Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation AWS Organizations avec d'autres Services AWS
<a name="orgs_integrate_services"></a>

Vous pouvez utiliser l'*accès sécurisé* pour permettre à un AWS service pris en charge que vous spécifiez, appelé *service sécurisé*, d'effectuer des tâches au sein de votre organisation et de ses comptes en votre nom. Cela implique l'octroi d'autorisations au service approuvé mais n'affecte *pas* par ailleurs les autorisations pour les utilisateurs et les rôles . Lorsque vous activez l'accès, le service approuvé peut créer un rôle IAM appelé *rôle lié à un service* dans chaque compte de votre organisation, chaque fois qu'il en a besoin. Ce rôle dispose d'une politique d'autorisations qui autorise le service approuvé à effectuer les tâches qui sont décrites dans la documentation de ce service. Cela vous permet de spécifier des paramètres et des détails de configuration que vous voulez que le service approuvé gère en votre nom dans les comptes de votre organisation. Le service approuvé crée des rôles liés au service uniquement lorsqu'il doit effectuer des actions de gestion au niveau des comptes, et pas nécessairement dans tous les comptes de l'organisation. <a name="important-note-about-integration"></a>

**Important**  
Lorsque l'option est disponible, nous vous ***recommandons vivement*** d'activer et de désactiver l'accès sécurisé en utilisant ***uniquement*** la console du service sécurisé, ou ses équivalents de fonctionnement AWS CLI ou d'API. Cela permet au service approuvé d'effectuer toute initialisation requise lors de l'activation de l'accès approuvé, par exemple la création des ressources requises et le nettoyage qui s'impose des ressources lors de la désactivation de l'accès approuvé.  
Pour plus d'informations sur la façon d'activer ou de désactiver l'accès aux services approuvés à votre organisation à l'aide du service approuvé, consultez **En savoir plus**sous la colonne **Prise en charge de l'accès approuvé** à l'adresse [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md).   
Si vous désactivez l'accès à l'aide de la console Organizations, de commandes CLI ou d'opérations API, il se passe ce qui suit :  
Le service ne peut plus créer un rôle lié à un service dans les comptes de votre organisation. Cela signifie que le service ne peut pas effectuer d'opérations en votre nom sur les nouveaux comptes de votre organisation. Le service peut toujours effectuer des opérations dans des comptes plus anciens jusqu'à ce que le service ait terminé son nettoyage à partir d' AWS Organizations. 
Le service ne peut plus effectuer de tâches dans les comptes de membres de l'organisation, sauf si ces opérations sont explicitement autorisées par les politiques IAM associées à vos rôles. Cela inclut toute agrégation de données des comptes membres vers le compte de gestion ou vers un compte d'administrateur délégué, le cas échéant.
Certains services détectent cela et nettoient toutes les données ou ressources restantes liées à l'intégration, tandis que d'autres services cessent d'accéder à l'organisation, mais laissent les données historiques et la configuration en place pour prendre en charge une éventuelle réactivation de l'intégration.
Au lieu de cela, en utilisant la console ou des commandes de l'autre service pour désactiver l'intégration, vous permettez à l'autre service de nettoyer toutes les ressources nécessaires uniquement pour l'intégration. La façon dont le service nettoie ses ressources dans les comptes de l'organisation dépend de ce service. Pour plus d'informations, consultez la documentation de l'autre service AWS . 

## Autorisations requises pour activer l'accès approuvé
<a name="orgs_trusted_access_perms"></a>

L'accès sécurisé nécessite des autorisations pour deux services : AWS Organizations et le service sécurisé. Pour activer l'accès approuvé, choisissez l'un des scénarios suivants :
+ Si vous disposez d'informations d'identification avec des autorisations à la fois dans le service sécurisé AWS Organizations et dans le service sécurisé, activez l'accès à l'aide des outils (console ou AWS CLI) fournis par le service sécurisé. Cela permet au service d'activer un accès sécurisé AWS Organizations en votre nom et de créer toutes les ressources nécessaires au fonctionnement du service dans votre organisation.

  Les autorisations minimales pour ces informations d'identification sont les suivantes :
  + `organizations:EnableAWSServiceAccess`. Vous pouvez également utiliser la clé de condition `organizations:ServicePrincipal` avec cette opération pour limiter les demandes que ces opérations effectuent à une liste de noms de principaux de service approuvé. Pour de plus amples informations, veuillez consulter [Clés de condition](orgs_permissions_overview.md#orgs_permissions_conditionkeys).
  + `organizations:ListAWSServiceAccessForOrganization`— Obligatoire si vous utilisez la AWS Organizations console.
  + Les autorisations minimales qui sont requises par le service approuvé dépendent du service. Pour plus d'informations, consultez la documentation du service approuvé.
+ Si une personne possède des informations d'identification avec des autorisations AWS Organizations mais qu'une autre possède des informations d'identification avec des autorisations dans le service sécurisé, effectuez ces étapes dans l'ordre suivant :

  1. La personne qui possède des informations d'identification et des autorisations AWS Organizations doit utiliser la AWS Organizations console AWS CLI, le ou un AWS SDK pour permettre un accès sécurisé au service sécurisé. Cette opération accorde à l'autre service l'autorisation d'effectuer sa configuration requise dans l'organisation lorsque l'étape suivante (étape 2) est exécutée.

     Les AWS Organizations autorisations minimales sont les suivantes :
     + `organizations:EnableAWSServiceAccess`
     + `organizations:ListAWSServiceAccessForOrganization`— Obligatoire uniquement si vous utilisez la AWS Organizations console

     Pour connaître les étapes permettant d'activer l'accès sécurisé dans AWS Organizations, voir[Procédure pour activer ou désactiver l'accès approuvé](#orgs_how-to-enable-disable-trusted-access).

  1. La personne qui dispose des informations d'identification avec des autorisations dans le service approuvé permet à ce service de fonctionner avec AWS Organizations. Cela indique au service d'effectuer toute initialisation nécessaire, telle que la création de toutes les ressources requises par le service approuvé pour fonctionner dans l'organisation. Pour plus d'informations, consultez les instructions propres au service concerné dans [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md).

## Autorisations requises pour désactiver l'accès approuvé
<a name="orgs_trusted_access_disable_perms"></a>

Lorsque vous ne voulez plus autoriser le service approuvé à fonctionner dans votre organisation ni ses comptes, choisissez l'un des scénarios suivants.

**Important**  
La désactivation de l'accès au service approuvé ***n'empêche pas*** les utilisateurs et les rôles dotés des autorisations appropriées d'utiliser ce service. Pour empêcher complètement les utilisateurs et les rôles d'accéder à un AWS service, vous pouvez supprimer les autorisations IAM qui accordent cet accès, ou vous pouvez utiliser les [politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md) dans AWS Organizations.  
Vous ne pouvez faire une demande que SCPs pour les comptes des membres. SCPs ne s'appliquent pas au compte de gestion. Nous vous recommandons de [ne pas exécuter de services dans le compte de gestion.](orgs_best-practices_mgmt-acct.md#bp_mgmt-acct_use-mgmt) Exécutez-les plutôt dans des comptes membres où vous pouvez contrôler la sécurité en utilisant SCPs.
+ Si vous disposez d'informations d'identification avec des autorisations à la fois pour le service sécurisé AWS Organizations et pour le service sécurisé, désactivez l'accès à l'aide des outils (console ou AWS CLI) disponibles pour le service sécurisé. Le service est ensuite nettoyé via la suppression des ressources qui ne sont plus nécessaires et la désactivation de l'accès approuvé pour le service dans AWS Organizations en votre nom. 

  Les autorisations minimales pour ces informations d'identification sont les suivantes :
  + `organizations:DisableAWSServiceAccess`. Vous pouvez également utiliser la clé de condition `organizations:ServicePrincipal` avec cette opération pour limiter les demandes que ces opérations effectuent à une liste de noms de principaux de service approuvé. Pour de plus amples informations, veuillez consulter [Clés de condition](orgs_permissions_overview.md#orgs_permissions_conditionkeys).
  + `organizations:ListAWSServiceAccessForOrganization`— Obligatoire si vous utilisez la AWS Organizations console.
  + Les autorisations minimales requises par le service approuvé dépendent du service. Pour plus d'informations, consultez la documentation du service approuvé.
+ Si les informations d'identification contenant des autorisations AWS Organizations ne sont pas celles du service sécurisé, effectuez ces étapes dans l'ordre suivant :

  1. La personne avec des autorisations dans le service approuvé commence par désactiver l'accès à l'aide de ce service. Cela ordonne au service approuvé de nettoyer en supprimant les ressources requises pour l'accès approuvé. Pour plus d'informations, consultez les instructions propres au service concerné dans [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md).

  1. La personne autorisée AWS Organizations peut ensuite utiliser la AWS Organizations console ou un AWS SDK pour désactiver l'accès au service sécurisé. AWS CLI Cela élimine de l'organisation et de ses comptes les autorisations pour le service approuvé. 

     Les AWS Organizations autorisations minimales sont les suivantes :
     + `organizations:DisableAWSServiceAccess`
     + `organizations:ListAWSServiceAccessForOrganization`— Obligatoire uniquement si vous utilisez la AWS Organizations console

     Pour connaître les étapes à suivre pour désactiver l'accès sécurisé dans AWS Organizations, consultez[Procédure pour activer ou désactiver l'accès approuvé](#orgs_how-to-enable-disable-trusted-access).

## Procédure pour activer ou désactiver l'accès approuvé
<a name="orgs_how-to-enable-disable-trusted-access"></a>

Si vous disposez d'autorisations uniquement pour AWS Organizations et que vous souhaitez activer ou désactiver l'accès sécurisé à votre organisation au nom de l'administrateur de l'autre AWS service, suivez la procédure suivante.

**Important**  
Lorsque l'option est disponible, nous vous ***recommandons vivement*** d'activer et de désactiver l'accès sécurisé en utilisant ***uniquement*** la console du service sécurisé, ou ses équivalents de fonctionnement AWS CLI ou d'API. Cela permet au service approuvé d'effectuer toute initialisation requise lors de l'activation de l'accès approuvé, par exemple la création des ressources requises et le nettoyage qui s'impose des ressources lors de la désactivation de l'accès approuvé.  
Pour plus d'informations sur la façon d'activer ou de désactiver l'accès aux services approuvés à votre organisation à l'aide du service approuvé, consultez **En savoir plus**sous la colonne **Prise en charge de l'accès approuvé** à l'adresse [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md).   
Si vous désactivez l'accès à l'aide de la console Organizations, de commandes CLI ou d'opérations API, il se passe ce qui suit :  
Le service ne peut plus créer un rôle lié à un service dans les comptes de votre organisation. Cela signifie que le service ne peut pas effectuer d'opérations en votre nom sur les nouveaux comptes de votre organisation. Le service peut toujours effectuer des opérations dans des comptes plus anciens jusqu'à ce que le service ait terminé son nettoyage à partir d' AWS Organizations. 
Le service ne peut plus effectuer de tâches dans les comptes de membres de l'organisation, sauf si ces opérations sont explicitement autorisées par les politiques IAM associées à vos rôles. Cela inclut toute agrégation de données des comptes membres vers le compte de gestion ou vers un compte d'administrateur délégué, le cas échéant.
Certains services détectent cela et nettoient toutes les données ou ressources restantes liées à l'intégration, tandis que d'autres services cessent d'accéder à l'organisation, mais laissent les données historiques et la configuration en place pour prendre en charge une éventuelle réactivation de l'intégration.
Au lieu de cela, en utilisant la console ou des commandes de l'autre service pour désactiver l'intégration, vous permettez à l'autre service de nettoyer toutes les ressources nécessaires uniquement pour l'intégration. La façon dont le service nettoie ses ressources dans les comptes de l'organisation dépend de ce service. Pour plus d'informations, consultez la documentation de l'autre AWS service. 

------
#### [ AWS Management Console ]

**Pour activer l'accès au service approuvé**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans la page **[Services](https://console.aws.amazon.com/organizations/v2/home/services)**, recherchez la ligne du service que vous souhaitez activer et choisissez son nom.

1. Choisissez **Activer l'accès approuvé**.

1. Dans la boîte de dialogue de confirmation, cochez la case **Afficher l'option pour activer l'accès approuvé**, saisissez **enable** dans la zone, puis choisissez **Activer l'accès approuvé**.

1. Si vous *activez* l'accès, dites à l'administrateur de l'autre AWS service qu'il peut désormais activer l'autre service pour qu'il fonctionne avec celui-ci AWS Organizations.

**Pour désactiver l'accès au service approuvé**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans la page **[Services](https://console.aws.amazon.com/organizations/v2/home/services)**, recherchez la ligne du service que vous souhaitez désactiver et choisissez son nom.

1. Attendez que l'administrateur de l'autre service vous indique que le service est désactivé et que les ressources ont été nettoyées.

1. Dans la boîte de dialogue de confirmation, saisissez **disable** dans la zone, puis choisissez **Désactiver l'accès approuvé**.

------
#### [ AWS CLI, AWS API ]

**Pour activer ou désactiver l'accès à un service approuvé**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour activer ou désactiver l'accès aux services sécurisés :
+ AWS CLI: AWS organisations [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
+ AWS CLI: AWS organisations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## AWS Organizations et rôles liés aux services
<a name="orgs_integrate_services-using_slrs"></a>

AWS Organizations utilise des [rôles liés aux services IAM](https://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service-linked-roles/) pour permettre aux services fiables d'effectuer des tâches en votre nom sur les comptes membres de votre organisation. Lorsque vous configurez un service approuvé et l'autorisez à s'intégrer à votre organisation, ce service peut demander à ce qu' AWS Organizations crée un rôle lié à un service dans son compte membre. Le service approuvé fait cela de façon asynchrone selon les besoins et pas nécessairement dans tous les comptes de l'organisation au même moment. Le rôle lié à un service possède des autorisations IAM prédéfinies qui permettent au service approuvé d'effectuer uniquement des tâches spécifiques au sein de ce compte. D'une manière générale, AWS gère tous les rôles liés à un service. En d'autres termes, vous ne pouvez pas modifier les rôles ou les politiques attachées. 

Pour rendre cela possible, lorsque vous créez un compte dans une organisation ou lorsque vous acceptez une invitation à joindre votre compte existant à une organisation, AWS Organizations alloue au compte membre un rôle lié à un service nommé `AWSServiceRoleForOrganizations`. Seul le AWS Organizations service lui-même peut assumer ce rôle. Le rôle dispose d'autorisations qui permettent de créer des rôles liés AWS Organizations à un service pour d'autres personnes. Services AWS Ce rôle lié à un service est présent dans toutes les organisations.

Bien que cela ne soit pas conseillé, si seules des [fonctions de facturation consolidée](orgs_getting-started_concepts.md#feature-set-cb-only) sont activées pour votre organisation, le rôle lié à un service nommé `AWSServiceRoleForOrganizations` n'est jamais utilisé et vous pouvez le supprimer. Si par la suite vous souhaitez activer [toutes les fonctions](orgs_getting-started_concepts.md#feature-set-all) dans votre organisation, le rôle sera requis et vous devrez le restaurer. Les vérifications suivantes sont effectuées lorsque vous initiez le processus d'activation de toutes les fonctions :
+ **Pour chaque compte membre qui a été *invité à rejoindre* l'organisation** : l'administrateur du compte reçoit un message lui demandant son accord d'activer toutes les fonctions. Pour accepter la demande, l'administrateur doit avoir les autorisations `organizations:AcceptHandshake` *et* `iam:CreateServiceLinkedRole` si le rôle lié à un service (`AWSServiceRoleForOrganizations`) n'existe pas déjà. Si le rôle `AWSServiceRoleForOrganizations` existe déjà, l'administrateur a uniquement besoin de l'autorisation `organizations:AcceptHandshake` pour accepter la demande. Lorsque l'administrateur accepte la demande, AWS Organizations crée le rôle lié au service s'il n'existe pas déjà. 
+ **Pour chaque compte membre qui a été *créé* dans l'organisation** : l'administrateur du compte reçoit une demande de recréer le rôle lié à un service. (L'administrateur du compte membre ne reçoit aucune demande visant à activer toutes les fonctions dans la mesure où l'administrateur du compte de gestion (anciennement appelé « compte principal ») est considéré comme le propriétaire des comptes membres créés.) AWS Organizations crée le rôle lié à un service lorsque l'administrateur du compte membre accepte la demande. L'administrateur doit disposer des autorisations `organizations:AcceptHandshake` *et* `iam:CreateServiceLinkedRole` pour accepter la proposition avec succès.

