Einrichten des kontoübergreifenden Zugriffs - AWS Security Hub
VoraussetzungenEinrichtungsschritteRollenkonfigurationVerifizierungFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten des kontoübergreifenden Zugriffs

Delegierte Administrator- und Mitgliedskonten können vom Verwaltungskonto aus auf unternehmensweite AWS Cost Explorer Daten zugreifen, indem sie eine kontoübergreifende IAM-Rolle konfigurieren. Diese Konfiguration ermöglicht es diesen Konten, die tatsächlichen Nutzungsdaten einzusehen, ohne zum Verwaltungskonto wechseln zu müssen.

Voraussetzungen

Vor der Einrichtung des kontenübergreifenden Zugriffs für den Kostenschätzer sind die folgenden Elemente und Informationen erforderlich:

  • Das Verwaltungskonto muss AWS Cost Explorer aktiviert sein.

  • IAM-Berechtigungen zum Erstellen von Rollen im Verwaltungskonto.

  • Kenntnis der delegierten Administrator- oder Mitgliedskonto-ID, der kontoübergreifender Zugriff gewährt wird.

Einrichtungsschritte

Der Kostenvoranschlag bietet Anleitungen zur Einrichtung mit Anleitung direkt in der Konsole. Um auf die Anweisungen zuzugreifen, navigieren Sie in Ihrem Organisationsverwaltungskonto zur Seite mit dem Kostenvoranschlag unter https://console.aws.amazon.com/securityhub/v2/Home#/costEstimator. Suchen Sie den Abschnitt Kontoübergreifender Zugriff und folgen Sie den Anweisungen zur Einrichtung der kontenübergreifenden Rolle.

Rollenkonfiguration

Der kontenübergreifende Zugriff für den Kostenschätzer erfordert die Einrichtung einer IAM-Rolle mit einer Vertrauensrichtlinie und einer Berechtigungsrichtlinie. Die kontenübergreifende Rolle muss im Verwaltungskonto mit der folgenden Konfiguration erstellt werden:

Rollenname (genauer Name erforderlich) — AwsSecurityHubCostEstimatorCrossAccountRole

Empfohlene Vertrauensrichtlinie:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:

  • {ACCOUNT_ID}Ersetzen Sie es durch die delegierte Administrator- oder Mitgliedskonto-ID, der Sie kontoübergreifenden Zugriff gewähren.

  • {ROLE_NAME}Ersetzen Sie es durch den Namen der IAM-Rolle in dem delegierten Administrator- oder Mitgliedskonto, dem Sie Zugriff gewähren.

Empfohlene Berechtigungsrichtlinie:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
Anmerkung

Die Vertrauensrichtlinie schränkt den Zugriff auf ein bestimmtes Konto und eine bestimmte Rolle ein. Nur der angegebene IAM-Prinzipal kann diese Rolle übernehmen, wodurch unbefugter Zugriff verhindert wird.

Verifizierung

Nachdem Sie die Rolle im Verwaltungskonto erstellt haben, überprüfen Sie anhand der folgenden Schritte, ob das Setup funktioniert.

  1. Melden Sie sich beim delegierten Administrator- oder Mitgliedskonto an.

  2. Navigieren Sie zum Security Hub Hub-Kostenschätzer unter https://console.aws.amazon.com/securityhub/ v2/home#/costEstimator

  3. Die Seite sollte automatisch:

    1. Ermitteln Sie das Verwaltungskonto in Ihrer Organisation.

    2. Nehmen Sie die kontoübergreifende Rolle an.

    3. Laden Sie Cost Explorer Explorer-Daten mit unternehmensweiter Nutzung.

Wenn der Vorgang erfolgreich ist, werden anstelle von manuellen Eingabefeldern tatsächliche Nutzungsdaten angezeigt.

Fehlerbehebung

In diesem Abschnitt werden häufig auftretende Probleme und Lösungen behandelt, die bei der Einrichtung eines kontoübergreifenden Zugriffs auftreten können.

Organisatorische Nutzungsdaten sind für dieses Konto nicht verfügbar

Diese Warnung weist darauf hin, dass auf die kontoübergreifende Rolle nicht zugegriffen werden kann. Diese Warnung kann folgende Ursachen haben:

  1. Rolle ist nicht vorhanden: Das Verwaltungskonto hat die Rolle noch nicht erstellt.

    1. Lösung: Wenden Sie sich an den Administrator Ihres Verwaltungskontos, um die Rolle anhand der Einrichtungsanleitung zu erstellen.

  2. Nicht übereinstimmende Rollennamen: Der Rollenname stimmt nicht genau überein.

    1. Lösung: Stellen Sie sicher, dass der Rollenname lautetAwsSecurityHubCostEstimatorCrossAccountRole.

  3. Falsche Vertrauensrichtlinie: Die Vertrauensrichtlinie erlaubt Ihrem Konto nicht, die Rolle zu übernehmen.

    1. Lösung: Stellen Sie sicher, dass die Vertrauensrichtlinie Ihre Konto-ID und Ihren Rollennamen enthält.

  4. Fehlende AssumeRole Erlaubnis: Ihr IAM-Principal fehltsts:AssumeRole.

    1. Lösung: Wenden Sie sich an Ihren Administrator, um die entsprechenden sts:AssumeRole Berechtigungen hinzuzufügen.

Um detaillierte Anweisungen zur Einrichtung einzusehen: Klicken Sie in der Warnung auf den Link „Anweisungen anzeigen“, um ein Fenster mit step-by-step Anleitungen und Richtlinienvorlagen zu öffnen.

Umgehung: Sie können den Cost Estimator weiterhin verwenden, indem Sie die Nutzungswerte im Bearbeitungsmodus manuell eingeben.