Configuración del acceso entre cuentas - AWS Security Hub
Requisitos previosPasos de configuraciónConfiguración de rolesVerificaciónResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso entre cuentas

Las cuentas de administrador delegado y miembro pueden acceder a los AWS Cost Explorer datos de toda la organización desde la cuenta de administración configurando una función de IAM multicuenta. Esta configuración permite a estas cuentas ver los datos de uso reales sin tener que cambiar a la cuenta de administración.

Requisitos previos

Los siguientes elementos e información son necesarios antes de configurar el acceso multicuenta a la calculadora de costes:

  • La cuenta de administración debe estar habilitada. AWS Cost Explorer

  • Permisos de IAM para crear funciones en la cuenta de administración.

  • Conocimiento del administrador delegado o el identificador de cuenta del miembro al que se concederá el acceso multicuenta.

Pasos de configuración

El estimador de costes proporciona instrucciones de configuración guiadas directamente en la consola. Para acceder a las instrucciones, diríjase a la página de estimación de costes en la dirección https://console.aws.amazon.com/securityhub/v2/Home#/costEstimator de la cuenta de administración de su organización. Busque la sección de acceso entre cuentas y siga los pasos descritos para configurar el rol entre cuentas.

Configuración de roles

El acceso entre cuentas para el estimador de costes requiere configurar un rol de IAM con una política de confianza y una política de permisos. El rol multicuenta debe crearse en la cuenta de administración con la siguiente configuración:

Nombre del rol (se requiere un nombre exacto): AwsSecurityHubCostEstimatorCrossAccountRole

Política de confianza recomendada:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Edite la política sustituyendo los siguientes valores en el ejemplo de política:

  • {ACCOUNT_ID}Sustitúyalo por el ID de administrador delegado o de cuenta de miembro al que vas a conceder el acceso multicuenta.

  • {ROLE_NAME}Sustitúyalo por el nombre de la función de IAM en la cuenta de administrador delegado o miembro a la que vas a conceder el acceso.

Política de permisos recomendada:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
nota

La política de confianza restringe el acceso a una cuenta y un rol específicos. Solo el principal de IAM especificado puede asumir esta función, lo que impide el acceso no autorizado.

Verificación

Tras crear el rol en la cuenta de administración, siga los siguientes pasos para confirmar que la configuración funciona.

  1. Inicie sesión en la cuenta de administrador delegado o miembro.

  2. Navegue hasta el estimador de costes de Security Hub en v2/Home#/costestimator https://console.aws.amazon.com/securityhub/

  3. La página debería hacer lo siguiente automáticamente:

    1. Detecte la cuenta de administración de su organización.

    2. Asuma la función multicuenta.

    3. Cargue los datos de Cost Explorer para utilizarlos en toda la organización.

Si tiene éxito, verá los datos de uso reales en lugar de los campos de entrada manual.

Resolución de problemas

En esta sección se describen los problemas y las soluciones más comunes que pueden surgir al configurar el acceso entre cuentas.

Los datos de uso organizativo no están disponibles para esta cuenta

Esta alerta indica que no se puede acceder a la función multicuenta. Las posibles causas de esta alerta son:

  1. El rol no existe: la cuenta de administración aún no ha creado el rol.

    1. Solución: póngase en contacto con el administrador de su cuenta de administración para crear el rol siguiendo las instrucciones de configuración.

  2. El nombre del rol no coincide exactamente: el nombre del rol no coincide exactamente.

    1. Solución: compruebe que el nombre del rol seaAwsSecurityHubCostEstimatorCrossAccountRole.

  3. La política de confianza es incorrecta: la política de confianza no permite que tu cuenta asuma la función.

    1. Solución: compruebe que la política de confianza incluya el ID de cuenta y el nombre del rol.

  4. Falta el AssumeRole permiso: su director de IAM no sts:AssumeRole lo tiene.

    1. Solución: póngase en contacto con su administrador para añadir el sts:AssumeRole permiso.

Para ver las instrucciones de configuración detalladas: haga clic en el enlace «Ver instrucciones» de la alerta para abrir un modal con plantillas de step-by-step orientación y políticas.

Solución alternativa: puede seguir utilizando el estimador de costes introduciendo manualmente los valores de uso en el modo de edición.