Après avoir activé toutes les fonctions dans votre organisation, vous n'aurez plus la possibilité de supprimer le rôle lié au service `AWSServiceRoleForOrganizations` dans aucun des comptes.

**Important**  
AWS Organizations SCPs n'affectez jamais les rôles liés aux services. Ces rôles sont dispensés de toute restriction SCP.

## Utilisation du rôle lié au service AWSService RoleForDeclarativePolicies EC2 Report
<a name="ec2-report-policy"></a>

Le rôle `AWSServiceRoleForDeclarativePoliciesEC2Report` lié à un service est utilisé par les Organisations pour décrire les états des attributs des comptes membres afin de créer des rapports sur les politiques déclaratives. Les autorisations du rôle sont définies dans le[AWS politique gérée : DeclarativePoliciesEC2Report](orgs_reference_available-policies.md#security-iam-awsmanpol-DeclarativePoliciesEC2Report).

# Services AWS que vous pouvez utiliser avec AWS Organizations
<a name="orgs_integrate_services_list"></a>

 AWS Organizations Vous pouvez ainsi effectuer des activités de gestion de comptes à grande échelle en consolidant plusieurs comptes au Comptes AWS sein d'une seule organisation. La consolidation des comptes simplifie l'utilisation des autres comptes Services AWS. Vous pouvez tirer parti des services de gestion multicomptes disponibles dans AWS Organizations Select Services AWS pour effectuer des tâches sur tous les comptes membres de votre organisation. 

Le tableau suivant répertorie les services Services AWS que vous pouvez utiliser et AWS Organizations les avantages de l'utilisation de chaque service à l'échelle de l'organisation. 

**Accès fiable** : vous pouvez activer un AWS service compatible pour effectuer des opérations Comptes AWS dans l'ensemble de votre organisation. Pour de plus amples informations, veuillez consulter [Utilisation AWS Organizations avec d'autres Services AWS](orgs_integrate_services.md).

**Administrateur délégué pour Services AWS** : un AWS service compatible peut enregistrer un compte de AWS membre dans l'organisation en tant qu'administrateur des comptes de l'organisation dans ce service. Pour de plus amples informations, veuillez consulter [Administrateur délégué pour Services AWS ce travail avec les Organizations](orgs_integrate_delegated_admin.md).


