View a markdown version of this page

Erforderliche IAM-Berechtigungen für das delegierte Administrator-Setup - AWS Resilience Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche IAM-Berechtigungen für das delegierte Administrator-Setup

Die folgenden IAM-Berechtigungen sind für jede Rolle in der Organisationsintegration erforderlich:

Verwaltungskonto

Das Verwaltungskonto benötigt Berechtigungen für:

  • organizations:EnableAWSServiceAccess

  • organizations:RegisterDelegatedAdministrator

  • iam:CreateServiceLinkedRole(für die Spiegelreflexkamera des Verwaltungskontos)

Delegiertes Administratorkonto

Das DA-Konto verwendet standardmäßig die Resilience Hub-API-Berechtigungen der nächsten Generation. Cross-account Der Zugriff wird über Spiegelreflexkameras abgewickelt — für die Anzeige der Mitgliedskontodaten ist keine zusätzliche IAM-Konfiguration erforderlich.

Mitgliedskonten

Inhaber von Diensten in Mitgliedskonten:

  • Erstellen Sie ihre eigenen Aufruferrollen nach demselben Verfahren wie bei der Einrichtung eines einzelnen Kontos. Details hierzu finden Sie unter Einrichtung eines Resilience Hubs der nächsten Generation.

  • Kann die vom DA veröffentlichten Richtlinien auf Organisationsebene einsehen und anwenden.

  • Die SLR kümmert sich automatisch um die kontoübergreifende Sichtbarkeit von DA — es sind keine zusätzlichen IAM-Änderungen in den Mitgliedskonten erforderlich.

In der folgenden Tabelle wird zusammengefasst, was der DA kann und was nicht:

Action Unterstützt
Dienste, Ergebnisse und Abhängigkeiten von Mitgliedskonten anzeigen Ja
Erstellen Sie Systeme auf Organisationsebene, die auf Mitgliederdienste verweisen Ja
Ordnen Sie Mitgliederdienste Systemen auf Organisationsebene zu Ja
Erstellen Sie Richtlinien auf Organisationsebene Ja
Löschen Sie die Dienste für Mitgliedskonten Nein
Starten Sie Bewertungen der Mitgliederdienste Ja
Ändern Sie die Ressourcen des Mitgliedskontos Nein

Destruktive Operationen mit Mitgliederressourcen werden durch den kontoübergreifenden DA-Zugriff nicht unterstützt. Der DA verwaltet Systeme und Richtlinien auf Organisationsebene und sieht sich Mitgliederdaten an.