Quick Setup 入门 - Amazon Systems Manager
配置主 Amazon Web Services 区域注册 Quick Setup 的 IAM 角色和权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Quick Setup 入门

使用本主题中的信息帮助您准备使用 Quick Setup。

配置主 Amazon Web Services 区域

要开始使用 Amazon Systems Manager 的 Quick Setup 功能, 必须选择主 Amazon Web Services 区域,然后使用 Quick Setup 进行引导。主区域是 Quick Setup 创建 Amazon 资源的位置,这些资源将用于部署您的配置。主区域在选择后无法更改。

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Quick Setup

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( The menu icon ) 以打开导航窗格,然后在导航窗格中选择 Quick Setup

  3. Choose a home Region(选择主区域)中,选择您希望 Quick Setup 将用于部署配置的 Amazon 资源创建到哪个 Amazon Web Services 区域。

  4. 选择开始使用

要开始使用 Quick Setup,在可用配置类型列表中选择服务或功能。Quick Setup 中的 configuration type(配置类型)特定于 Amazon Web Service或功能。在选择配置类型时,可以选择要为该服务或功能配置的选项。预设情况下,配置类型可帮助您将服务或功能设置为使用建议的最佳实践。

在设置配置后,可以跨组织单位 (OU) 和区域查看有关该配置及其部署状态的详细信息。也可以查看配置的 State Manager 关联状态。State Manager 是 Amazon Systems Manager 的功能。在配置详细信息窗格中,可以查看 Quick Setup 配置的汇总。此汇总包含来自所有账户的详细信息以及检测到的任何配置漂移。

注册 Quick Setup 的 IAM 角色和权限

在引导期间,Quick Setup 将代表您创建以下 Amazon Identity and Access Management (IAM) 角色:

  • AWS-QuickSetup-StackSet-Local-ExecutionRole - 授予 Amazon CloudFormation 使用任何模板的权限。

  • AWS-QuickSetup-StackSet-Local-AdministrationRole - 授予 Amazon CloudFormation 担任 AWS-QuickSetup-StackSet-Local-ExecutionRole 的权限。

如果您正在注册管理账户(用于在 Amazon Organizations 中创建组织的账户),Quick Setup 还会代表您创建以下角色:

  • AWS-QuickSetup-SSM-RoleForEnablingExplorer - 授予 AWS-EnableExplorer 自动化 Runbook 权限。使用 AWS-EnableExplorer 运行手册,可将 Systems Manager 的功能 Explorer 配置为显示多个 Amazon Web Services 账户 和 Amazon Web Services 区域 的信息。

  • AWSServiceRoleForAmazonSSM - 服务链接角色,用于授予对由 Systems Manager 管理和使用的 Amazon 资源的访问权限。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery – 服务相关角色,用于向 Systems Manager 授予在同步数据时调用 Amazon Web Services来查找 Amazon Web Services 账户信息的权限。有关更多信息,请参阅关于 AWSServiceRoleForAmazonSSM_AccountDiscovery 角色

在引导管理账户时,Quick Setup 将在 Amazon Organizations 和 CloudFormation 之间启用受信任的访问权限,来部署整个组织的 Quick Setup 配置。要启用受信任访问权限,您的管理账户必须具有管理员权限。在完成引导后,便不再需要管理员权限。有关更多信息,请参阅启用 Organizations 受信任的访问权限

有关 Amazon Organizations 账户类型的更多信息,请参阅《Amazon Organizations 用户指南》中的 Amazon Organizations 术语和概念

注意

Quick Setup 使用 Amazon CloudFormation StackSets 通过 Amazon Web Services 账户 和区域来部署您的配置。如果目标账户数量乘以区域数超过 10000,则配置部署失败。我们建议检查您的用例并创建使用较少目标的配置,以适应组织的增长。堆栈实例不会部署到组织的管理账户。有关更多信息,请参阅创建具有服务托管权限的堆栈集时的注意事项

如果您的用户、组或角色有权访问下表中列出的 API 操作,则您可以使用 Quick Setup 的所有功能。共有两个 API 操作选项卡,第一个选项卡为所有账户所需的权限,第二个选项卡包含企业管理账户所需的其他权限。

Non-management account
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:GetRole",
"iam:ListRoles",
"iam:PassRole"
"ssm:ListAssociations",
"ssm:ListDocuments",
"ssm:GetDocument",
"ssm:DescribeAssociation",
"ssm:DescribeAutomationExecutions",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSets",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperationResults",
"cloudformation:TagResource",
"cloudformation:CreateStack",
"cloudformation:DeleteStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:CreateStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances"
Management account

"ssm:createResourceDataSync",
"ssm:listResourceDataSync",
"ssm:getOpsSummary",
"ssm:createAssociation",
"ssm:createDocument",
"ssm:startAssociationsOnce",
"ssm:startAutomationExecution",
"ssm:updateAssociation",
"ssm:listAssociations",
"ssm:listDocuments",
"ssm:getDocument",
"ssm:describeAssociation",
"ssm:describeAutomationExecutions",
"organizations:ListRoots",
"organizations:DescribeOrganization",
"organizations:ListOrganizationalUnitsForParent"
"organizations:EnableAWSServiceAccess",
"cloudformation:describe*"