****  

| AWS service | Avantages de l'utilisation avec AWS Organizations | Prise en charge de l'accès approuvé | Prise en charge de l'administrateur délégué | 
| --- | --- | --- | --- | 
|   [Gestion de compte AWS](services-that-can-integrate-account.md)  Gérez les détails et les métadonnées de l'ensemble Comptes AWS de votre organisation.  |  Gérez les détails du compte, les contacts alternatifs et les régions pour tous les Comptes AWS membres de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-account.md#integrate-enable-ta-account)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-account.md#integrate-enable-da-account)   | 
|   [AWS Application Migration Service](services-that-can-integrate-application-migration.md)  AWS Application Migration Service permet aux entreprises AWS d' lift-and-shiftaccéder à un grand nombre de serveurs physiques, virtuels ou cloud sans problèmes de compatibilité, sans interruption des performances ou sans longues périodes de transition.   |  Vous pouvez gérer des migrations à grande échelle sur plusieurs comptes.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-application-migration.md#integrate-enable-ta-application-migration)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-application-migration.md#integrate-enable-da-application-migration)   | 
|   [AWS Artifact](services-that-can-integrate-artifact.md)  Téléchargez les rapports AWS de conformité en matière de sécurité tels que les rapports ISO et PCI.  |  Vous pouvez accepter des accords pour tous les comptes de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-artifact.md#integrate-enable-ta-artifact)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [AWS Audit Manager](services-that-can-integrate-audit-manager.md)  Automatisez la collecte continue de preuves pour vous aider à auditer votre utilisation des services cloud.  |  Auditez en permanence votre AWS utilisation sur plusieurs comptes de votre organisation afin de simplifier la façon dont vous évaluez les risques et la conformité.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-audit-manager.md#integrate-enable-ta-audit-manager)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-audit-manager.md#integrate-enable-da-audit-manager)   | 
|   [AWS Backup](services-that-can-integrate-backup.md)  Gérez et surveillez les sauvegardes sur tous les comptes de votre organisation.   |  Vous pouvez configurer et gérer des plans de sauvegarde pour l'ensemble de votre organisation ou pour des groupes de comptes au sein de vos unités organisationnelles (OUs). Vous pouvez surveiller de manière centralisée les sauvegardes de tous vos comptes.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-backup.md#integrate-enable-ta-backup)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)  | 
|  [AWS Billing and Cost Management](services-that-can-integrate-awsaccountbilling.md)  Fournit une vue d'ensemble de vos données de gestion financière AWS dans le cloud et vous aide à prendre des décisions plus rapides et plus éclairées.   |  Permet aux données de répartition des coûts fractionnés de récupérer AWS Organizations des informations, le cas échéant, et de collecter des données de télémétrie pour les services de données de répartition des coûts partagés auxquels vous avez souscrit.  Pour plus d'informations, voir [Qu'est-ce que c'est AWS Billing and Cost Management ?](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html) dans le *guide de l'utilisateur de Billing and Cost Management*.   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-awsaccountbilling.md)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [AWS CloudFormation StackSets](services-that-can-integrate-cloudformation.md)  Créez, mettez à jour ou supprimez des piles dans plusieurs comptes et régions en une seule opération.  |  Un utilisateur dans le compte de gestion ou un compte administrateur délégué peut créer un jeu de piles avec des autorisations gérées par service qui déploie des instances de piles sur des comptes de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-cloudformation.md#integrate-enable-ta-cloudformation)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-cloudformation.md#integrate-enable-da-cloudformation)   | 
|   [AWS CloudTrail](services-that-can-integrate-cloudtrail.md)  Assurez la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.  |  Un utilisateur disposant d'un compte de gestion ou d'administrateur délégué peut créer un suivi d'organisation ou un magasin de données d'événements qui journalise tous les événements de tous les comptes d'une organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-cloudtrail.md#integrate-enable-ta-cloudtrail)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-cloudtrail.md#integrate-enable-da-cloudtrail)   | 
|   [Amazon CloudWatch](services-that-can-integrate-cloudwatch.md)  Surveillez vos AWS ressources et les applications que vous utilisez AWS en temps réel. Vous pouvez les utiliser CloudWatch pour collecter et suivre les métriques, qui sont des variables que vous pouvez mesurer pour vos ressources et vos applications.  |  L'intégration avec les Organisations présente deux avantages CloudWatch. Tout d'abord, en intégrant Organizations, vous pouvez l'utiliser CloudWatch pour découvrir et comprendre l'état de la configuration télémétrique de vos AWS ressources à partir d'une vue centrale dans la CloudWatch console. Ensuite, lorsque vous pouvez utiliser Network Flow Monitor CloudWatch pour obtenir de la visibilité sur les indicateurs de performance du réseau, en l'intégrant à Organizations, vous pouvez consulter les informations de performance du réseau pour les ressources de plusieurs comptes au lieu d'un seul compte.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-cloudwatch.md#integrate-enable-ta-cloudwatch)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-cloudwatch.md#integrate-enable-da-cloudwatch)   | 
|   [Optimiseur de calcul AWS](services-that-can-integrate-compute-optimizer.md)  Obtenez des recommandations d'optimisation du AWS calcul.  |  Vous pouvez analyser toutes les ressources qui se trouvent dans les comptes de votre organisation pour obtenir des recommandations d'optimisation.  Pour de plus amples informations, consultez [Comptes pris en charge par Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#supported-accounts) dans le *Guide de l'utilisateur Optimiseur de calcul AWS *.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-compute-optimizer.md#integrate-enable-ta-compute-optimizer)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-compute-optimizer.md#integrate-enable-da-compute-optimizer)   | 
|   [AWS Config](services-that-can-integrate-config.md)  Évaluez et auditez les configurations de vos ressources AWS .  |  Vous pouvez obtenir une vue à l'échelle de l'organisation de votre état de conformité. Vous pouvez également utiliser les [opérations AWS Config d'API](https://docs.aws.amazon.com/config/latest/APIReference/welcome.html) pour gérer les AWS Config règles et les packs de conformité Comptes AWS dans l'ensemble de votre organisation. Vous pouvez utiliser un compte d'administrateur délégué pour agréger les données de configuration des ressources et de conformité de tous les comptes membres d'une organisation dans AWS Organizations. Pour de plus amples informations, consultez [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-register-delegated-administrator.html) dans le Guide du développeur AWS Config .  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-config.md#integrate-enable-ta-config)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  En savoir plus :  [Règles de configuration](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)   [Packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html)   [Regroupement de données multi-comptes et multi-régions](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)   | 
|  [AWS Control Tower](services-that-can-integrate-CTower.md)  Configurez et gérez un environnement AWS multi-compte conforme et sécurisé.   |  Vous pouvez configurer une zone d'atterrissage, un environnement multi-comptes pour toutes vos AWS ressources. Cet environnement inclut une organisation et des entités d'organisation. Vous pouvez utiliser cet environnement pour appliquer les réglementations de conformité à l'ensemble de vos activités Comptes AWS.  Pour plus d'informations, consultez [Comment AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html) fonctionne et [Gestion des comptes via AWS Organizations](https://docs.aws.amazon.com/controltower/latest/userguide/organizations.html) dans le *Guide de l'utilisateur AWS Control Tower *.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|  [Hub d'optimisation des coûts AWS](services-that-can-integrate-coh.md)  Recueillez des recommandations de coûts pour tous les produits AWS d'optimisation.   |  Vous pouvez facilement identifier, filtrer et agréger les recommandations d'optimisation des AWS coûts sur l'ensemble de vos comptes AWS Organizations membres et de vos AWS régions.  Pour plus d'informations, voir [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub.html) dans le *guide de l'utilisateur du Cost Optimization Hub*.   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-coh.md#integrate-enable-ta-coh)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-coh.md#integrate-enable-da-coh)  | 
|  [Amazon Detective](services-that-can-integrate-detective.md)  Générez des visualisations à partir de vos données de journal afin d'analyser, d'examiner et d'identifier rapidement la cause racine des résultats de sécurité ou des activités suspectes.  |  Vous pouvez intégrer Amazon Detective AWS Organizations pour vous assurer que votre graphe de comportement de Detective fournit une visibilité sur l'activité de tous les comptes de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-detective.md#integrate-enable-ta-detective)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-detective.md#integrate-enable-da-detective)   | 
|  [Amazon DevOps Guru](services-that-can-integrate-devops.md)  Analysez les données opérationnelles, ainsi que les métriques et les événements de l'application afin d'identifier les comportements qui s'écartent des modèles de fonctionnement normaux. Les utilisateurs sont avertis lorsque DevOps Guru détecte un problème ou un risque opérationnel.  |  Vous pouvez l'intégrer AWS Organizations pour gérer les informations provenant de tous les comptes de l'ensemble de votre organisation. Vous pouvez déléguer un administrateur pour afficher, trier et filtrer les informations de tous les comptes afin d'obtenir l'état de toutes les applications contrôlées à l'échelle de l'organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-devops.md#integrate-enable-ta-devops)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-devops.md#integrate-enable-da-devops)   | 
|   [AWS Directory Service](services-that-can-integrate-directory-service.md)  Configurez et exécutez des annuaires dans le AWS cloud ou connectez vos AWS ressources à un répertoire Microsoft Active Directory existant sur site.  |  Vous pouvez l'intégrer AWS Organizations pour Directory Service un partage d'annuaire fluide entre plusieurs comptes et n'importe quel VPC d'une région.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-directory-service.md#integrate-disable-ta-directory-service)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html) Surveillez vos AWS ressources et les applications que vous exécutez AWS en temps réel.  |  Vous pouvez activer le partage de tous les EventBridge événements Amazon, anciennement Amazon CloudWatch Events, sur tous les comptes de votre organisation.  Pour plus d'informations, consultez la section [Envoyer et recevoir des EventBridge événements Amazon entre les deux Comptes AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html) dans le *guide de EventBridge l'utilisateur Amazon*.  |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [Amazon Elastic Compute Cloud](services-that-can-integrate-ec2.md)  Amazon VPC IP Address Manager (IPAM) fournit une capacité de calcul évolutive à la demande dans le cloud. AWS   |  Permettez à l'administrateur des organisations de créer un rapport indiquant la configuration existante pour les comptes de son organisation lors de l'utilisation de la fonctionnalité de politiques déclaratives.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-ec2.md#integrate-enable-ta-ec2)  |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [Gestionnaire de capacité EC2](services-that-can-integrate-ec2-capacity-manager.md)  EC2 Capacity Manager s'est regroupé pour afficher, analyser et gérer votre utilisation des capacités dans le cadre des réservations EC2 On-Demand, Spot et Capacity.  |  L'utilisation d'EC2 Capacity Manager avec AWS l'intégration de l'organisation vous permet de visualiser, d'analyser et de gérer l'utilisation des capacités dans l'ensemble de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-ec2-capacity-manager.md#integrate-enable-ta-ec2-capacity-manager)  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-ec2-capacity-manager.md#integrate-enable-da-ec2-capacity-manager)  | 
|   [Amazon Elastic Kubernetes Service](services-that-can-integrate-eks.md)  Le tableau de bord Amazon EKS fournit une visibilité et une gestion agrégées des clusters Kubernetes dans le cloud. AWS   |  Permettez à l'administrateur des organisations de consulter les données du tableau de bord consolidé concernant les ressources du cluster, notamment la distribution des versions, l'état de santé et les exigences de mise à niveau au sein de leur organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-eks.md#integrate-enable-ta-eks)  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-eks.md#integrate-enable-da-eks)  | 
|   [AWS Firewall Manager](services-that-can-integrate-fms.md)  Configurez et gérez de façon centrale les règles de pare-feu pour les applications web sur l'ensemble de vos comptes et applications.  |  Vous pouvez configurer et gérer les AWS WAF règles de manière centralisée pour tous les comptes de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-fms.md#integrate-enable-ta-fms)  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-fms.md#integrate-enable-da-fms)  | 
|   [Amazon GuardDuty](services-that-can-integrate-guardduty.md)  GuardDuty est un service de surveillance continue de la sécurité qui analyse et traite les informations provenant de diverses sources de données. Il utilise des flux d'intelligence de menaces et le machine learning pour identifier toute activité inattendue et potentiellement non autorisée et malveillante au sein de votre environnement AWS .  |  Vous pouvez désigner un compte membre GuardDuty pour consulter et gérer tous les comptes de votre organisation. L'ajout de comptes membres active GuardDuty automatiquement ces comptes dans les comptes sélectionnés Région AWS. Vous pouvez également automatiser GuardDuty l'activation des nouveaux comptes ajoutés à votre organisation.  Pour plus d'informations, consultez GuardDuty la section [Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) du *guide de GuardDuty l'utilisateur Amazon*.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-guardduty.md#integrate-enable-ta-guardduty)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-guardduty.md#integrate-enable-da-guardduty)   | 
|   [AWS Health](services-that-can-integrate-health.md)  Bénéficiez d'une visibilité sur les événements susceptibles d'affecter les performances de vos ressources ou les problèmes de disponibilité pour Services AWS.  |  Vous pouvez agréger AWS Health les événements entre les comptes de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-health.md#integrate-enable-ta-health)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-health.md#integrate-enable-da-health)   | 
|   [Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/)  Contrôlez en toute sécurité l'accès aux AWS ressources.   |  Vous pouvez utiliser les [données sur les services consultés en dernier](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) dans IAM pour vous aider à mieux comprendre les activités AWS au sein de votre organisation. Vous pouvez utiliser ces données pour créer et mettre à jour des [politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md) qui limitent l'accès aux seuls AWS services utilisés par les comptes de votre organisation.  Pour obtenir un exemple, consultez [Utilisation des données pour affiner les autorisations d'une unité d'organisation](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs) dans le *Guide de l'utilisateur IAM*. La gestion de l'accès root IAM vous permet de gérer de manière centralisée les informations d'identification des utilisateurs root et d'effectuer des tâches privilégiées sur les comptes des membres.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-iam.md#integrate-enable-ta-iam)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-iam.md#integrate-enable-da-iam)   | 
|   [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)  Analysez les politiques basées sur les ressources de votre AWS environnement pour identifier les politiques qui accordent l'accès à un principal en dehors de votre zone de confiance.  |  Vous pouvez désigner un compte membre comme administrateur pour IAM Access Analyzer.  Pour de plus amples informations, consultez [Activation d'Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling) dans le *Guide de l'utilisateur IAM*.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-settings.html)   | 
|   [Amazon Inspector](services-that-can-integrate-inspector2.md)  Analysez automatiquement vos AWS charges de travail pour détecter les vulnérabilités afin de découvrir les instances Amazon EC2 et les images de conteneur résidant dans Amazon ECR afin de détecter les vulnérabilités logicielles et l'exposition involontaire au réseau.  |  Déléguez un administrateur pour activer ou désactiver les analyses des comptes membres, afficher les données de résultats agrégées de l'ensemble de l'organisation, créer et gérer les règles de suppression.  Pour plus d'informations, consultez [Gestion de plusieurs comptes avec AWS Organizations](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html) dans le *Guide de l'utilisateur Amazon Inspector*.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-inspector2.md#integrate-enable-ta-inspector2)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-inspector2.md#integrate-enable-da-inspector2)   | 
|   [AWS License Manager](services-that-can-integrate-license-manager.md)  Simplifiez le processus d'apport de licences de logiciels dans le cloud.  |  Vous pouvez autoriser la découverte entre compte de ressources de calcul dans l'ensemble de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-license-manager.md#integrate-enable-ta-license-manager)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui  [En savoir plus](services-that-can-integrate-license-manager.md#integrate-enable-da-license-manager)  | 
|   [Amazon Macie](services-that-can-integrate-macie.md)  Découvre et classe votre contenu métier stratégique à l'aide du Machine Learning pour vous aider à répondre aux exigences en matière de sécurité des données et de confidentialité. Il évalue en permanence votre contenu stocké dans Amazon S3 et vous informe des problèmes potentiels.   |  Vous pouvez configurer Amazon Macie pour tous les comptes de votre organisation afin d'obtenir une vue consolidée de toutes vos données dans Amazon S3, sur tous les comptes d'un compte administrateur Macie désigné. Vous pouvez configurer Macie de manière à protéger automatiquement les ressources des nouveaux comptes au fur et à mesure que votre organisation se développe. Vous êtes averti du besoin de corriger les erreurs de configuration de politique dans les compartiments S3 pour l'ensemble de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-macie.md#integrate-enable-ta-macie)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-macie.md#integrate-enable-da-macie)   | 
|   [AWS Managed Services (AMS) Rapports en libre-service (SSR)](services-that-can-integrate-managed-services.md)  Collecte des données provenant de divers AWS services natifs et donne accès à des rapports sur les principales offres AMS. Le SSR fournit les informations que vous pouvez utiliser pour soutenir les opérations, la gestion des configurations, la gestion des actifs, la gestion de la sécurité et la conformité.  |  Vous pouvez activer le SSR agrégé, une fonctionnalité qui permet aux clients de consulter des rapports en libre-service consolidés au sein de votre organisation via votre compte de gestion ou un compte d'administrateur délégué.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-managed-services.md#integrate-enable-ta-managed-services)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-managed-services.md#integrate-enable-da-managed-services)   | 
|   [AWS Marketplace](services-that-can-integrate-marketplace.md)  Un catalogue numérique compilé qui permet de trouver, acheter, déployer et gérer des logiciels, des données et des services tiers dont vous avez besoin pour créer des solutions personnalisées et pour exercer vos activités.  |  Vous pouvez partager les licences de vos AWS Marketplace abonnements et achats entre les comptes de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-marketplace.md#integrate-enable-ta-marketplace)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [AWS Marketplace Marketplace privée](services-that-can-integrate-private-marketplace.md)  Vous fournit un large catalogue de produits disponibles AWS Marketplace, ainsi qu'un contrôle précis de ces produits.  |  Vous permet de créer plusieurs expériences de marché privées associées à l'ensemble de votre organisation OUs, à un ou plusieurs comptes de votre organisation, chacun avec son propre ensemble de produits approuvés. Vos AWS administrateurs peuvent également appliquer l'image de marque de l'entreprise à chaque expérience de marché privée avec le logo, le message et la palette de couleurs de votre entreprise ou de votre équipe.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-marketplace.md#integrate-enable-ta-marketplace)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-private-marketplace.md#integrate-enable-da-private-marketplace)   | 
|   [AWS Marketplace tableau de bord des informations sur les](services-that-can-integrate-procurement-insights.md)  Vous permet de consulter les contrats et les données d'analyse des coûts pour tous vos AWS Marketplace achats sur les AWS comptes de votre organisation.  |  AWS Marketplace le tableau de bord des informations sur les achats écoute les modifications apportées à l'organisation, par exemple l'adhésion d'un compte à l'organisation, et agrège les données relatives aux accords correspondants afin de créer ses tableaux de bord.   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-procurement-insights.md#integrate-enable-ta-procurement-insights)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-procurement-insights.md#integrate-enable-da-procurement-insights)   | 
|   [AWS Network Manager](services-that-can-integrate-network-manager.md)  Vous permet de gérer de manière centralisée votre réseau central AWS Cloud WAN et votre réseau AWS Transit Gateway sur l'ensemble AWS des comptes, des régions et des sites sur site.  |  Vous pouvez gérer et surveiller de manière centralisée vos réseaux mondiaux grâce aux passerelles de transport et aux ressources associées sur plusieurs AWS comptes au sein de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-network-manager.md#integrate-enable-ta-network-manager)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-network-manager.md#integrate-enable-da-network-manager)   | 
|   [Amazon Q Developer](services-that-can-integrate-amazon-q-dev.md)  Amazon Q Developer est un assistant conversationnel génératif basé sur l'IA qui peut vous aider à comprendre, créer, étendre et exploiter AWS des applications.   |  La version d'abonnement payant d'Amazon Q Developer nécessite l'intégration d'Organizations.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-amazon-q-dev.md#integrate-enable-ta-amazon-q-dev)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [AWS Resource Access Manager](services-that-can-integrate-ram.md)  Partagez AWS des ressources spécifiques que vous possédez avec d'autres comptes.  |  Vous pouvez partager des ressources au sein de votre organisation sans avoir à échanger des invitations supplémentaires. Les ressources que vous pouvez partager incluent des [règles de résolveur Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html#resolver-overview-forward-vpc-to-network-using-rules), des réservations de capacité à la demande, etc.  Pour plus d'informations sur les réservations de capacité partagée, consultez le guide de l'[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html) de l'utilisateur [https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-capacity-reservations.html](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-capacity-reservations.html). Pour obtenir la liste des ressources partageables, consultez [Ressources partageables](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html) dans le *Guide de l'utilisateur AWS RAM *.   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ram.md#integrate-enable-ta-ram)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [Explorateur de ressources AWS](services-that-can-integrate-resource-explorer.md)  Explorez vos ressources à l'aide d'une expérience semblable à celle d'un moteur de recherche Internet.  |  Activez la recherche multi-comptes.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-resource-explorer.md#integrate-enable-ta-resource-explorer)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-resource-explorer.md#integrate-enable-da-resource-explorer)   | 
|   [AWS Security Hub CSPM](services-that-can-integrate-securityhub.md)  Consultez l'état de votre sécurité AWS et vérifiez que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité.  |  Vous pouvez activer automatiquement le Security Hub CSPM pour tous les comptes de votre organisation, y compris les nouveaux comptes au fur et à mesure de leur ajout. Cela augmente la couverture des contrôles et des conclusions du Security Hub CSPM, ce qui fournit une image plus précise de votre niveau de sécurité global.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-securityhub.md#integrate-enable-ta-securityhub)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-securityhub.md#integrate-enable-da-securityhub)   | 
|   [Amazon S3 Storage Lens](services-that-can-integrate-s3lens.md)  Obtenez une visibilité de vos métriques d'utilisation et d'activité de stockage Amazon S3 avec des recommandations pratiques pour optimiser le stockage.  |  Configurez Amazon S3 Storage Lens pour obtenir une visibilité accrue des tendances d'utilisation et d'activité de stockage Amazon S3, ainsi que des recommandations pour tous les comptes membres de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-s3lens.md#integrate-enable-ta-s3lens)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-s3lens.md#integrate-enable-da-s3lens)   | 
|   [AWS Réponse aux incidents de sécurité](services-that-can-integrate-security-ir.md)  AWS service de sécurité qui fournit une assistance en direct 24 heures sur 24 et 7 jours sur 7 en cas d'incident de sécurité assisté par un humain afin d'aider les clients à réagir rapidement aux incidents de cybersécurité tels que le vol d'informations d'identification et les attaques par ransomware.  | Couverture de sécurité pour l'ensemble de l'organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-security-ir.md#integrate-enable-ta-security-ir)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-security-ir.md#integrate-enable-da-security-ir)   | 
|   [Amazon Security Lake](services-that-can-integrate-sl.md)  Amazon Security Lake centralise les données de sécurité provenant de sources cloud, sur site et personnalisées dans un lac de données qui est stocké dans votre compte.  | Créez un lac de données qui collecte les journaux et les événements de l'ensemble de vos comptes.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-sl.md#integrate-enable-ta-sl)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-sl.md#integrate-enable-da-sl)   | 
|   [AWS Service Catalog](services-that-can-integrate-servicecatalog.md)  Créez et gérez des catalogues des services informatiques dont l'utilisation est approuvée sur AWS.  |  Vous pouvez partager des portefeuilles et copier des produits entre comptes plus facilement, sans partager de portefeuille IDs.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-servicecatalog.md#integrate-enable-ta-servicecatalog)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing.html#portfolio-sharing-organizations)   | 
|   [Service Quotas](services-that-can-integrate-servicequotas.md)  Affichez et gérez vos *quotas* de service, également appelés *limites*, à partir d'un emplacement centralisé.  |  Vous pouvez créer un modèle de demande de quotas pour demander automatiquement une augmentation des quotas lorsque les comptes de votre organisation sont créés.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-servicequotas.md#integrate-enable-ta-servicequotas)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [AWS IAM Identity Center](services-that-can-integrate-sso.md)  Fournissez un accès d'authentification unique pour l'ensemble de vos comptes et de vos applications cloud.  |  Les utilisateurs peuvent se connecter au portail d' AWS accès à l'aide de leurs informations d'identification professionnelles et accéder aux ressources du compte de gestion ou des comptes membres qui leur ont été attribués.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-sso.md#integrate-enable-ta-sso)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-sso.md#integrate-disable-da-sso)   | 
|   [AWS Systems Manager](services-that-can-integrate-ssm.md)  Améliorez la visibilité et le contrôle de vos AWS ressources.   |  Vous pouvez synchroniser les données d'exploitation Comptes AWS dans l'ensemble de votre organisation à l'aide de Systems Manager Explorer. Vous pouvez gérer les modèles, approbations et rapports de changement pour tous les comptes membres de votre organisation à partir d'un compte d'administrateur délégué à l'aide de Systems Manager Change Manager.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ssm.md#integrate-enable-ta-ssm)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ssm.md#integrate-enable-da-ssm)   | 
|   [Notifications des utilisateurs AWS](services-that-can-integrate-uno.md)  Un emplacement central pour vos AWS notifications.  |  Vous pouvez configurer et consulter les notifications de manière centralisée pour tous les comptes de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-uno.md#integrate-enable-ta-uno)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-uno.md#integrate-enable-da-uno)   | 
|   [Stratégies de balises](services-that-can-integrate-tag-policies.md)  Utilisez des balises standardisées dans toutes les ressources des comptes de votre organisation.   |  Vous pouvez créer des politiques de balises pour définir les règles de balisage de ressources et types de ressources spécifiques et les attacher à des unités d'organisation et des comptes afin de contraindre l'application de ces règles.   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-tag-policies.md#integrate-enable-ta-tag-policies)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [AWS Trusted Advisor](services-that-can-integrate-ta.md)  Trusted Advisor inspecte votre AWS environnement et émet des recommandations lorsque des opportunités se présentent pour économiser de l'argent, améliorer la disponibilité et les performances du système ou contribuer à combler les failles de sécurité.  |  Effectuez Trusted Advisor des vérifications pour tous les Comptes AWS membres de votre organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ta.md#integrate-enable-ta-ta)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ta.md#integrate-enable-da-ta)   | 
|   [AWS Well-Architected Tool](services-that-can-integrate-wat.md)  Il vous AWS Well-Architected Tool aide à documenter l'état de vos charges de travail et à les comparer aux meilleures pratiques AWS architecturales les plus récentes.  |  Permet aux clients de Both AWS WA Tool et Organizations de simplifier le processus de partage AWS WA Tool des ressources avec les autres membres de leur organisation.  |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-wat.md#integrate-enable-ta-wat)   |   ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non   | 
|   [Amazon VPC IP Address Manager (IPAM)](services-that-can-integrate-ipam.md)  L'IPAM est une fonctionnalité VPC qui vous permet de planifier, de suivre et de surveiller plus facilement les adresses IP pour AWS vos charges de travail.  | Contrôlez l'utilisation des adresses IP à l'échelle de votre organisation et partagez des groupes d'adresses IP entre les comptes membres. |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ipam.md#integrate-enable-ta-ipam)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ipam.md#integrate-enable-da-ipam)   | 
|   [Analyseur d'accessibilité Amazon VPC](services-that-can-integrate-ra.md)  Reachability Analyzer est un outil d'analyse de configuration qui vous permet d'effectuer des tests de connectivité entre une ressource source et une ressource de destination dans vos clouds privés virtuels (). VPCs  | Tracez les chemins entre les comptes de vos organisations. |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ra.md#integrate-enable-ta-ra)   |   ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui   [En savoir plus](services-that-can-integrate-ra.md#integrate-enable-da-ra)   | 

# Gestion de compte AWS et AWS Organizations
<a name="services-that-can-integrate-account"></a>

Gestion de compte AWS vous aide à gérer les informations de compte et les métadonnées pour tous les Comptes AWS membres de votre organisation. Vous pouvez définir, modifier ou supprimer les autres informations de contact pour chaque compte membre de votre organisation. Pour plus d'informations, consultez [Utilisation d' Gestion de compte AWS dans votre organisation](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs.html) dans le *Guide de l'utilisateur Gestion de compte AWS *. 

Utilisez les informations suivantes pour vous aider Gestion de compte AWS à intégrer AWS Organizations.



## Pour activer l'accès approuvé à Account Management
<a name="integrate-enable-ta-account"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

La gestion des comptes nécessite un accès AWS Organizations sécurisé pour que vous puissiez désigner un compte de membre comme administrateur délégué de ce service pour votre organisation.

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Gestion de compte AWS**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de Gestion de compte AWS dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le Gestion de compte AWS qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer Gestion de compte AWS en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal account.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Pour désactiver l'accès approuvé auprès d'Account Manager
<a name="integrate-disable-ta-account"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec Gestion de compte AWS.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Gestion de compte AWS**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de Gestion de compte AWS dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le Gestion de compte AWS qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver Gestion de compte AWS en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal account.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour Account Management
<a name="integrate-enable-da-account"></a>

Lorsque vous désignez un compte membre comme administrateur délégué de l'organisation, les utilisateurs et les rôles du compte désigné peuvent gérer les métadonnées Compte AWS pour les autres comptes membres de l'organisation. Si vous n'activez pas de compte administrateur délégué, seul le compte de gestion de l'organisation peut effectuer ces tâches. Cela vous permet de séparer la gestion de l'organisation de celle des détails de votre compte.

