为组织设置 Change Manager(管理账户) - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为组织设置 Change Manager(管理账户)

如果您将 Amazon Systems Manager 的功能 Change Manager 用于在 Amazon Organizations 中设置的组织,则本主题中的任务适用。如果您仅要将 Change Manager 用于单个 Amazon Web Services 账户,则请跳至主题 配置 Change Manager 选项和最佳实践

在充当 Organizations 内管理账户的 Amazon Web Services 账户 中执行本节中的任务。有关管理账户和其他 Organizations 概念的信息,请参阅 Amazon Organizations 术语和概念

如果您需要打开 Organizations 并在继续操作之前将您的账户指定为管理账户,请参阅 Amazon Organizations 用户指南中的创建和管理组织

注意

此设置过程无法在以下 Amazon Web Services 区域中执行:

  • 欧洲(米兰)(eu-south-1)

  • 中东(巴林)(me-south-1)

  • 非洲(开普敦)(af-south-1)

  • 亚太地区(香港)(ap-east-1)

对于此过程,请确保您在管理账户中的其他区域工作。

在设置过程中,您将在 Amazon Systems Manager 的功能 Quick Setup 中执行以下主要任务。

  • 任务 1:为您的组织注册委托管理员账户

    使用 Change Manager 执行的、与更改相关的任务,在您的某一 成员账户中进行管理,您将该账户指定为委托管理员账户。您为 Change Manager 注册的委托管理员账户,将成为您的所有 Systems Manager 操作的委托管理员账户。(您可以有多个用于其他 Amazon Web Services 的委托管理员账户。) 您的 Change Manager 委托管理员账户(与管理账户不同)可以管理整个组织的更改活动,包括更改模板、更改请求,以及对每个更改模板和更改请求的批准。在委托管理员账户中,您还可以为 Change Manager 操作指定其他配置选项。

    重要

    委托管理员账户必须是其在 Organizations 中分配到的组织单位 (OU) 的唯一成员。

  • 任务 2:为您要用于 Change Manager 操作的更改请求者角色或自定义工作职能定义和指定运行手册访问策略

    为在 Change Manager 中创建更改请求,则必须向您的成员账户中的用户授予 Amazon Identity and Access Management (IAM) 权限,这些权限允许他们仅访问自动化运行手册,以及更改您选择提供给他们的模板。

    注意

    当用户创建更改请求时,他们首先需要选择更改模板。此更改模板可能会提供多个运行手册,但用户只能为每个更改请求选择一个运行手册。还可以将更改模板配置为允许用户在其请求中包含任何可用的运行手册。

    要授予所需权限,Change Manager 使用了工作职能的概念,IAM 也使用了此概念。但是,与 IAM 中的 Amazon 工作职能托管策略不同,您既可以指定 Change Manager 工作职能的名称,也可以为这些工作职能指定 IAM 权限。

    在配置工作职能时,我们建议创建自定义策略,并仅提供执行更改管理任务所需的权限。例如,您可以 指定将用户限制到这一基于您定义的工作职能的特定运行手册集的权限 。

    例如,您可以创建名为 DBAdmin 的工作职能。对于此工作职能,您可以仅授予与 Amazon DynamoDB 数据库相关的运行手册所需的权限,例如 AWS-CreateDynamoDbBackupAWSConfigRemediation-DeleteDynamoDbTable

    作为另一个示例,您可能希望仅授予某些用户使用与 Amazon Simple Storage Service (Amazon S3) 存储桶相关的运行手册所需的权限,例如 AWS-ConfigureS3BucketLoggingAWSConfigRemediation-ConfigureS3BucketPublicAccessBlock

    Change Manager 的 Quick Setup 中的配置过程还会为您提供一组完整 Systems Manager 管理权限,以应用于您创建的管理角色。

    您部署的每一项 Change Manager Quick Setup 配置,都会在您的委托管理员账户中创建一项工作职能,这些工作职能拥有在您选择的组织单位中运行 Change Manager 模板和自动化运行手册的权限。您最多可以为 Change Manager 创建 15 项 Quick Setup 配置。

  • 任务 3:选择您的组织中哪些成员账户能够使用 Change Manager

    您可以将 Change Manager 用于在 Organizations 中设置的所有组织单位内的所有成员账户,以及所有 Amazon Web Services 区域(成员账户在其中进行操作)内的所有成员账户。如果愿意,您可以改为仅将 Change Manager 用于您的某些组织单位。

重要

在开始此过程之前,我们强烈建议您认真阅读其步骤,以了解您所做的配置选择和所授予的权限。特别是应规划您要创建的自定义工作职能,以及您分配给各项工作职能的权限。这可确保稍后将您创建的工作职能策略附加到各个用户、用户组或 IAM 角色时,仅会向他们授予您希望他们拥有的权限。

作为最佳时间,首先使用 Amazon Web Services 账户 管理员登录来设置委托管理员账户。然后,在创建更改模板并确定每个更改模板使用的运行手册之后,配置工作职能及其权限。

要设置 Change Manager 以便用于组织,请在 Systems Manager 控制台的 Quick Setup 区域中执行以下任务。

对于要为您的组织创建的每个工作职能,均应重复此任务。您创建的每项工作职能均可拥有针对一组不同组织单位的权限。

在 Organizations 管理账户中为 Change Manager 设置组织

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Quick Setup

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( ) 以打开导航窗格,然后在导航窗格中选择 Quick Setup

