本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Systems Manager 而且 AWS Organizations
<a name="services-that-can-integrate-ssm"></a>

AWS Systems Manager 是功能集合，可讓您的 AWS 資源可見性和控制。在您組織的所有 AWS 帳戶 中，以下 Systems Manager 功能皆可與 Organizations 搭配使用：
+ Systems Manager Explorer 是可自訂的操作儀表板，可報告 AWS 資源的相關資訊。您可以使用 Organizations and Systems Manager Explorer 來同步 AWS 帳戶 組織中所有 的操作資料。如需詳細資訊，請參閱*AWS Systems Manager 使用者指南*中的 [Systems Manager Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html)。
+ Systems Manager Change Manager 是一個企業變更管理架構，用於請求、核准、實作和報告應用程式組態和基礎結構的操作變更。如需詳細資訊，請參閱*AWS Systems Manager 使用者指南*中的 [AWS Systems Manager Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html)。
+ Systems Manager OpsCenter 提供中央位置，讓營運工程師和 IT 專業人員可以檢視、調查和解決與 AWS 資源相關的操作工作項目 (OpsItems)。當您將 OpsCenter 與 Organizations 搭配使用時，其支援在單一工作階段期間從管理帳戶 (Organizations 管理帳戶或 Systems Manager 委派的管理員帳戶) 與另一個帳戶使用 OpsItems。設定完成後，使用者可以執行以下類型的動作：
  + 在另一個帳戶中建立、檢視和更新 OpsItems。
  + 檢視其他帳戶中 OpsItems 中指定 AWS 之資源的詳細資訊。
  + 啟動 Systems Manager Automation Runbook 以修復另一個帳戶中 AWS 資源的問題。

  如需詳細資訊，請參閱*《AWS Systems Manager 使用者指南》*中的[AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)。
+ 使用快速設定，以建議的最佳實務快速設定常用 AWS 服務和功能。如需詳細資訊，請參閱《AWS Systems Manager 使用者指南》**中的 [AWS Systems Manager 快速設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-quick-setup.html)。

  當您註冊 Systems Manager 的 AWS Organizations 委派管理員帳戶時，您可以建立、更新、檢視和刪除以組織中組織單位為目標的快速設定組態管理員。請參閱*AWS Systems Manager 《 使用者指南*》中的[使用委派管理員進行快速設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-delegated-administrator.html)。
+ 當您設定 Systems Manager 的整合主控台時，您會輸入委派管理員帳戶。此帳戶用於向 Quick Setup、 Explorer、CloudFormation StackSets 和 Resource Explorer 註冊 AWS Organizations 委派管理員帳戶。如需進一步了解，請參閱為[組織設定 Systems Manager 整合式主控台*AWS Systems Manager 使用者指南*](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-organizations.html)。

使用以下資訊來協助您 AWS Systems Manager 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ssm"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Systems Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Systems Manager 和 Organizations 之間的受信任存取，或是從組織中移除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ssm"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Systems Manager 使用的服務連結角色會將存取權授予下列服務委託人：
+ `ssm.amazonaws.com`

## 使用 Systems Manager 來啟用受信任存取
<a name="integrate-enable-ta-ssm"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Systems Manager** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS Systems Manager**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Systems Manager ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Systems Manager 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Systems Manager 來停用受信任存取
<a name="integrate-disable-ta-ssm"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

Systems Manager 需要與 的受信任存取 AWS Organizations ，以同步組織中 AWS 帳戶 跨 的操作資料。如果您停用信任存取，則 Systems Manager 無法同步操作資料，還會報告錯誤。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Systems Manager** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Systems Manager**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Systems Manager ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 停用 AWS Systems Manager 為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Systems Manager 的委派管理員帳戶
<a name="integrate-enable-da-ssm"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Systems Manager 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Systems Manager 的管理分開。

如果您在整個組織中使用 Change Manager，則會使用委派管理員帳戶。這是 AWS 帳戶 指定為在 Change Manager 中管理變更範本、變更請求、變更 Runbook 和核准工作流程的帳戶。委派的帳戶會管理整個組織的變更活動。當您設定組織以配合 Change Manager 使用時，可以指定哪些帳號擔任此角色。它不必是組織的管理帳戶。如果您僅以單一帳戶使用 Change Manager，則不需要委派管理員帳戶。

**若要將成員帳戶指定為委派管理員，請查看*《AWS Systems Manager 使用者指南》*中的以下主題：**  

+ 關於 Explorer 和 OpsCenter，請參閱[《設定委派管理員》](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator.html)。
+ 關於 Systems Manager Change Manager，請參閱[設定 Change Manager 的組織和委派帳戶](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)。
+ 如需快速設定，請參閱[註冊快速設定 的委派管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-register-delegated-administrator.html)。

## 停用 Systems Manager 的委派管理員帳戶
<a name="integrate-disable-da-ssm"></a>

**若要取消註冊委派管理員，請參閱*AWS Systems Manager 《 使用者指南*》中的下列主題：**  

+ 對於 Explorer 和 OpsCenter，請參閱[取消註冊 Explorer 委派管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator-deregister.html)。
+ 關於 Systems Manager Change Manager，請參閱[設定 Change Manager 的組織和委派帳戶](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)。
+ 如需快速設定，請參閱[取消註冊快速設定 的委派管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-deregister-delegated-administrator.html)。