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre comme administrateur délégué pour Account Management dans l'organisation.

Pour des instructions générales sur la configuration d'une politique de délégation, consultez la rubrique [Créez une politique de délégation basée sur les ressources avec AWS OrganizationsMettez à jour une politique de délégation basée sur les ressources avec AWS Organizations](orgs-policy-delegate.md).

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal account.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

# AWS Application Migration Service (Service de migration d'applications) et AWS Organizations
<a name="services-that-can-integrate-application-migration"></a>

AWS Application Migration Service simplifie, accélère et réduit le coût de la migration des applications vers. AWS En intégrant Organizations, vous pouvez utiliser la fonctionnalité de vue globale pour gérer des migrations à grande échelle sur plusieurs comptes. Pour plus d'informations, consultez la section [Configuration de votre](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html) *application AWS Organizations dans le guide de l'utilisateur du service de migration* des applications. 

Utilisez les informations suivantes pour vous aider AWS Application Migration Service à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-application-migration"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet au service de migration d'applications d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Application Migration Service et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForApplicationMigrationService `

## Principaux de service utilisés par le service de migration d'applications
<a name="integrate-enable-svcprin-application-migration"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés au service utilisés par le service de migration d'applications accordent l'accès aux principaux de service suivants :
+ `mgn.amazonaws.com`

## Permettre un accès fiable avec le service de migration d'applications
<a name="integrate-enable-ta-application-migration"></a>

Lorsque vous activez l'accès sécurisé avec Application Migration Service, vous pouvez utiliser la fonction d'affichage global, qui vous permet de gérer des migrations à grande échelle sur plusieurs comptes. La vue globale offre de la visibilité et la possibilité d'effectuer des actions spécifiques sur les serveurs sources, les applications et les vagues de différents AWS comptes. Pour plus d'informations, consultez la section [Configuration de vos AWS Organisations](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html) dans le *guide de AWS Application Migration Service l'utilisateur*.

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Application Migration Service console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Application Migration Service console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Application Migration Service d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Application Migration Service. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Application Migration Service console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Application Migration Service**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Application Migration Service dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Application Migration Service qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Application Migration Service en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal mgn.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès sécurisé avec le service de migration d'applications
<a name="integrate-disable-ta-application-migration"></a>

Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé avec Application Migration Service. 

Vous pouvez désactiver l'accès sécurisé à l'aide des outils AWS Application Migration Service ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Application Migration Service console ou les outils pour désactiver l'intégration avec Organizations. Cela permet AWS Application Migration Service d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par AWS Application Migration Service.  
Si vous désactivez l'accès sécurisé à l'aide de la AWS Application Migration Service console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Application Migration Service**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS Application Migration Service dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Application Migration Service qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Application Migration Service en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal mgn.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour le service de migration d'applications
<a name="integrate-enable-da-application-migration"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué de l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Application Migration Service qui, autrement, ne peuvent être effectuées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous permet de séparer la gestion de l'organisation de la gestion du service de migration des applications. Pour plus d'informations, consultez la section [Configuration de votre](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html) *application AWS Organizations dans le guide de l'utilisateur du service de migration* des applications. 

**Autorisations minimales**  
Seul un utilisateur ou un rôle dans le compte de gestion des Organisations peut configurer un compte membre en tant qu'administrateur délégué pour le service de migration d'applications dans l'organisation

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal mgn.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le service du compte `mgn.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour le service de migration d'applications
<a name="integrate-disable-da-application-migration"></a>

 Seul un administrateur du compte de gestion des Organizations peut supprimer un administrateur délégué pour Application Migration Service. Vous pouvez supprimer l'administrateur délégué à l'aide de l'opération CLI ou SDK Organizations `DeregisterDelegatedAdministrator`. 

# AWS Artifact et AWS Organizations
<a name="services-that-can-integrate-artifact"></a>

AWS Artifact est un service qui vous permet de télécharger des rapports AWS de conformité en matière de sécurité tels que les rapports ISO et PCI. Grâce à AWS Artifact cette option, un utilisateur du compte de gestion de l'organisation peut automatiquement accepter des accords au nom de tous les comptes membres d'une organisation, même lorsque de nouveaux rapports et comptes sont ajoutés. Les utilisateurs des comptes membres peuvent afficher et télécharger des accords. Pour plus d'informations, consultez [la section Gestion d'un accord pour plusieurs comptes dans AWS Artifact dans](https://docs.aws.amazon.com/artifact/latest/ug/manage-org-agreement.html) le guide de l'*AWS Artifact utilisateur*.

Utilisez les informations suivantes pour vous aider AWS Artifact à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-artifact"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' AWS Artifact effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre AWS Artifact et Organizations, ou si vous supprimez le compte membre de l'organisation.

Même si vous avez la possibilité de supprimer ou de modifier ce rôle dans le cas où vous retirez le compte membre de l'organisation, cela est déconseillé. 

La modification du rôle est déconseillée, car elle peut provoquer des problèmes de sécurité tels que le député confus entre services. Pour en savoir plus sur la protection contre le député confus, consultez [Prévention du député confus entre services](https://docs.aws.amazon.com//artifact/latest/ug/security-iam.html#confused-deputy) dans le *Guide de l'utilisateur AWS Artifact *. 
+ `AWSServiceRoleForArtifact`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-artifact"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par AWS Artifact accordent l'accès aux principaux de service suivants :
+ `artifact.amazonaws.com`

## Permettre un accès fiable avec AWS Artifact
<a name="integrate-enable-ta-artifact"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Artifact**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Artifact dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Artifact qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Artifact en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal artifact.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AWS Artifact
<a name="integrate-disable-ta-artifact"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec AWS Artifact.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

AWS Artifact nécessite un accès fiable AWS Organizations pour travailler avec les accords d'organisation. Si vous désactivez l'accès sécurisé AWS Organizations pendant que vous l'utilisez AWS Artifact pour des accords d'organisation, il cesse de fonctionner car il ne peut pas accéder à l'organisation. Tous les accords d'organisation que vous acceptez AWS Artifact sont conservés, mais ne sont pas accessibles AWS Artifact. Le AWS Artifact rôle qui AWS Artifact crée demeure. Si vous réactivez ensuite l'accès approuvé, AWS Artifact continue de fonctionner comme avant, sans qu'il soit nécessaire de reconfigurer le service. 

Un compte autonome qui est supprimé d'une organisation n'a plus accès aux accords de l'organisation.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Artifact**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS Artifact dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Artifact qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Artifact en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal artifact.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS Audit Manager et AWS Organizations
<a name="services-that-can-integrate-audit-manager"></a>

AWS Audit Manager vous aide à auditer en permanence votre AWS utilisation afin de simplifier la façon dont vous évaluez les risques et la conformité aux réglementations et aux normes du secteur. Audit Manager automatise la collecte de preuves pour faciliter l'évaluation de l'efficacité de vos politiques, procédures et activités. Lorsqu'il est temps d'effectuer un audit, Audit Manager vous aide à gérer les examens de vos contrôles par les parties prenantes et vous aide à créer des rapports prêts à être vérifiés avec beaucoup moins d'effort manuel.

Lorsque vous intégrez Audit Manager à Audit Manager AWS Organizations, vous pouvez recueillir des preuves auprès d'une source plus large en incluant plusieurs éléments Comptes AWS provenant de votre organisation dans le cadre de vos évaluations.

Pour plus d'informations, consultez la section [Enable AWS Organizations](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html#enabling-orgs) dans le *guide de l'utilisateur d'Audit Manager*. 

Utilisez les informations suivantes pour vous aider AWS Audit Manager à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-audit-manager"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Audit Manager d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Audit Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.

Pour en savoir plus sur la manière dont Audit Manager utilise ce rôle, consultez [Utilisation des rôles liés à un service](https://docs.aws.amazon.com/audit-manager/latest/userguide/using-service-linked-roles.html) dans le *Guide de l'utilisateur AWS Audit Manager *.
+ `AWSServiceRoleForAuditManager`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-audit-manager"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Audit Manager autorisent l'accès aux mandataires de service suivants :
+ `auditmanager.amazonaws.com`

## Pour activer l'accès approuvé avec Audit Manager
<a name="integrate-enable-ta-audit-manager"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Audit Manager a besoin d'un accès sécurisé pour AWS Organizations que vous puissiez désigner un compte membre comme administrateur délégué de votre organisation.

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Audit Manager console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Audit Manager console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Audit Manager d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Audit Manager. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Audit Manager console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès approuvé à l'aide de la console Audit Manager**  
Pour obtenir des instructions sur l'activation de l'accès approuvé, consultez [Configuration](https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao) dans le *Guide de l'utilisateur AWS Audit Manager *.

**Note**  
Si vous configurez un administrateur délégué à l'aide de la AWS Audit Manager console, l'accès sécurisé est AWS Audit Manager automatiquement activé pour vous.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Audit Manager en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal auditmanager.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Pour désactiver l'accès approuvé avec Audit Manager
<a name="integrate-disable-ta-audit-manager"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec AWS Audit Manager.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Audit Manager en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal auditmanager.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour Audit Manager
<a name="integrate-enable-da-audit-manager"></a>

Lorsque vous désignez un compte de membre comme administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Audit Manager qui, autrement, ne peuvent être effectuées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion d'Audit Manager.

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations disposant de l'autorisation suivante peuvent configurer un compte membre en tant qu'administrateur délégué pour Audit Manager dans l'organisation :  
`audit-manager:RegisterAccount`

Pour obtenir des instructions sur l'activation d'un compte administrateur délégué pour Audit Manager, consultez [Configuration](https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao) dans le *Guide de l'utilisateur AWS Audit Manager *.

Si vous configurez un administrateur délégué à l'aide de la AWS Audit Manager console, Audit Manager active automatiquement un accès sécurisé pour vous. 