  3. 选择 Create (创建)

    - 或者 -

    如果 Quick Setup 开始页面首先打开,选择 Get started(开始使用),然后选择 Create(创建)。

  4. 选择 Change Manager,然后选择 Next (下一步)

  5. 对于 Delegated administrator account (委托管理员账户),输入要用于在 Change Manager 中管理更改模板、更改请求和运行手册工作流的 Amazon Web Services 账户 的 ID。

    如果您之前已为 Systems Manager 指定了委托管理员账户,则此字段中已报告其 ID。

    重要

    委托管理员账户必须是其在 Organizations 中分配到的组织单位 (OU) 的唯一成员。

    如果您注册的委托管理员账户后来从该角色注销,则系统会同时删除其管理 Systems Manager 操作的权限。请注意,您必须返回 Quick Setup,指定不同的委托管理员账户,然后再次指定所有工作职能和权限。

    如果您在整个组织中使用 Change Manager,我们建议始终从委托管理员账户进行更改。虽然您可以从组织中的其他账户进行更改,但这些更改不会在委托管理员账户中报告,也无法从该账户查看。

  6. Permissions to request and make changes (请求和进行更改的权限) 部分中,执行以下操作。

    注意

    您创建的每一项部署配置仅会为一项工作功能提供权限策略。您可以在以后返回到 Quick Setup,在创建要在操作中使用的更改模板时创建更多工作职能。

    创建管理角色 – 对于拥有所有 Amazon 操作的 IAM 权限的管理员工作职能,请执行以下操作。

    重要

    授予用户完整管理权限应该谨慎行事,并且仅当用户的角色需要完整的 Systems Manager 访问权限时才能执行。有关 Systems Manager 访问权限的安全注意事项的重要信息,请参阅 适用于 Amazon Systems Manager 的 Identity and Access ManagementSystems Manager 的安全最佳实践

    1. 对于 Job function (工作职能),请输入用于标识此角色及其权限的名称,例如 MyAmazonAdmin

    2. 对于 Role and permissions option (角色和权限选项),请选择 Administrator permissions (管理员权限)

    创建其他工作职能 – 要创建非管理角色,请执行以下操作:

    1. 对于 Job function (工作职能),输入用于标识此角色的名称,并建议其权限。您选择的名称应能表示您将为其提供权限的运行手册的范围,例如 DBAdminS3Admin

    2. 对于 Role and permissions option (角色和权限选项),请选择 Custom permissions (自定义权限)

    3. Permissions policy editor (权限策略编辑器) 中,以 JSON 格式输入 IAM 权限,以向此工作职能授予这些权限。

    提示

    我们建议您使用 IAM policy 编辑器构建策略,然后将策略 JSON 粘贴到 Permissions policy(权限策略)字段中。

    示例策略:DynamoDB 数据库管理

    例如,您可以从策略内容开始,该内容为使用工作职能需要访问的 Systems Manager 文档(SSM 文档)提供权限。下面是一段示例策略内容,该内容将授予对与 DynamoDB 数据库相关的所有 Amazon 托管式自动化运行手册和在位于美国东部(俄亥俄)区域 (us-east-2) 的示例 Amazon Web Services 账户 123456789012 中创建的两个更改模板的访问权限。

    该策略还包括对 StartChangeRequestExecution 操作的权限,在 Change Calendar 中创建更改请求时需要该权限。

    注意

    此示例并不全面。可能需要额外的权限才能使用其他 Amazon 资源,例如数据库和节点。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:region:*:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:region:*:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:region:*:document/AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:region:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:region:123456789012:document/MyFirstDBChangeTemplate", "arn:aws:ssm:region:123456789012:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "arn:aws:ssm:us-east-2:123456789012:automation-definition/*:*" } ] }

    有关 IAM policy 的更多信息,请参阅《IAM 用户指南》中的 Amazon 资源的访问权限管理创建 IAM policy

  7. Targets (目标) 部分中,请选择是将对您创建的工作职能的权限授予整个组织,还是仅授予部分组织单位。

    如果选择 Entire organization (整个组织),请继续执行步骤 9。

    如果选择 Custom (自定义),则请继续执行步骤 8。

  8. Target OUs (目标 OU) 部分中,选中要使用 Change Manager 的组织单位的复选框。

  9. 选择 Create(创建)

当系统为您的组织完成 Change Manager 设置后,它将显示您的部署摘要。此摘要信息包含为您配置的工作职能创建的权限策略的名称。例如:AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole。请记下此策略名称,并将其附加到将执行此工作职能的用户、组或 IAM 角色。有关附加 IAM policy 的信息,请参阅《IAM 用户指南》中的更改 IAM 用户的权限

注意

Quick Setup 将使用 Amazon CloudFormation StackSets 来部署您的配置。您还可以查看有关 Amazon CloudFormation 控制台中已完成的部署配置的信息。有关 StackSets 的信息,请参阅 Amazon CloudFormation 用户指南中的使用 Amazon CloudFormation StackSets

下一步是配置其他 Change Manager 选项。您可以在您的委托管理员账户或您允许使用 Change Manager 的组织单位内的任何账户中完成此任务。您可以配置多个选项,例如选择用户身份管理选项、指定哪些用户可以审核及批准或拒绝更改模板和更改请求,以及选择允许组织使用哪些最佳实践选项。有关信息,请参阅 配置 Change Manager 选项和最佳实践