Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos de IAM necesarios para la configuración de administrador delegado
Se requieren los siguientes permisos de IAM para cada función de la integración de Organizations:
Cuenta de administración
La cuenta de administración necesita permisos para:
-
organizations:EnableAWSServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole(para la propia SLR de la cuenta de administración)
Cuenta de administrador delegado
La cuenta DA utiliza los permisos estándar de la API de Resilience Hub de próxima generación. Cross-account el acceso se gestiona mediante cámaras réflex; no se necesita ninguna configuración de IAM adicional para ver los datos de las cuentas de los miembros.
Cuentas de miembros
Propietarios de los servicios en las cuentas de los miembros:
-
Cree sus propias funciones de invocador mediante el mismo proceso que en la configuración de una sola cuenta. Para obtener más información, consulte Configuración de un centro de resiliencia de próxima generación.
-
Puede ver y aplicar las políticas a nivel de organización publicadas por el DA.
-
La SLR gestiona la visibilidad entre cuentas de DA de forma automática; no es necesario realizar cambios adicionales en el IAM de las cuentas de los miembros.
En la siguiente tabla se resume lo que el DA puede y no puede hacer:
| Action | compatible |
|---|---|
| Vea los servicios, las conclusiones y las dependencias de las cuentas de los miembros | Sí |
| Cree sistemas a nivel de organización que hagan referencia a los servicios para los miembros | Sí |
| Asocie los servicios para los miembros a los sistemas a nivel de la organización | Sí |
| Cree políticas a nivel de organización | Sí |
| Eliminar los servicios de las cuentas de los miembros | No |
| Inicie las evaluaciones de los servicios para miembros | Sí |
| Modifique los recursos de la cuenta de miembro | No |
El acceso multicuenta de DA no permite realizar operaciones destructivas en los recursos de los miembros. El DA administra los sistemas y políticas a nivel de la organización y consulta los datos de los miembros.