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $  aws audit-manager register-account \
      --delegated-admin-account 123456789012
  ```
+ AWS SDK : appelez l'`RegisterAccount`opération et indiquez `delegatedAdminAccount` en paramètre pour déléguer le compte administrateur. 

------

# AWS Backup et AWS Organizations
<a name="services-that-can-integrate-backup"></a>

AWS Backup est un service qui vous permet de gérer et de suivre les AWS Backup emplois au sein de votre organisation. Si vous vous connectez en AWS Backup tant qu'utilisateur dans le compte de gestion de l'organisation, vous pouvez activer la protection et la surveillance des sauvegardes à l'échelle de l'organisation. Il vous aide à garantir la conformité en utilisant des [politiques de sauvegarde](orgs_manage_policies_backup.md) pour appliquer de manière centralisée des AWS Backup plans aux ressources de tous les comptes de votre organisation. Lorsque vous utilisez les deux AWS Backup et AWS Organizations ensemble, vous pouvez bénéficier des avantages suivants :

**Protection**  
Vous pouvez [activer le type de stratégie de sauvegarde](enable-policy-type.md) dans votre organisation, puis [créer des politiques de sauvegarde](orgs_policies_create.md) à associer à la racine ou aux comptes de l'organisation. OUs Une politique de sauvegarde combine un AWS Backup plan avec les autres informations requises pour appliquer le plan automatiquement à vos comptes. Les politiques directement associées à un compte sont fusionnées avec les politiques [héritées](orgs_manage_policies_inheritance_mgmt.md) de la racine de l'organisation et de tout parent OUs afin de créer une [politique efficace](orgs_manage_policies_effective.md) qui s'applique au compte. La politique inclut l'ID d'un rôle IAM autorisé à s'exécuter AWS Backup sur les ressources de vos comptes. AWS Backup utilise le rôle IAM pour effectuer la sauvegarde en votre nom, comme indiqué par le plan de sauvegarde dans la politique effective.

**Surveillance**  
Lorsque vous [activez l'accès approuvé pour AWS Backup](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access) dans votre organisation, vous pouvez utiliser la console AWS Backup pour afficher des détails sur les tâches de sauvegarde, de restauration et de copie dans n'importe quel compte de votre organisation. Pour plus d'informations, consultez [Surveiller vos tâches de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/monitor-and-verify-protected-resources.html) dans le *Manuel du développeur AWS Backup *.

Pour plus d'informations à ce sujet AWS Backup, consultez le *[guide du AWS Backup développeur](https://docs.aws.amazon.com/aws-backup/latest/devguide/)*.

Utilisez les informations suivantes pour vous aider AWS Backup à intégrer AWS Organizations.



## Permettre un accès fiable avec AWS Backup
<a name="integrate-enable-ta-backup"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Backup console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Backup console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Backup d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Backup. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Backup console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Pour activer l'accès sécurisé en utilisant AWS Backup, consultez la section [Activation de la sauvegarde multiple Comptes AWS dans](https://docs.aws.amazon.com//aws-backup/latest/devguide/manage-cross-account.html#enable-xaccount-management) le *guide du AWS Backup développeur*.

## Désactiver l'accès sécurisé avec AWS Backup
<a name="integrate-disable-ta-backup"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

AWS Backup nécessite un accès fiable AWS Organizations pour permettre la surveillance des tâches de sauvegarde, de restauration et de copie sur les comptes de votre entreprise. Si vous désactivez l'accès sécurisé AWS Backup, vous ne pouvez plus consulter les offres d'emploi en dehors du compte courant. Le AWS Backup rôle qui AWS Backup crée demeure. Si vous réactivez ultérieurement l'accès sécurisé, il AWS Backup continue de fonctionner comme avant, sans que vous ayez à reconfigurer le service. 

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Backup en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal backup.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour AWS Backup
<a name="integrate-enable-da-backup"></a>

Reportez-vous à la section [Administrateur délégué](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin) dans le *Guide du développeur AWS Backup *.

# AWS Billing and Cost Management et AWS Organizations
<a name="services-that-can-integrate-awsaccountbilling"></a>

AWS Billing and Cost Management fournit une suite de fonctionnalités pour vous aider à configurer votre facturation, à récupérer et à payer les factures, ainsi qu'à analyser, organiser, planifier et optimiser vos coûts. Lorsque vous utilisez Billing and Cost Management, AWS Organizations vous autorisez les [données de répartition des coûts fractionnés](https://docs.aws.amazon.com/cur/latest/userguide/split-cost-allocation-data.html) à récupérer des AWS Organizations informations, le cas échéant, et à collecter des données de télémétrie pour les services de données de répartition des coûts partagés auxquels vous avez souscrit.

Utilisez les informations suivantes pour vous aider AWS Billing and Cost Management à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-awsaccountbilling"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Billing and Cost Management d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Billing and Cost Management et Organizations, ou si vous supprimez le compte membre de l'organisation.

Pour plus d'informations, consultez la section [Autorisations relatives aux rôles liés à un service pour Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/security_iam_service-with-iam.html#security_iam_service-with-iam-roles-service-linked) dans le guide de l'*utilisateur de Billing and Cost Management*. 
+ `AWSServiceRoleForSplitCostAllocationData`

## Principes de service utilisés par Billing and Cost Management
<a name="integrate-enable-svcprin-awsaccountbilling"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Billing and Cost Management donnent accès aux principaux de service suivants :

Billing and Cost Management utilise le ` billing-cost-management.amazonaws.com` service principal.

## Permettre un accès fiable grâce à Billing and Cost Management
<a name="integrate-enable-ta-awsaccountbilling"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Grâce à l'accès sécurisé activé via un compte de gestion, les clients peuvent tirer parti de la fonctionnalité de répartition des coûts partagée dans Billing and Cost Management. Lorsque les clients activent les données de répartition des coûts partagés pour Amazon Elastic Kubernetes Service avec Amazon Managed Service for Prometheus, un accès sécurisé est invoqué pour créer des rôles liés aux services pour tous les comptes membres de l'organisation. Cela permet de répartir les données de répartition des coûts afin de collecter des données télémétriques auprès des espaces de travail Amazon Managed Service for Prometheus des clients et d'effectuer une répartition des coûts en fonction de ces indicateurs. 

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Billing and Cost Management en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal  billing-cost-management.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l’accès sécurisé
<a name="integrate-disable-ta-awsaccountbilling"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Billing and Cost Management en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal  billing-cost-management.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS CloudFormation StackSets et AWS Organizations
<a name="services-that-can-integrate-cloudformation"></a>

CloudFormation StackSets vous permet de créer, de mettre à jour ou de supprimer des piles sur plusieurs piles Comptes AWS Régions AWS en une seule opération. StackSets l'intégration avec vous AWS Organizations permet de créer des ensembles de piles avec des autorisations gérées par le service, en utilisant un rôle lié au service disposant de l'autorisation appropriée dans chaque compte membre. Cela vous permet de déployer des instances de piles sur tous les comptes de votre organisation. Vous n'êtes pas obligé de créer les Gestion des identités et des accès AWS rôles nécessaires ; StackSets crée le rôle IAM dans chaque compte membre en votre nom.

Vous pouvez également choisir d'activer les déploiements automatiques sur les comptes qui sont ajoutés ultérieurement à votre organisation. Lorsque le déploiement automatique est activé, les rôles et le déploiement des instances de l'ensemble de piles associées sont automatiquement ajoutés à tous les comptes ajoutés à l'avenir à cette unité d'organisation.

Lorsque l'accès sécurisé entre StackSets organisations est activé, le compte de gestion est autorisé à créer et à gérer des ensembles de piles pour votre organisation. Le compte de gestion peut enregistrer jusqu'à cinq comptes membres en tant qu'administrateurs délégués. Lorsque l'accès approuvé est activé, les administrateurs délégués disposent également des autorisations pour créer et gérer des ensembles de piles pour votre organisation. Les ensembles de piles dotés d'autorisations gérées par le service sont créés dans le compte de gestion, y compris les ensembles de piles créés par des administrateurs délégués.

**Important**  
Les administrateurs délégués disposent des autorisations complètes pour un déploiement dans les comptes de votre organisation. Le compte de gestion ne peut pas limiter les autorisations d'administrateur déléguées pour effectuer des OUs déploiements ou des opérations spécifiques sur des ensembles de piles spécifiques.

 Pour plus d'informations sur l'intégration StackSets à Organizations, voir [Working with AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) dans le *guide de AWS CloudFormation l'utilisateur*.

Utilisez les informations suivantes pour vous aider AWS CloudFormation StackSets à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-cloudformation"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à CloudFormation Stacksets d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre CloudFormation StackSets et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ Compte de gestion : `AWSServiceRoleForCloudFormationStackSetsOrgAdmin`

Pour créer le rôle lié à un service `AWSServiceRoleForCloudFormationStackSetsOrgMember` pour les comptes membres de votre organisation, vous devez d'abord créer un ensemble de piles dans le compte de gestion. Cela crée une instance d'ensemble de piles, qui crée ensuite le rôle dans les comptes membres.
+ Comptes membres : `AWSServiceRoleForCloudFormationStackSetsOrgMember`

[Pour plus de détails sur la création d'ensembles de piles, consultez la section AWS CloudFormation StackSets Utilisation du *guide de AWS CloudFormation l'utilisateur*.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-cloudformation"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par les CloudFormation Stacksets donnent accès aux principaux de service suivants :
+ Compte de gestion : `stacksets.cloudformation.amazonaws.com`

  Vous pouvez modifier ou supprimer ce rôle uniquement si vous avez désactivé l'accès sécurisé entre StackSets et Organizations.
+ Comptes membres : `member.org.stacksets.cloudformation.amazonaws.com`

  Vous pouvez modifier ou supprimer ce rôle d'un compte uniquement si vous désactivez d'abord l'accès sécurisé entre StackSets et Organizations, ou si vous supprimez d'abord le compte de l'organisation ou de l'unité organisationnelle (UO) cible.

## Permettre un accès fiable avec CloudFormation Stacksets
<a name="integrate-enable-ta-cloudformation"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Seul un administrateur du compte de gestion des Organisations est autorisé à activer un accès sécurisé avec un autre AWS service. Vous pouvez activer l'accès approuvé à l'aide de la console CloudFormation ou de la console Organizations.

Vous ne pouvez activer l'accès sécurisé qu'à l'aide de AWS CloudFormation StackSets.

Pour activer l'accès sécurisé à l'aide de la console CloudFormation Stacksets, voir [Activer l'accès sécurisé avec AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) dans le guide de l' AWS CloudFormation utilisateur.

## Désactiver l'accès sécurisé avec Stacksets CloudFormation
<a name="integrate-disable-ta-cloudformation"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur d'un compte de gestion d'Organizations est autorisé à désactiver l'accès sécurisé à un autre AWS service. Vous pouvez désactiver l'accès approuvé uniquement avec la console Organizations. Si vous désactivez l'accès sécurisé auprès d'Organizations pendant que vous l'utilisez StackSets, toutes les instances de pile créées précédemment sont conservées. Toutefois, les ensembles de piles déployés à l'aide des autorisations du rôle lié à un service ne peuvent plus effectuer de déploiements sur des comptes gérés par Organizations. 

Vous pouvez désactiver l'accès sécurisé à l'aide de la CloudFormation console ou de la console Organizations.

**Important**  
Si vous désactivez l'accès sécurisé par programmation (par exemple avec AWS CLI ou avec une API), sachez que cela supprimera l'autorisation. Il est préférable de désactiver l'accès sécurisé avec la CloudFormation console. 

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS CloudFormation StackSets**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS CloudFormation StackSets dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS CloudFormation StackSets qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS CloudFormation StackSets en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour les CloudFormation Stacksets
<a name="integrate-enable-da-cloudformation"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour CloudFormation Stacksets qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous permet de séparer la gestion de l'organisation de la gestion des CloudFormation Stacksets.

Pour obtenir des instructions sur la façon de désigner un compte membre en tant qu'administrateur délégué d' CloudFormation StackSets dans l'organisation, consultez [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) dans le *Guide de l'utilisateur AWS CloudFormation *.

# AWS CloudTrail et AWS Organizations
<a name="services-that-can-integrate-cloudtrail"></a>

AWS CloudTrail est un AWS service qui vous aide à garantir la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre entreprise Compte AWS. En utilisant AWS CloudTrail, un utilisateur d'un compte de gestion peut créer un journal d'organisation qui enregistre tous les événements pour tous Comptes AWS les membres de cette organisation. Les journaux d'activité d'organisation sont automatiquement appliqués à tous les comptes membres de l'organisation. Les comptes membres peuvent voir le journal d'activité de l'organisation, mais ne peuvent ni le modifier ni le supprimer. Par défaut, les comptes membres n'ont pas accès aux fichiers journaux correspondant au journal d'activité de l'organisation dans le compartiment Amazon S3. Cela vous aide à appliquer et faire respecter de manière uniforme votre politique de journalisation des événements dans tous les comptes de votre organisation.

Pour plus d'informations, consultez [Création d'un journal d'activité pour une organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) dans le *Guide de l'utilisateur AWS CloudTrail *. 

Utilisez les informations suivantes pour vous aider AWS CloudTrail à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-cloudtrail"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' CloudTrail effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre CloudTrail et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForCloudTrail`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-cloudtrail"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par CloudTrail accordent l'accès aux principaux de service suivants :
+ `cloudtrail.amazonaws.com`

## Permettre un accès fiable avec CloudTrail
<a name="integrate-enable-ta-cloudtrail"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Si vous activez l'accès sécurisé en créant une trace depuis la AWS CloudTrail console, l'accès sécurisé est configuré automatiquement pour vous (recommandé). Vous pouvez également activer l'accès sécurisé à l'aide de la AWS Organizations console. Vous devez vous connecter avec votre compte AWS Organizations de gestion pour créer un suivi de l'organisation.

Si vous choisissez de créer un journal d'organisation à l'aide de l'API AWS CLI ou de l' AWS API, vous devez configurer manuellement l'accès sécurisé. Pour plus d'informations, consultez la section [Activation en CloudTrail tant que service de confiance AWS Organizations dans](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service) le *guide de AWS CloudTrail l'utilisateur.*

**Important**  
 Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS CloudTrail console ou les outils pour permettre l'intégration avec Organizations. 

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS CloudTrail en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec CloudTrail
<a name="integrate-disable-ta-cloudtrail"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

 AWS CloudTrail nécessite un accès fiable AWS Organizations pour utiliser les traces des organisations et les banques de données sur les événements de l'organisation. Si vous désactivez l'accès sécurisé AWS Organizations pendant que vous l'utilisez AWS CloudTrail, toutes les traces d'organisation relatives aux comptes des membres sont supprimées car il est CloudTrail impossible d'accéder à l'organisation. Toutes les traces d'organisation des comptes de gestion et les magasins de données sur les événements de l'organisation sont convertis en traces au niveau du compte et en magasins de données d'événements. Le `AWSServiceRoleForCloudTrail` rôle créé pour l'intégration entre CloudTrail et AWS Organizations reste dans le compte. Si vous réactivez l'accès sécurisé, aucune action ne CloudTrail sera entreprise sur les sentiers et les magasins de données d'événements existants. Le compte de gestion doit mettre à jour les traces et les banques de données d'événements au niveau du compte pour les appliquer à l'organisation. 

Pour convertir un magasin de données de suivi ou d'événement au niveau du compte en un journal d'organisation ou un magasin de données d'événements d'organisation, procédez comme suit :
+ Depuis la CloudTrail console, mettez à jour le [magasin](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) [de données de suivi ou d'événement](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) et choisissez l'option **Activer pour tous les comptes de mon organisation**.
+ À partir de AWS CLI, procédez comme suit :
  + Pour mettre à jour un historique, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html)commande et incluez le `--is-organization-trail` paramètre.
  + Pour mettre à jour un magasin de données d'événements, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html)commande et incluez le `--organization-enabled` paramètre.

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec AWS CloudTrail. Vous pouvez désactiver l'accès sécurisé uniquement avec les outils Organizations, en utilisant la AWS Organizations console, en exécutant une commande Organizations AWS CLI ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS CloudTrail**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS CloudTrail dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS CloudTrail qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS CloudTrail en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour CloudTrail
<a name="integrate-enable-da-cloudtrail"></a>

Lorsque vous utilisez CloudTrail Organizations, vous pouvez enregistrer n'importe quel compte au sein de l'organisation pour agir en tant qu'administrateur CloudTrail délégué chargé de gérer les traces et les banques de données d'événements de l'organisation pour le compte de l'organisation. Un administrateur délégué est un compte membre d'une organisation qui peut effectuer les mêmes tâches administratives CloudTrail que le compte de gestion. 

**Autorisations minimales**  
Seul un administrateur du compte de gestion des Organizations peut enregistrer un administrateur délégué pour CloudTrail.

Vous pouvez enregistrer un compte d'administrateur délégué à l'aide de la CloudTrail console, de la `RegisterDelegatedAdministrator` CLI ou du SDK Organizations. Pour enregistrer un administrateur délégué à l'aide de la CloudTrail console, voir [Ajouter un administrateur CloudTrail délégué](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-add-delegated-administrator.html). 

## Désactivation d'un administrateur délégué pour CloudTrail
<a name="integrate-disable-da-cloudtrail"></a>

 Seul un administrateur du compte de gestion des Organizations peut supprimer un administrateur délégué pour CloudTrail. Vous pouvez supprimer l'administrateur délégué à l'aide de la CloudTrail console, de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations. Pour plus d'informations sur la procédure de suppression d'un administrateur délégué à l'aide de la CloudTrail console, voir [Supprimer un administrateur CloudTrail délégué](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-remove-delegated-administrator.html). 

# Amazon CloudWatch et AWS Organizations
<a name="services-that-can-integrate-cloudwatch"></a>

Vous pouvez utiliser Amazon AWS Organizations CloudWatch pour les cas d'utilisation suivants :
+ Découvrez et comprenez l'état de la configuration télémétrique de vos AWS ressources à partir d'une vue centrale dans la CloudWatch console. Cela simplifie le processus d'audit de vos configurations de collecte de données télémétriques pour plusieurs types de ressources au sein de votre organisation ou de votre AWS compte. Vous devez activer l'accès sécurisé pour utiliser la configuration de télémétrie au sein de votre organisation.

  Pour plus d'informations, consultez la section [Audit des configurations de CloudWatch télémétrie](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-cloudwatch.html) dans le guide de * CloudWatch l'utilisateur Amazon*. 
+ Travaillez avec plusieurs comptes dans Network Flow Monitor, une fonctionnalité d'Amazon CloudWatch Network Monitoring. Network Flow Monitor fournit une visibilité en temps quasi réel sur les performances du réseau pour le trafic entre les instances Amazon EC2. Après avoir activé l'accès sécurisé pour l'intégration à Organizations, vous pouvez créer un moniteur pour visualiser les détails des performances du réseau sur plusieurs comptes.

  Pour plus d'informations, consultez [Initialize Network Flow Monitor pour la surveillance multi-comptes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-NetworkFlowMonitor-multi-account.html) dans le guide de * CloudWatch l'utilisateur Amazon*. 

Utilisez les informations suivantes pour vous aider à intégrer Amazon CloudWatch à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-cloudwatch"></a>

Créez le [rôle lié au service suivant dans le compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) de gestion de votre organisation. Le rôle lié au service est automatiquement créé dans les comptes des membres lorsque vous activez l'accès sécurisé. Ce rôle permet d' CloudWatch effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation. Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre CloudWatch et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForObservabilityAdmin`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-cloudwatch"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par CloudWatch accordent l'accès aux principaux de service suivants :
+ `observabilityadmin.amazonaws.com`
+ `networkflowmonitor.amazonaws.com`
+ `topology.networkflowmonitor.amazonaws.com`

## Permettre un accès fiable avec CloudWatch
<a name="integrate-enable-ta-cloudwatch"></a>

Pour plus d'informations sur les autorisations dont vous avez besoin pour activer l'accès sécurisé, consultez[Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la CloudWatch console Amazon ou de la AWS Organizations console.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la CloudWatch console ou les outils Amazon pour permettre l'intégration avec Organizations. Cela permet à Amazon CloudWatch d'effectuer toutes les configurations nécessaires, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Amazon CloudWatch. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la CloudWatch console ou des outils Amazon, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès sécurisé à l'aide de la CloudWatch console**  
