    重要

    只有当用户的角色需要完全 System Manager 访问权限时,才应谨慎地授予用户完全的 Systems Manager 权限。有关 Systems Manager 访问安全注意事项的重要信息,请参阅适用于 Amazon Web Services Systems Manager 的 Identity and Access ManagementSystems Manager 的安全最佳实践

    1. 适用于作业函数中,输入用于标识此角色及其权限的名称,例如MyAmazonAdmin

    2. 适用于角色和权限选项中,选择管理员权限

    创建其他工作职能— 要创建非管理角色,请执行以下操作:

    1. 适用于作业函数中,输入用于标识此角色的名称并建议其权限。您选择的名称应代表您将为其提供权限的 Runbook 范围,例如DBAdmin或者S3Admin

    2. 适用于角色和权限选项中,选择自定义权限

    3. 权限策略编辑器中,以 JSON 格式输入 IAM 权限,以授予此工作职能。

    提示

    我们建议您使用 IAM 策略编辑器构建策略,然后将策略 JSON 粘贴到权限策略字段。

    例如,您可以从策略内容开始,这些内容提供了使用作业职能需要访问的 Systems Manager 文档的权限。下面是示例策略内容,该内容授予对所有Amazon与 DynamoDB 数据库和在示例中创建的两个更改模板相关的托管自动化运行手册Amazon Web Services 账户123456789012。本示例并不全面。可能需要额外的权限才能使用其他Amazon资源(如数据库和实例)。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:ListDocumentVersions", "ssm:DescribeDocument", "ssm:UpdateDocumentDefaultVersion", "ssm:ModifyDocumentPermission", "ssm:DescribeDocumentParameters", "ssm:GetDocument", "ssm:DescribeDocumentPermission", "ssm:UpdateDocument", "ssm:CreateDocument" ], "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:us-east-2:123456789012:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:us-east-2:123456789012:document/AWS-AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:us-east-2:123456789012:document/MyFirstDBChangeTemplate", "arn:aws:ssm:us-east-2:123456789012:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" } ] }

    有关 IAM 策略的更多信息,请参阅访问控制Amazon Configresources创建 IAM 策略中的IAM 用户指南。

  7. 目标部分中,选择是将正在创建的工作职能的权限授予整个组织还是仅授予部分组织单位的权限。

    如果选择整个组织中,继续执行步骤 9。

    如果选择Custom (自定义)中,继续执行步骤 8。

  8. OU部分中,选中要与变更管理器一起使用的组织单位的复选框。

  9. 选择创建

系统完成组织的变更管理器设置后,会显示部署的摘要。此摘要信息包括为您配置的作业职能创建的权限策略的名称。例如:AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole。记下此策略名称并将其附加到执行此工作功能的 IAM 用户或群组。有关附加 IAM 策略的信息,请参阅更改 IAM 用户的权限中的IAM 用户指南

注意

快速设置使用Amazon CloudFormationStackSets 来部署您的配置。您还可以在Amazon CloudFormation控制台。有关 StackSets 的信息,请参阅。使用Amazon CloudFormationStackSets中的Amazon CloudFormation用户指南

下一步是配置其他变更管理器选项。您可以在您的委派管理员帐户或已启用与 Change Manager 一起使用的组织单位中的任何帐户中完成此任务。您可以配置选项,例如选择用户身份管理选项、指定哪些用户可以查看和批准或拒绝更改模板和更改请求,以及选择要为组织启用哪些最佳实践选项。有关信息,请参阅 配置变更管理器选项和最佳做法