• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 查询多个区域和账户的清单数据
Amazon Systems Manager Inventory 可与 Amazon Athena 集成,以帮助您查询来自多个 Amazon Web Services 区域和 Amazon Web Services 账户的清单数据。Athena 集成使用资源数据同步,以便您可以在 Amazon Systems Manager 控制台中的 **Detailed View**(详细视图)页面上查看来自所有托管式节点的清单数据。
**重要**
此功能将使用 Amazon Glue 网络爬取您的 Amazon Simple Storage Service (Amazon S3) 存储桶中的数据,以及使用 Amazon Athena 查询这些数据。根据抓取和查询的数据量,您可能需要为使用这些服务付费。使用 Amazon Glue 时,您需要按小时费率(按秒计)为爬网程序(发现数据)和 ETL 作业(处理和加载数据)付费。使用 Athena,您需要按每次查询所扫描的数据量付费。建议您在使用 Amazon Athena 与 Systems Manager Inventory 的集成之前查看这些服务的定价准则。有关更多信息,请参阅 [Amazon Athena 定价](https://www.amazonaws.cn/athena/pricing/)和 [Amazon Glue 定价](https://www.amazonaws.cn/glue/pricing/)。
您可以在所有提供 Amazon Athena 的 Amazon Web Services 区域 中的 **Detailed View (详细视图)** 页面上查看清单数据。有关受支持的区域列表,请参阅《Amazon Web Services 一般参考》**中的 [Amazon Athena Service Endpoints](https://docs.amazonaws.cn/general/latest/gr/athena.html#athena_region)。
**开始前的准备工作**
Athena 集成使用资源数据同步。您必须设置并配置资源数据同步才能使用该功能。有关更多信息,请参阅 [演练:使用资源数据同步聚合清单数据](inventory-resource-data-sync.md)。
另请注意,**Detailed View (详细视图)** 页面将为资源数据同步使用的中央 Amazon S3 存储桶的*拥有者*显示清单数据。如果您不是中央 Amazon S3 存储桶的拥有者,则无法在 **Detailed View (详细视图)** 页面上查看清单数据。
## 配置访问权限
您必须将 IAM 实体配置为拥有查看数据的权限,然后才能在 Systems Manager 控制台中的**详细视图**页面上查询及查看来自多个账户和区域的数据。
如果清单数据存储在使用 Amazon Key Management Service(Amazon KMS)加密的 Amazon S3 存储桶中,您还必须配置 IAM 实体和 `Amazon-GlueServiceRoleForSSM` 服务角色,以便进行 Amazon KMS 加密。
**Topics**
+ [配置您的 IAM 实体以访问“详细视图”页面](#systems-manager-inventory-query-iam-user)
+ [(可选)配置查看 Amazon KMS 加密数据的权限](#systems-manager-inventory-query-kms)
### 配置您的 IAM 实体以访问“详细视图”页面
下文介绍了在**详细视图**页面上查看清单数据所需的最低权限。
`AWSQuicksightAthenaAccess` 托管策略
以下 `PassRole` 和其他所需权限块
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGlue",
"Effect": "Allow",
"Action": [
"glue:GetCrawler",
"glue:GetCrawlers",
"glue:GetTables",
"glue:StartCrawler",
"glue:CreateCrawler"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/SSMInventoryGlueRole",
"arn:aws:iam::111122223333:role/SSMInventoryServiceRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "glue.amazonaws.com"
}
}
},
{
"Sid": "iamRoleCreation",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/*"
},
{
"Sid": "iamPolicyCreation",
"Effect": "Allow",
"Action": "iam:CreatePolicy",
"Resource": "arn:aws:iam::111122223333:policy/*"
}
]
}
```
------
(可选)如果用于存储清单数据的 Amazon S3 存储桶使用 Amazon KMS 进行加密,则您还必须将以下数据块添加到策略中。
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:Region:account_ID:key/key_ARN"
]
}
```
要提供访问权限,请为您的用户、组或角色添加权限:
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
### (可选)配置查看 Amazon KMS 加密数据的权限
如果用于存储清单数据的 Amazon S3 存储桶使用 Amazon Key Management Service(Amazon KMS)进行加密,则您必须将 IAM 实体和 **Amazon-GlueServiceRoleForSSM** 角色配置为拥有对 Amazon KMS 密钥的 `kms:Decrypt` 权限。
**开始前的准备工作**
要提供对 Amazon KMS 密钥的 `kms:Decrypt` 权限,请将以下策略块添加到您的 IAM 实体:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:Region:account_ID:key/key_ARN"
]
}
```
如果您尚未这样做,请完成该过程,并添加对 Amazon KMS 密钥的 `kms:Decrypt` 权限。
使用以下过程将 **Amazon-GlueServiceRoleForSSM** 角色配置为拥有对 Amazon KMS 密钥的 `kms:Decrypt` 权限。