Consultez la section [Activation de l'audit CloudWatch télémétrique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html) dans le guide de * CloudWatch l'utilisateur Amazon*.

Lorsque vous activez l'accès sécurisé CloudWatch, vous activez l'audit télémétrique et vous pouvez travailler avec plusieurs comptes dans Network Flow Monitor.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon CloudWatch** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de CloudWatch dialogue **Activer l'accès sécurisé pour Amazon**, tapez **activer** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon CloudWatch qu'il peut désormais activer ce service pour qu'il fonctionne avec la console AWS Organizations de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer Amazon CloudWatch en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal observabilityadmin.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivez l'accès sécurisé avec CloudWatch
<a name="integrate-disable-ta-cloudwatch"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous pouvez désactiver l'accès sécurisé à l'aide d'Amazon CloudWatch ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la CloudWatch console ou les outils Amazon pour désactiver l'intégration avec Organizations. Cela permet à Amazon CloudWatch d'effectuer tous les nettoyages nécessaires, tels que la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par Amazon CloudWatch.  
Si vous désactivez l'accès sécurisé à l'aide de la CloudWatch console ou des outils Amazon, vous n'avez pas besoin de suivre ces étapes.

**Pour désactiver l'accès sécurisé à l'aide de la CloudWatch console**  
Consultez la section [Désactivation de l'audit CloudWatch télémétrique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-off.html) dans le guide de l'utilisateur *Amazon CloudWatch *

Lorsque vous désactivez l'accès sécurisé dans CloudWatch, l'audit télémétrique n'est plus actif et vous ne pouvez plus travailler avec plusieurs comptes dans Network Flow Monitor.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver Amazon CloudWatch en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal observabilityadmin.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Enregistrement d'un compte d'administrateur délégué pour CloudWatch
<a name="integrate-enable-da-cloudwatch"></a>

Lorsque vous enregistrez un compte membre en tant que compte d'administrateur délégué pour l'organisation, les utilisateurs et les rôles associés à ce compte peuvent effectuer des actions administratives CloudWatch qui, sinon, ne peuvent être effectuées que par des utilisateurs ou des rôles connectés avec le compte de gestion de l'organisation. L'utilisation d'un compte d'administrateur délégué vous permet de séparer la gestion de l'organisation de la gestion des fonctionnalités dans CloudWatch. 

**Autorisations minimales**  
Seul un administrateur du compte de gestion des Organisations peut enregistrer un compte membre en tant que compte d'administrateur délégué pour CloudWatch l'organisation.

Vous pouvez enregistrer un compte d'administrateur délégué à l'aide de la CloudWatch console ou à l'aide de l'opération Organizations `RegisterDelegatedAdministrator` API avec le AWS Command Line Interface ou un SDK.

Pour plus d'informations sur la procédure d'enregistrement d'un compte d'administrateur délégué à l'aide de la CloudWatch console, consultez la section [Activation de l'audit CloudWatch télémétrique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html) dans le guide de * CloudWatch l'utilisateur Amazon*.

Lorsque vous enregistrez un compte d'administrateur délégué CloudWatch, vous pouvez l'utiliser pour des opérations de gestion avec un audit télémétrique et avec Network Flow Monitor.

## Désenregistrer un administrateur délégué pour CloudWatch
<a name="integrate-disable-da-cloudwatch"></a>

**Autorisations minimales**  
Seul un administrateur connecté avec le compte de gestion des Organizations peut annuler l'enregistrement d'un compte d'administrateur délégué CloudWatch au sein de l'organisation.

 Vous pouvez désenregistrer le compte d'administrateur délégué à l'aide de la CloudWatch console ou à l'aide de l'opération Organizations `DeregisterDelegatedAdministrator` API avec le AWS Command Line Interface ou un SDK. Pour plus d'informations, consultez la section [Désenregistrement d'un compte d'administrateur délégué dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator) de l'utilisateur *Amazon CloudWatch *. 

Lorsque vous désenregistrez un compte d'administrateur délégué dans CloudWatch, vous ne pouvez plus l'utiliser pour les opérations de gestion avec l'audit télémétrique et avec Network Flow Monitor.

# Optimiseur de calcul AWS et AWS Organizations
<a name="services-that-can-integrate-compute-optimizer"></a>

Optimiseur de calcul AWS est un service qui analyse les paramètres de configuration et d'utilisation de vos AWS ressources. Ces ressources sont par exemple des instances Amazon Elastic Compute Cloud (Amazon EC2) ou des groupes Auto Scaling. Compute Optimizer indique si vos ressources sont optimales et génère des recommandations d'optimisation afin de réduire les coûts et d'améliorer les performances de vos charges de travail. Pour plus d'informations sur Compute Optimizer, consultez le [Guide de l'utilisateur Optimiseur de calcul AWS](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is.html).

Utilisez les informations suivantes pour vous aider Optimiseur de calcul AWS à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-compute-optimizer"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Compute Optimizer d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Compute Optimizer et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForComputeOptimizer`
+ `AWSServiceRoleForComputeOptimizerAutomation`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-compute-optimizer"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Compute Optimizer autorisent l'accès aux mandataires de service suivants :
+ `compute-optimizer.amazonaws.com`

## Activation de l'accès approuvé avec Compute Optimizer
<a name="integrate-enable-ta-compute-optimizer"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la Optimiseur de calcul AWS console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la Optimiseur de calcul AWS console ou les outils pour permettre l'intégration avec Organizations. Cela permet Optimiseur de calcul AWS d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Optimiseur de calcul AWS. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la Optimiseur de calcul AWS console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès approuvé à l'aide de la console Compute Optimizer**  
Vous devez vous connecter à la console Compute Optimizer à l'aide du compte de gestion de votre organisation. Inscrivez-vous au nom de votre organisation en suivant les instructions de la rubrique [Inscription à votre compte](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#account-opt-in) dans le *Guide de l'utilisateur Optimiseur de calcul AWS *.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Optimiseur de calcul AWS**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de Optimiseur de calcul AWS dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le Optimiseur de calcul AWS qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer Optimiseur de calcul AWS en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal compute-optimizer.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès approuvé avec Compute Optimizer
<a name="integrate-disable-ta-compute-optimizer"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec Optimiseur de calcul AWS.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver Optimiseur de calcul AWS en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal compute-optimizer.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour Compute Optimizer
<a name="integrate-enable-da-compute-optimizer"></a>

Lorsque vous désignez un compte membre comme administrateur délégué de l'organisation, les utilisateurs et les rôles du compte désigné peuvent gérer les métadonnées Compte AWS pour les autres comptes membres de l'organisation. Si vous n'activez pas de compte administrateur délégué, seul le compte de gestion de l'organisation peut effectuer ces tâches. Cela vous permet de séparer la gestion de l'organisation de celle des détails de votre compte.

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué de Compute Optimizer dans l'organisation.

Pour obtenir des instructions sur l'activation d'un compte d'administrateur délégué pour Compute Optimizer, consultez [https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html](https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html)dans le *Optimiseur de calcul AWS Guide de l'utilisateur*.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal compute-optimizer.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour Compute Optimizer
<a name="integrate-disable-da-compute-optimizer"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Compute Optimizer.

 Pour désactiver le compte administrateur délégué de Compute Optimizer à l'aide de la console Compute Optimizer, consultez [https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html](https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html) dans le*Optimiseur de calcul AWS Guide de l'utilisateur*.

 Pour supprimer un administrateur délégué à l'aide du AWS AWS CLI, reportez-vous [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)à la *référence des AWS AWS CLI commandes*.

# AWS Config et AWS Organizations
<a name="services-that-can-integrate-config"></a>

L'agrégation de données multicomptes et multirégions vous AWS Config permet d'agréger AWS Config les données de plusieurs comptes Régions AWS en un seul compte. Le regroupement de données multi-comptes et multi-régions est utile pour les administrateurs de l'informatique centrale pour la surveillance de la conformité de plusieurs Comptes AWS au sein de l'entreprise. Un agrégateur est un type de ressource AWS Config qui collecte des AWS Config données provenant de plusieurs comptes sources et régions. Créez un agrégateur dans la région où vous souhaitez voir les AWS Config données agrégées. Lors de la création d'un agrégateur, vous pouvez choisir d'ajouter un compte individuel IDs ou votre organisation. Pour plus d'informations à ce sujet AWS Config, consultez le [guide du AWS Config développeur](https://docs.aws.amazon.com/config/latest/developerguide/).

Vous pouvez également l'utiliser [AWS Config APIs](https://docs.aws.amazon.com/config/latest/APIReference/welcome.html)pour gérer les AWS Config règles dans l'ensemble Comptes AWS de votre organisation. Pour plus d'informations, consultez la section [Activation des AWS Config règles pour tous les comptes de votre organisation](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) dans le *guide du AWS Config développeur*.

Utilisez les informations suivantes pour vous aider AWS Config à intégrer AWS Organizations.



## Rôles liés à un service
<a name="integrate-enable-slr-config"></a>

Le [rôle lié au service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant permet d' AWS Config effectuer des opérations prises en charge dans les comptes de votre organisation. 
+ `AWSServiceRoleForConfig`

Pour en savoir plus sur la création de ce rôle, consultez [la section Permissions pour le rôle IAM attribué AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html) dans le guide du *AWS Config développeur*

*Pour en savoir plus sur l' AWS Config utilisation des rôles liés à un service, consultez la section [Utilisation des rôles liés à un service dans le manuel du développeur AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)AWS Config *

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre AWS Config et Organizations, ou si vous supprimez le compte membre de l'organisation.

## Permettre un accès fiable avec AWS Config
<a name="integrate-enable-ta-config"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Config console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Config console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Config d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Config. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Config console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès sécurisé à l'aide de la AWS Config console**  
Pour permettre un accès fiable à AWS Organizations l'utilisation AWS Config, créez un agrégateur multi-comptes et ajoutez l'organisation. *Pour plus d'informations sur la configuration d'un agrégateur multi-comptes, consultez la section [Création d'agrégateurs](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-create.html) dans le guide du AWS Config développeur.*

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Config**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Config dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Config qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Config en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal config.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AWS Config
<a name="integrate-disable-ta-config"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Config en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal config.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Hub d'optimisation des coûts AWS et AWS Organizations
<a name="services-that-can-integrate-coh"></a>

Hub d'optimisation des coûts AWS est une fonctionnalité AWS de Billing and Cost Management qui vous aide à consolider et à hiérarchiser les recommandations d'optimisation des coûts pour l'ensemble de vos AWS comptes et de vos AWS régions, afin que vous puissiez tirer le meilleur parti de vos AWS dépenses. Lorsque vous utilisez Cost Optimization Hub, AWS Organizations vous pouvez facilement identifier, filtrer et agréger les recommandations d'optimisation des AWS coûts sur les comptes membres et les AWS régions de votre Organisation. 

Pour plus d'informations, voir [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub.html) dans le *guide de AWS Cost Management l'utilisateur*.

Utilisez les informations suivantes pour vous aider Hub d'optimisation des coûts AWS à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-coh"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Cost Optimization Hub d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Cost Optimization Hub et Organizations, ou si vous supprimez le compte membre de l'organisation.

Pour plus d'informations, consultez la section [Autorisations de rôle liées à un service pour Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub-SLR.html#cost-optimization-hub-SLR-permissions) dans le guide de l'*AWS Cost Management utilisateur*.
+ `AWSServiceRoleForCostOptimizationHub`

## Principes de service utilisés par le Cost Optimization Hub
<a name="integrate-enable-svcprin-coh"></a>

Le hub d'optimisation des coûts utilise le principal `cost-optimization-hub.bcm.amazonaws.com` de service.

## Permettre un accès fiable avec Cost Optimization Hub
<a name="integrate-enable-ta-coh"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Lorsque vous choisissez d'utiliser le compte de gestion de votre organisation et que vous incluez tous les comptes membres de l'organisation, l'accès sécurisé au Cost Optimization Hub est automatiquement activé dans le compte de votre organisation. 

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Hub d'optimisation des coûts AWS**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de Hub d'optimisation des coûts AWS dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le Hub d'optimisation des coûts AWS qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer Hub d'optimisation des coûts AWS en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal cost-optimization-hub.bcm.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l’accès sécurisé
<a name="integrate-disable-ta-coh"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

**Important**  
 Si vous désactivez l'accès sécurisé au Cost Optimization Hub après vous être inscrit, le Cost Optimization Hub refuse l'accès aux recommandations relatives aux comptes membres de votre organisation. De plus, les comptes des membres de l'organisation ne sont pas intégrés au Cost Optimization Hub. Pour en savoir plus, [consultez Cost Optimization Hub et Organizations trusted access](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-trusted-access.html) dans le *guide de AWS Cost Management l'utilisateur*.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver Hub d'optimisation des coûts AWS en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal cost-optimization-hub.bcm.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour Cost Optimization Hub
<a name="integrate-enable-da-coh"></a>

Lorsque vous désignez un compte membre comme administrateur délégué de l'organisation, le compte désigné peut récupérer les recommandations du Cost Optimization Hub pour tous les comptes de votre organisation et gérer les préférences du Cost Optimization Hub, ce qui vous donne une plus grande flexibilité pour identifier de manière centralisée les opportunités d'optimisation des ressources. 

**Autorisations minimales**  
Seul un utilisateur ou un rôle du compte de gestion des Organisations disposant de l'autorisation suivante peut configurer un compte membre en tant qu'administrateur délégué du Cost Optimization Hub au sein de l'organisation :

Pour obtenir des instructions sur l'activation d'un compte administrateur délégué pour Cost Optimization Hub, voir [Déléguer un compte administrateur](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-delegated-admin.html) dans le *guide de AWS Cost Management l'utilisateur*. 

## Désactivation d'un administrateur délégué pour Cost Optimization Hub
<a name="integrate-disable-da-coh"></a>

 Seul un administrateur du compte de gestion des Organizations peut supprimer un administrateur délégué pour Cost Optimization Hub. 

Pour désactiver le compte administrateur délégué Cost Optimization Hub à l'aide de la console Cost Optimization Hub, voir [Déléguer un compte administrateur](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-delegated-admin.html) dans le *guide de AWS Cost Management l'utilisateur*.

 Pour supprimer un administrateur délégué à l'aide de la AWS CLI, consultez [https://docs.aws.amazon.com/cli/latest/](https://docs.aws.amazon.com/cli/latest/)la *référence de la AWS Config CLI*.

# AWS Control Tower et AWS Organizations
<a name="services-that-can-integrate-CTower"></a>

AWS Control Tower propose un moyen simple de configurer et de gérer un environnement AWS multi-comptes, en suivant les meilleures pratiques prescriptives. AWS Control Tower l'orchestration étend les capacités de. AWS Organizations AWS Control Tower applique des contrôles préventifs et de détection (garde-fous) pour empêcher que vos organisations et vos comptes ne s'écartent des meilleures pratiques (dérive).

AWS Control Tower l'orchestration étend les capacités de. AWS Organizations

Pour plus d'informations, consultez [le *guide de AWS Control Tower l'utilisateur*](https://docs.aws.amazon.com/controltower/latest/userguide/). 

Utilisez les informations suivantes pour vous aider AWS Control Tower à intégrer AWS Organizations.



## Rôles nécessaires à l'intégration
<a name="integrate-enable-roles-CTower"></a>

Le rôle `AWSControlTowerExecution` doit être présent dans tous les comptes inscrits. Il permet AWS Control Tower de gérer vos comptes individuels et de communiquer des informations les concernant à vos comptes d'audit et d'archivage des journaux. 

Pour en savoir plus sur les rôles utilisés par AWS Control Tower, consultez [Comment AWS Control Tower fonctionne avec les rôles pour créer et gérer des comptes et](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how) [Utiliser des politiques basées sur l'identité (politiques IAM](https://docs.aws.amazon.com/controltower/latest/userguide/access-control-managing-permissions.html)) pour. AWS Control Tower

## Principes de service utilisés par AWS Control Tower
<a name="integrate-enable-svcprin-CTower"></a>

AWS Control Tower utilise le principal `controltower.amazonaws.com` de service.

## Permettre un accès fiable avec AWS Control Tower
<a name="integrate-enable-ta-CTower"></a>

AWS Control Tower utilise un accès sécurisé pour détecter les dérives à des fins de contrôles préventifs et pour suivre les modifications des comptes et des unités d'organisation qui sont à l'origine de cette dérive.

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Pour activer l'accès de confiance à partir de la console Organizations, choisissez **Enable access** à côté de **AWS Control Tower**.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Control Tower en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AWS Control Tower
<a name="integrate-disable-ta-CTower"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

**Important**  
La désactivation AWS Control Tower de l'accès sécurisé entraîne une dérive dans votre zone AWS Control Tower d'atterrissage. La seule façon de corriger la dérive est d'utiliser le service de réparation de zone de destination de AWS Control Tower. La réactivation de l'accès sécurisé dans les organisations ne corrige pas le problème. [Pour en savoir plus sur les problèmes de dérive](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html), consultez le *Guide de l'utilisateur AWS Control Tower *.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Control Tower en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Amazon Detective et AWS Organizations
<a name="services-that-can-integrate-detective"></a>

Amazon Detective utilise vos données de journal pour générer des visualisations qui vous autorisent à analyser, examiner et identifier la cause racine des résultats de sécurité ou des activités suspectes. 

L'utilisation vous AWS Organizations permet de vous assurer que votre graphe de comportement de Detective fournit une visibilité sur l'activité de tous les comptes de votre organisation.

Lorsque vous accordez un accès approuvé à Detective, le service Detective peut réagir automatiquement aux modifications de l'appartenance à l'organisation. L'administrateur délégué peut activer n'importe quel compte d'organisation comme compte membre dans le graphique de comportement. Detective peut également activer automatiquement de nouveaux comptes d'organisation comme comptes membres. Les comptes d'organisation ne peuvent pas se dissocier du graphique de comportement.



Pour plus d’informations, consultez [Utilisation d'Amazon Detective dans votre organisation](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-transition.html) dans le *Guide d’administration Amazon Detective*. 

Utilisez les informations suivantes pour vous aider à intégrer Amazon Detective à AWS Organizations. 

## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-detective"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Detective d'effectuer les opérations prises en charge dans les comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Detective et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForDetective`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-detective"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Detective accordent l'accès aux principaux de service suivants :
+ `detective.amazonaws.com`

## Pour activer l'accès approuvé avec Detective
<a name="integrate-enable-ta-detective"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

**Note**  
Lorsque vous désignez un administrateur délégué pour Amazon Detective, il active automatiquement l'accès approuvé pour Detective pour votre organisation.  
Detective a besoin d' AWS Organizations un accès sécurisé pour que vous puissiez désigner un compte membre en tant qu'administrateur délégué de ce service pour votre organisation.

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Organizations console.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon Detective** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour Amazon Detective**, tapez **enable** pour le confirmer, puis choisissez **Enable trusted access**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Detective qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------

## Pour désactiver l'accès approuvé avec Detective
<a name="integrate-disable-ta-detective"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte de AWS Organizations gestion peut désactiver l'accès sécurisé avec Amazon Detective.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé à l'aide de la AWS Organizations console.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon Detective** dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de dialogue **Désactiver l'accès sécurisé pour Amazon Detective**, tapez **Disable** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Detective qu'il peut désormais désactiver ce service à l' AWS Organizations aide de la console de service ou des outils ;

------

## Activation d'un compte administrateur délégué pour Detective
<a name="integrate-enable-da-detective"></a>

Le compte d'administrateur délégué pour Detective est celui d'un graphique de comportement de Detective. L'administrateur délégué détermine les comptes d'organisation à activer et à désactiver comme comptes membres dans ce graphique de comportement. L'administrateur délégué peut configurer Detective pour qu’il active automatiquement les nouveaux comptes d'organisation comme comptes membres à mesure qu'ils sont ajoutés à l'organisation. Pour plus d'informations sur la manière dont un administrateur délégué gère les comptes d'organisation, consultez [Gestion des comptes d'organisation comme comptes membres](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-members.html) dans le *Guide d’administration Amazon Detective*.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Detective.

Vous pouvez spécifier un compte d'administrateur délégué à partir de l'API ou de la console Detective, ou en utilisant la CLI d’Organizations ou l’opération SDK. 

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre comme administrateur délégué de Detective dans l'organisation.

Pour configurer un administrateur délégué à l'aide de l’API ou de la console Detective, consultez [Désignation d'un compte d'administrateur Detective pour une organisation](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html) dans le *Guide d’administration Amazon Detective*.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal detective.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour Detective
<a name="integrate-disable-da-detective"></a>

Vous pouvez supprimer l'administrateur délégué à l'aide de l’API ou de la console Detective, ou à l'aide de la CLI Organizations `DeregisterDelegatedAdministrator` ou de l’opération SDK. Pour plus d'informations sur la suppression d’un administrateur délégué à l'aide de l’API ou de la console Detective, ou de l'API Organizations, consultez [Désignation d'un compte d'administrateur Detective pour une organisation](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html) dans le *Guide d’administration Amazon Detective*.

# Amazon DevOps Guru et AWS Organizations
<a name="services-that-can-integrate-devops"></a>

Amazon DevOps Guru analyse les données opérationnelles ainsi que les indicateurs et événements liés aux applications afin d'identifier les comportements qui s'écartent des modèles de fonctionnement normaux. Les utilisateurs sont avertis lorsque DevOps Guru détecte un problème ou un risque opérationnel. 

L'utilisation de DevOps Guru permet une assistance multi-comptes AWS Organizations, ce qui vous permet de désigner un compte membre pour gérer les informations sur l'ensemble de votre organisation. Cet administrateur délégué peut ensuite afficher, trier et filtrer les informations de tous les comptes de votre organisation afin de développer une vue globale de l'état de toutes les applications contrôlées dans votre organisation sans avoir besoin d’une personnalisation supplémentaire.

Pour plus d'informations, consultez la section [Surveiller les comptes au sein de votre organisation](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html) dans le *guide de l'utilisateur Amazon DevOps Guru*. 

Utilisez les informations suivantes pour vous aider à intégrer Amazon DevOps Guru à AWS Organizations. 

## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-devops"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à DevOps Guru d'effectuer des opérations prises en charge sur les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre DevOps Guru et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForDevOpsGuru`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-devops"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par DevOps Guru donnent accès aux principaux de service suivants :
+ `devops-guru.amazonaws.com` 

Pour plus d'informations, consultez la section [Utilisation de rôles liés à un service pour DevOps Guru](https://docs.aws.amazon.com//devops-guru/latest/userguide/using-service-linked-roles.html) dans le guide de *l'utilisateur Amazon DevOps Guru*. 

## Pour permettre un accès sécurisé avec DevOps Guru
<a name="integrate-enable-ta-devops"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

**Note**  
Lorsque vous désignez un administrateur délégué pour Amazon DevOps Guru, DevOps Guru autorise automatiquement un accès sécurisé à DevOps Guru pour votre organisation.  
DevOpsGuru a besoin d' AWS Organizations un accès sécurisé pour que vous puissiez désigner un compte membre comme administrateur délégué de ce service pour votre organisation.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils Amazon DevOps Guru pour permettre l'intégration avec Organizations. Cela permet à Amazon DevOps Guru d'effectuer toutes les configurations nécessaires, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Amazon DevOps Guru. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration). 

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Organizations console ou de la console DevOps Guru.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Sur la page **[Services](https://console.aws.amazon.com/organizations/v2/home/services)**, recherchez la ligne correspondant à **Amazon DevOps Guru**, choisissez le nom du service, puis sélectionnez **Activer l'accès sécurisé**.

1. Dans la boîte de dialogue de confirmation, activez **Show the option to enable trusted access (Afficher l'option pour activer l'accès approuvé)**, saisissez **enable** dans la zone, puis choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon DevOps Guru qu'il peut désormais activer ce service à l'aide de sa console AWS Organizations.

------
#### [ DevOps Guru console ]

**Pour activer un accès fiable aux services à l'aide de la console DevOps Guru**

1. Connectez-vous en tant qu'administrateur sur le compte de gestion et ouvrez la console DevOps Guru : console [Amazon DevOps Guru](https://console.aws.amazon.com//devops-guru/management-account) 

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

------

## Pour désactiver l'accès sécurisé avec DevOps Guru
<a name="integrate-disable-ta-devops"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé à Amazon DevOps Guru.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé à l'aide de la AWS Organizations console.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon DevOps Guru** dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de dialogue **Désactiver l'accès sécurisé pour Amazon DevOps Guru**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon DevOps Guru qu'il peut désormais désactiver ce service à l' AWS Organizations aide de la console de service ou des outils ;

------

## Activation d'un compte d'administrateur délégué pour DevOps Guru
<a name="integrate-enable-da-devops"></a>

Le compte administrateur délégué de DevOps Guru peut consulter les données d'information de tous les comptes membres intégrés à DevOps Guru par l'organisation. Pour plus d'informations sur la façon dont un administrateur délégué gère les comptes de l'organisation, consultez la section [Surveiller les comptes au sein de votre organisation](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html) dans le *guide de l'utilisateur Amazon DevOps Guru*. 

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour DevOps Guru.

Vous pouvez spécifier un compte d'administrateur délégué depuis la console DevOps Guru, ou en utilisant la `RegisterDelegatedAdministrator` CLI ou le SDK Organizations. 

**Autorisations minimales**  
Seul un utilisateur ou un rôle dans le compte de gestion de l'organisation peut configurer un compte membre en tant qu'administrateur délégué de DevOps Guru au sein de l'organisation

------
#### [ DevOps Guru console ]

**Pour configurer un administrateur délégué dans la console DevOps Guru**

1. Connectez-vous en tant qu'administrateur sur le compte de gestion et ouvrez la console DevOps Guru : console [Amazon DevOps Guru](https://console.aws.amazon.com//devops-guru/management-account) 

1. Choisissez **Register delegated administrator (Enregistrer l'administrateur délégué)**. Vous pouvez choisir un compte de gestion ou n’importe compte membre comme administrateur délégué.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal devops-guru.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

## Désactiver un administrateur délégué pour Guru DevOps
<a name="integrate-disable-da-devops"></a>

 Vous pouvez supprimer l'administrateur délégué à l'aide de la console DevOps Guru, de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations. Pour savoir comment supprimer un administrateur délégué à l'aide de la console DevOps Guru, consultez la section [Surveiller les comptes au sein de votre organisation](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html) dans le *guide de l'utilisateur Amazon DevOps Guru*. 

# AWS Directory Service et AWS Organizations
<a name="services-that-can-integrate-directory-service"></a>

AWS Directory Service pour Microsoft Active Directory AWS Managed Microsoft AD, ou vous permet d'exécuter Microsoft Active Directory (AD) en tant que service géré. AWS Directory Service facilite la configuration et l'exécution d'annuaires dans le AWS cloud ou la connexion de vos AWS ressources à un répertoire Microsoft Active Directory existant sur site. AWS Managed Microsoft AD s'intègre également étroitement AWS Organizations pour permettre un partage de répertoires fluide entre plusieurs VPC Comptes AWS et n'importe quel VPC d'une région. Pour plus d'informations, consultez le [Guide d'administration AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

Pour partager un fichier Directory Service au sein d'une organisation, **toutes les fonctionnalités** de l'organisation doivent être activées et le répertoire doit se trouver dans le compte de gestion de l'organisation.

Utilisez les informations suivantes pour vous aider AWS Directory Service à intégrer AWS Organizations.



## Permettre un accès fiable avec Directory Service
<a name="integrate-enable-ta-directory-service"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Directory Service console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Directory Service console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Directory Service d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Directory Service. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Directory Service console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès sécurisé à l'aide de la Directory Service console**  
Pour partager un annuaire, ce qui active automatiquement l'accès approuvé, consultez [Partager votre annuaire](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html) dans le *Guide d'administration AWS Directory Service *. Pour step-by-step obtenir des instructions, voir [Tutoriel : Partage de votre annuaire Microsoft AD AWS géré](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Organizations console.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Directory Service**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Directory Service dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour le confirmer, puis choisissez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Directory Service qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------

## Désactiver l'accès sécurisé avec Directory Service
<a name="integrate-disable-ta-directory-service"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

 Si vous désactivez l'accès sécurisé AWS Organizations pendant que vous l'utilisez Directory Service, tous les répertoires précédemment partagés continuent de fonctionner normalement. Toutefois, vous ne pouvez plus partager de nouveaux annuaires au sein de l'organisation tant que vous n'avez pas réactivé l'accès approuvé.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé à l'aide de la AWS Organizations console.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Directory Service**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS Directory Service dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez l'administrateur AWS Directory Service qu'il peut désormais désactiver le fonctionnement de ce service à AWS Organizations l'aide de la console de service ou des outils ;.

------

# Amazon Elastic Compute Cloud et AWS Organizations
<a name="services-that-can-integrate-ec2"></a>

Amazon Elastic Compute Cloud fournit une capacité de calcul évolutive à la demande dans le AWS cloud. [Lorsque vous utilisez Amazon EC2 avec des organisations, vous permettez à l'administrateur des organisations de créer un rapport indiquant la configuration existante des comptes au sein de leur organisation après avoir utilisé la fonctionnalité Declarative Policies d'Amazon EC2.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) 

Utilisez les informations suivantes pour vous aider à intégrer Amazon Elastic Compute Cloud à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-ec2"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Amazon EC2 d'effectuer des opérations prises en charge au sein des comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Amazon EC2 et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForDeclarativePoliciesEC2Report`

## Principaux de service utilisés par Amazon EC2
<a name="integrate-enable-svcprin-ec2"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Amazon EC2 accordent l'accès aux principaux de service suivants :
+ `ec2.amazonaws.com`

## Permettre un accès fiable avec Amazon EC2
<a name="integrate-enable-ta-ec2"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Pour permettre à l'administrateur des Organisations de créer un rapport indiquant la configuration existante des comptes au sein de son organisation, vous devez activer l'accès sécurisé. 

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Declarative Policy for EC2** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour la politique déclarative pour EC2**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Elastic Compute Cloud qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer Amazon Elastic Compute Cloud en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ec2.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l’accès sécurisé
<a name="integrate-disable-ta-ec2"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver Amazon Elastic Compute Cloud en tant que service de confiance auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ec2.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Gestionnaire de capacité EC2 et AWS Organizations
<a name="services-that-can-integrate-ec2-capacity-manager"></a>

EC2 Capacity Manager est une nouvelle interface utilisateur associée à des API qui vous permettent d'agréger, de visualiser, d'analyser et de gérer l'utilisation de vos capacités dans le cadre des réservations EC2 On-Demand, Spot et Capacity. Lorsque vous accordez un accès sécurisé à EC2 Capacity Manager à votre AWS organisation, le service obtient l'autorisation de lire les informations relatives aux membres de l'organisation sur tous les comptes des membres. Plus précisément, Capacity Manager effectue les actions suivantes sur les comptes membres : il collecte les données d'utilisation d'EC2 (y compris les instances à la demande, les instances ponctuelles et les réservations de capacité) auprès de tous les comptes membres pour les agréger dans des rapports de capacité et des tableaux de bord à l'échelle de l'organisation. Le service ne modifie pas les ressources ni les configurations des comptes des membres. Il ne lit que les données de télémétrie d'utilisation déjà collectées par. AWS Cela permet aux administrateurs de l'organisation de visualiser l'utilisation consolidée des capacités, de prévoir les besoins futurs et d'optimiser l'allocation des ressources dans l'ensemble de leur organisation à partir d'un tableau de bord unique. Pour plus d'informations, consultez [EC2 Capacity Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-manager.html) dans le guide de l'*utilisateur Amazon EC2.* 

Utilisez les informations suivantes pour vous aider à intégrer EC2 Capacity Manager à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-ec2-capacity-manager"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à EC2 Capacity Manager d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre EC2 Capacity Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.

Le rôle lié au service suivant est créé dans le compte de gestion lorsque vous activez l'accès sécurisé. Ce rôle permet à EC2 Capacity Manager d'effectuer des tâches au sein de votre organisation et de ses comptes en votre nom.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre EC2 Capacity Manager et AWS Organizations, ou si vous supprimez le compte membre de l'organisation. Pour plus d'informations, consultez [Utilisation de rôles liés à un service pour EC2 Capacity Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-service-linked-roles-cm.html) et [politique AWS gérée : AWSEC2 CapacityManagerServiceRolePolicy](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSEC2CapacityManagerServiceRolePolicy) dans le guide de l'utilisateur *Amazon* EC2.
+ `AWSServiceRoleForEC2CapacityManager`— Permet à EC2 Capacity Manager d'accéder aux AWS services et aux ressources utilisés ou gérés par EC2 Capacity Manager en votre nom.

## Principaux de service utilisés par EC2 Capacity Manager
<a name="integrate-enable-svcprin-ec2-capacity-manager"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par EC2 Capacity Manager accordent l'accès aux principaux de service suivants :
+ `ec2.capacitymanager.amazonaws.com`

## Permettre un accès fiable avec EC2 Capacity Manager
<a name="integrate-enable-ta-ec2-capacity-manager"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Lorsque vous accordez un accès sécurisé à EC2 Capacity Manager à votre AWS organisation, le service obtient l'autorisation de lire les informations relatives aux membres de l'organisation sur tous les comptes des membres. Cela permet aux administrateurs de l'organisation de visualiser l'utilisation consolidée des capacités, de prévoir les besoins futurs et d'optimiser l'allocation des ressources dans l'ensemble de leur organisation à partir d'un tableau de bord unique. 

Vous pouvez activer l'accès sécurisé à l'aide de la console EC2 Capacity Manager ou de la AWS Organizations console.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils EC2 Capacity Manager pour permettre l'intégration avec Organizations. Cela permet à EC2 Capacity Manager d'effectuer toutes les configurations requises, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par EC2 Capacity Manager. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la console ou des outils EC2 Capacity Manager, vous n'avez pas besoin de suivre ces étapes.

Pour activer un accès sécurisé depuis la console EC2 Capacity Manager, connectez-vous en tant qu'administrateur au compte de gestion et ouvrez la console Amazon EC2. Accédez à Capacity Manager, puis à l'onglet Paramètres. Dans la section Accès sécurisé, choisissez **Gérer l'accès sécurisé** pour l'activer.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **EC2 Capacity Manager** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour EC2 Capacity Manager**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'EC2 Capacity Manager qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer EC2 Capacity Manager en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ec2.capacitymanager.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l’accès sécurisé
<a name="integrate-disable-ta-ec2-capacity-manager"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Pour désactiver l'accès sécurisé depuis la console EC2 Capacity Manager, accédez à l'onglet Paramètres d'Amazon EC2 Capacity Manager. Dans la section Accès sécurisé, choisissez **Gérer l'accès sécurisé** pour le désactiver. Remarque : Tous les administrateurs délégués doivent être supprimés avant de désactiver l'accès sécurisé.

Vous pouvez désactiver l'accès sécurisé à l'aide du gestionnaire de capacités EC2 ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils EC2 Capacity Manager pour désactiver l'intégration avec Organizations. Cela permet à EC2 Capacity Manager d'effectuer tout nettoyage dont il a besoin, par exemple en supprimant des ressources ou en accédant à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par EC2 Capacity Manager.  
Si vous désactivez l'accès sécurisé à l'aide de la console ou des outils EC2 Capacity Manager, vous n'avez pas besoin de suivre ces étapes.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver EC2 Capacity Manager en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour EC2 Capacity Manager
<a name="integrate-enable-da-ec2-capacity-manager"></a>

Un administrateur délégué d'EC2 Capacity Manager peut gérer Capacity Manager pour votre organisation sans utiliser le compte de gestion. Les administrateurs délégués ont la capacité d'activer la gestion des capacités au niveau de l'organisation, de consulter les données de capacité de tous les comptes membres, de modifier les paramètres entre le niveau du compte et celui de l'organisation, et de gérer les prévisions de capacité pour l'ensemble de l'organisation. Pour plus d'informations, consultez la section [Administrateurs délégués pour EC2 Capacity Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html) dans le guide de l'*utilisateur Amazon EC2.*

**Autorisations minimales**  
Seul un administrateur du compte de gestion des Organizations peut configurer un administrateur délégué pour EC2 Capacity Manager.

Vous pouvez spécifier un compte d'administrateur délégué à l'aide de la console EC2 Capacity Manager en accédant à Paramètres et en gérant les administrateurs délégués, ou en utilisant la `RegisterDelegatedAdministrator` CLI ou le SDK Organizations. Pour configurer un administrateur délégué à l'aide de la console EC2 Capacity Manager, consultez la section [Ajouter un administrateur délégué](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#add-capacity-manager-da) dans le guide de l'*utilisateur Amazon EC2*.

------
#### [ AWS CLI, AWS API ]

Vous pouvez enregistrer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des options AWS SDKs suivantes :
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  ```
  $ aws organizations register-delegated-administrator \
      --account-id ACCOUNT_ID \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```
+ AWS API : [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)

------

## Désactivation d'un compte d'administrateur délégué pour EC2 Capacity Manager
<a name="integrate-disable-da-ec2-capacity-manager"></a>

Seul un administrateur du compte de gestion des Organisations ou du compte administrateur délégué d'EC2 Capacity Manager peut supprimer un compte d'administrateur délégué de l'organisation. Vous pouvez supprimer un administrateur délégué à l'aide de la console EC2 Capacity Manager en choisissant **Supprimer l'administrateur délégué** dans l'onglet Paramètres, ou en utilisant la `DeregisterDelegatedAdministrator` CLI ou le SDK Organizations. Pour supprimer un administrateur délégué à l'aide de la console EC2 Capacity Manager, consultez la section [Supprimer un administrateur délégué](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#remove-capacity-manager-da) dans le guide de l'*utilisateur Amazon EC2*.

------
#### [ AWS CLI, AWS API ]

Vous pouvez supprimer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des options AWS SDKs suivantes :
+ AWS CLI: [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)