**将 **Amazon-GlueServiceRoleForSSM** 角色配置为拥有 `kms:Decrypt` 权限**
1. 通过 [https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择 **Roles (角色)**,然后使用搜索字段查找 **Amazon-GlueServiceRoleForSSM** 角色。此时将打开**摘要**页面。
1. 使用搜索字段查找 **Amazon-GlueServiceRoleForSSM** 角色。选择角色名称 。此时将打开**摘要**页面。
1. 选择角色名称 。此时将打开**摘要**页面。
1. 选择**添加内联策略**。此时将打开**创建策略**页面。
1. 选择 **JSON** 选项卡。
1. 删除编辑器中现有的 JSON 文本,然后将以下策略复制并粘贴到 JSON 编辑器中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key_ARN"
]
}
]
}
```
------
1. 选择**查看策略**
1. 在**查看策略**页面上的**名称**字段中输入名称。
1. 选择**创建策略**。
## 在清单详细视图页面上查询数据
使用以下过程可在 Systems Manager Inventory **Detailed View (详细视图)** 页面上查看来自多个 Amazon Web Services 区域和 Amazon Web Services 账户的清单数据。
**重要**
仅在提供 Amazon Athena 的 Amazon Web Services 区域 中提供了 Inventory **Detailed View (详细视图)** 页面。如果在 Systems Manager Inventory 页面上未显示以下选项卡,则意味着 Athena 在该区域中不可用,并且您无法使用 **Detailed View (详细视图)** 查询数据。
![\[显示 Inventory“控制面板”|“详细视图”|“设置”选项卡\]](http://docs.amazonaws.cn/systems-manager/latest/userguide/images/inventory-detailed-view-for-error.png)
**在 Amazon Systems Manager 控制台中查看多个区域和账户的清单数据**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/),打开 Amazon Systems Manager 控制台。
1. 在导航窗格中,选择 **Inventory (清单)**。
1. 选择 **Detailed View (详细视图)** 选项卡。
![\[访问 Amazon Systems Manager Inventory(清单)详细视图页面\]](http://docs.amazonaws.cn/systems-manager/latest/userguide/images/inventory-detailed-view.png)
1. 选择要查询数据的资源数据同步。
![\[在 Amazon Systems Manager 控制台中显示清单数据\]](http://docs.amazonaws.cn/systems-manager/latest/userguide/images/inventory-display-data.png)
1. 在 **Inventory Type (清单类型)** 列表中,请选择要查询的清单数据类型,然后按 Enter。
![\[在 Amazon Systems Manager 控制台中选择清单类型\]](http://docs.amazonaws.cn/systems-manager/latest/userguide/images/inventory-type.png)
1. 要筛选数据,请选择筛选条件栏,然后选择筛选选项。
![\[在 Amazon Systems Manager 控制台中筛选清单数据\]](http://docs.amazonaws.cn/systems-manager/latest/userguide/images/inventory-filter.png)
您可以使用 **Export to CSV (导出到 CSV)** 按钮在电子表格应用程序(如 Microsoft Excel)中查看当前查询集。您也可以使用 **Query History (查询历史记录)** 和 **Run Advanced Queries (运行高级查询)** 按钮查看历史记录详细信息,并与 Amazon Athena 中的数据进行交互。
### 编辑 Amazon Glue 爬网程序计划
预设情况下,Amazon Glue 每天会爬取中央 Amazon S3 存储桶中的清单数据两次。如果您经常更改要在节点上收集的数据的类型,则可能需要更频繁地抓取数据,如以下过程中所述。
**重要**
Amazon Glue 按小时费率(按秒计费)向您的 Amazon Web Services 账户收取执行爬网程序(发现数据)和 ETL 任务(处理和加载数据)的费用。在更改爬网程序计划前,请先查看 [Amazon Glue 定价](https://www.amazonaws.cn/glue/pricing/)页面。
**更改清单数据爬网程序计划**
1. 通过 [https://console.aws.amazon.com/glue/](https://console.amazonaws.cn/glue/) 打开 Amazon Glue 控制台。
1. 在导航窗格中,选择 **爬网程序**。
1. 在爬网程序列表中,选择 Systems Manager Inventory 数据爬网程序旁边的选项。爬网程序名称使用以下格式:
`AWSSystemsManager-s3-bucket-name-Region-account_ID`
1. 选择 **Action (操作)**,然后选择 **Edit crawler (编辑爬网程序)**。
1. 在导航窗格中,选择 **Schedule (计划)**。
1. 在 **Cron expression (Cron 表达式)** 字段中,使用 cron 格式指定一个新计划。有关更多信息,请参阅 *Amazon Glue Developer Guide* 中的[基于时间的任务和爬网程序日程](https://docs.amazonaws.cn/glue/latest/dg/monitor-data-warehouse-schedule.html)。
**重要**
您可以暂停爬网程序以停止 Amazon Glue 产生的费用。如果暂停爬网程序或降低爬取数据的频率,则 Inventory **Detailed View (详细视图)** 可能会显示非当前数据。