  ```
  $ aws organizations deregister-delegated-administrator \
      --account-id ACCOUNT_ID \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```
+ AWS API : [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)

------

# Amazon Elastic Kubernetes Service et AWS Organizations
<a name="services-that-can-integrate-eks"></a>

Le tableau de bord Amazon Elastic Kubernetes Service est un tableau de bord consolidé que vous pouvez utiliser pour surveiller, gérer et améliorer la visibilité de vos clusters Kubernetes dans plusieurs régions et comptes. AWS AWS Le tableau de bord EKS vous fournit un contrôle complet et des informations sur votre infrastructure Amazon EKS via une interface centralisée.

Le tableau de bord Amazon Elastic Kubernetes Service vous permet de suivre les clusters dont les mises à niveau sont planifiées, les coûts du plan de contrôle du projet, de consulter les informations relatives aux clusters et de surveiller la distribution des groupes de nœuds au sein de votre organisation. Vos AWS administrateurs peuvent consulter les données agrégées sur les ressources du cluster, notamment l'état de santé, la distribution des versions et les configurations des modules complémentaires via différentes options de visualisation, notamment des graphiques, des listes de ressources et des cartes géographiques. Le tableau de bord s'intègre aux AWS Organizations pour fournir une visibilité sécurisée entre comptes et entre régions de vos ressources EKS.

Utilisez les informations suivantes pour vous aider à intégrer Amazon Elastic Kubernetes Service à. AWS Organizations



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-eks"></a>

 Le rôle lié au service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès sécurisé à l'aide de la console Amazon Elastic Kubernetes Service. Ce rôle permet à Amazon EKS d'effectuer des opérations prises en charge sur les comptes de votre organisation au sein de votre organisation. Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Amazon Elastic Kubernetes Service et Organizations. 

Si vous activez l'accès sécurisé directement depuis la console Organizations, la CLI ou le SDK, le rôle lié au service n'est pas créé automatiquement. 
+ `AWSServiceRoleForAmazonEKSDashboard`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-eks"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Amazon EKS donnent accès aux principaux de service suivants :
+ `dashboard.eks.amazonaws.com`

## Permettre un accès fiable avec Amazon EKS
<a name="integrate-enable-ta-eks"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

**Pour activer un accès sécurisé à l'aide de la console Amazon EKS**  
Consultez la section [Activer l'accès sécurisé](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_enable_trusted_access) dans le *guide de l'utilisateur Amazon EKS*.

## Désactivation de l'accès sécurisé avec Amazon EKS
<a name="integrate-disable-ta-eks"></a>

**Pour désactiver l'accès sécurisé à l'aide de la console Amazon EKS**  
Consultez la section [Désactiver l'accès sécurisé](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_disable_trusted_access) dans le *guide de l'utilisateur Amazon EKS*.

## Activation d'un compte d'administrateur délégué pour Amazon EKS
<a name="integrate-enable-da-eks"></a>

L'administrateur du compte de gestion peut déléguer les autorisations administratives Amazon EKS à un compte membre désigné appelé administrateur délégué. 

Les comptes de gestion et les comptes d'administrateur délégué peuvent consulter le tableau de bord Amazon EKS.

**Pour activer un compte d'administrateur délégué**  
Consultez la section [Activer un compte d'administrateur délégué](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_enable_a_delegated_administrator_account) dans le *guide de l'utilisateur Amazon EKS*.

## Désactivation d'un administrateur délégué pour Amazon EKS
<a name="integrate-disable-da-eks"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Amazon EKS.

**Pour désactiver un compte d'administrateur délégué**  
Consultez la section [Désactiver un compte d'administrateur délégué](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_disable_a_delegated_administrator_account) dans le *guide de l'utilisateur Amazon EKS*.

# AWS Firewall Manager et AWS Organizations
<a name="services-that-can-integrate-fms"></a>

AWS Firewall Manager est un service de gestion de la sécurité que vous utilisez pour configurer et gérer de manière centralisée les règles de pare-feu et autres protections au Comptes AWS sein des applications de votre entreprise. À l'aide de Firewall Manager, vous pouvez déployer des AWS WAF règles, créer AWS Shield Advanced des protections, configurer et auditer les groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) et déployer AWS Network Firewall des Utilisez Firewall Manager pour configurer vos protections une seule fois et les appliquer automatiquement à l'ensemble des comptes et des ressources de votre organisation, même lorsque de nouvelles ressources et de nouveaux comptes sont ajoutés. Pour plus d'informations à ce sujet AWS Firewall Manager, consultez le *[guide du AWS Firewall Manager développeur](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)*.

Utilisez les informations suivantes pour vous aider AWS Firewall Manager à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-fms"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Firewall Manager d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Firewall Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForFMS`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-fms"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Firewall Manager autorisent l'accès aux mandataires de service suivants :
+ `fms.amazonaws.com`

## Activation de l'accès approuvé avec Firewall Manager
<a name="integrate-enable-ta-fms"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Firewall Manager console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Firewall Manager console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Firewall Manager d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Firewall Manager. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Firewall Manager console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Vous devez vous connecter avec votre compte AWS Organizations de gestion et configurer un compte au sein de l'organisation en tant que compte AWS Firewall Manager administrateur. Pour de plus amples informations, consultez [Définir le compte administrateur AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html) dans le *Guide développeur AWS Firewall Manager *.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Firewall Manager**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Firewall Manager dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Firewall Manager qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Firewall Manager en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal fms.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès approuvé avec Firewall Manager
<a name="integrate-disable-ta-fms"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous pouvez désactiver l'accès sécurisé à l'aide des outils AWS Firewall Manager ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Firewall Manager console ou les outils pour désactiver l'intégration avec Organizations. Cela permet AWS Firewall Manager d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par AWS Firewall Manager.  
Si vous désactivez l'accès sécurisé à l'aide de la AWS Firewall Manager console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour désactiver l'accès approuvé à l'aide de la console Firewall Manager**  
*Vous pouvez modifier ou révoquer le compte AWS Firewall Manager administrateur en suivant les instructions de la section [Désignation d'un autre compte comme compte AWS Firewall Manager administrateur dans le guide](https://docs.aws.amazon.com/waf/latest/developerguide/fms-change-administrator.html) du AWS Firewall Manager développeur.*

Si vous révoquez le compte administrateur, vous devez vous connecter au compte AWS Organizations de gestion et créer un nouveau compte administrateur pour AWS Firewall Manager.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Firewall Manager**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS Firewall Manager dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Firewall Manager qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Firewall Manager en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal fms.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour Firewall Manager
<a name="integrate-enable-da-fms"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Firewall Manager qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Firewall Manager.

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué pour Firewall Manager dans l'organisation.

Pour savoir comment désigner un compte membre en tant qu'administrateur de Firewall Manager pour l'organisation, consultez la section [Définir le compte AWS Firewall Manager administrateur](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html) dans le *Guide du AWS Firewall Manager développeur*.

# Amazon GuardDuty et AWS Organizations
<a name="services-that-can-integrate-guardduty"></a>

Amazon GuardDuty est un service de surveillance continue de la sécurité qui analyse et traite diverses sources de données, en utilisant des flux de renseignements sur les menaces et l'apprentissage automatique pour identifier les activités inattendues, potentiellement non autorisées et malveillantes au sein de votre AWS environnement. Cela peut inclure des problèmes tels que l'augmentation des privilèges, l'utilisation d'informations d'identification divulguées, la communication avec des adresses IP ou des domaines malveillants URLs, ou la présence de logiciels malveillants sur vos instances Amazon Elastic Compute Cloud et vos charges de travail de conteneur. 

Vous pouvez contribuer à simplifier la gestion en GuardDuty utilisant Organizations pour gérer GuardDuty tous les comptes de votre organisation.

Pour plus d'informations, consultez [la section Gestion GuardDuty des comptes AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) dans le *guide de GuardDuty l'utilisateur Amazon*

Utilisez les informations suivantes pour vous aider à intégrer Amazon GuardDuty à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-guardduty"></a>

 Les rôles liés à un service suivant sont automatiquement créés dans le compte de gestion de votre organisation lorsque vous activez l'accès de confiance. Ces rôles permettent d' GuardDuty effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation. Vous ne pouvez supprimer un rôle que si vous désactivez l'accès sécurisé entre GuardDuty et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ Le rôle `AWSServiceRoleForAmazonGuardDuty` lié à un service est automatiquement créé dans les comptes intégrés à GuardDuty Organizations. Pour plus d'informations, consultez [la section Gestion des GuardDuty comptes auprès d'Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) dans le *guide de GuardDuty l'utilisateur Amazon*
+ Le rôle `AmazonGuardDutyMalwareProtectionServiceRolePolicy` lié au service est automatiquement créé dans les comptes qui ont activé la protection contre les GuardDuty programmes malveillants. Pour plus d'informations, consultez la section [Autorisations de rôle liées à un service pour la protection contre les GuardDuty logiciels malveillants](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html) dans le guide de l'utilisateur *Amazon GuardDuty *

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-guardduty"></a>
+ `guardduty.amazonaws.com`, utilisé par le rôle lié à un service `AWSServiceRoleForAmazonGuardDuty`.
+ `malware-protection.guardduty.amazonaws.com`, utilisé par le rôle lié à un service `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.

## Permettre un accès fiable avec GuardDuty
<a name="integrate-enable-ta-guardduty"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide d'Amazon GuardDuty.

Amazon a GuardDuty besoin d'un AWS Organizations accès sécurisé pour que vous puissiez désigner un compte membre comme GuardDuty administrateur de votre organisation. Si vous configurez un administrateur délégué à l'aide de la GuardDuty console, l'accès sécurisé est GuardDuty automatiquement activé pour vous. 

Toutefois, si vous souhaitez configurer un compte d'administrateur délégué à l'aide du AWS CLI ou de l'un des AWS SDKs, vous devez appeler explicitement l'opération [Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) et fournir le principal de service en tant que paramètre. Ensuite, vous pouvez appeler [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)pour déléguer le compte GuardDuty administrateur.

## Désactiver l'accès sécurisé avec GuardDuty
<a name="integrate-disable-ta-guardduty"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver Amazon GuardDuty en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal guardduty.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour GuardDuty
<a name="integrate-enable-da-guardduty"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour GuardDuty qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de GuardDuty.

**Autorisations minimales**  
Pour plus d'informations sur les autorisations requises pour désigner un compte membre en tant qu'administrateur délégué, consultez la section [Autorisations requises pour désigner un administrateur délégué](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions) dans le *guide de GuardDuty l'utilisateur Amazon*

**Pour désigner un compte membre en tant qu'administrateur délégué pour GuardDuty**  
Consultez [Désigner un administrateur délégué et ajouter des comptes membres (console)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console) et [Désigner un administrateur délégué et ajouter des comptes membres (API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api)

# AWS Health et AWS Organizations
<a name="services-that-can-integrate-health"></a>

AWS Health fournit une visibilité continue sur les performances de vos ressources et sur la disponibilité de vos comptes Services AWS et de vos comptes. AWS Health organise des événements lorsque vos AWS ressources et services sont affectés par un problème ou seront affectés par des modifications à venir. Une fois que vous avez activé la vue organisationnelle, un utilisateur du compte de gestion de l'organisation peut agréger les AWS Health événements de tous les comptes de l'organisation. La vue organisationnelle affiche uniquement AWS Health les événements diffusés après l'activation de la fonctionnalité et les conserve pendant 90 jours. 

Vous pouvez activer la vue organisationnelle à l'aide de la AWS Health console, du AWS Command Line Interface (AWS CLI) ou de l' AWS Health API. 

Pour plus d'informations, consultez la section [Agrégation d' AWS Health événements](https://docs.aws.amazon.com/health/latest/ug/aggregate-events.html) dans le *guide de l'AWS Health utilisateur*.

Utilisez les informations suivantes pour vous aider AWS Health à intégrer AWS Organizations.



## Rôles liés aux services pour l'intégration
<a name="integrate-enable-slr-health"></a>

Le rôle `AWSServiceRoleForHealth_Organizations` lié à un service permet d' AWS Health effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Ce rôle est créé automatiquement dans le compte de gestion de votre organisation lorsque vous activez l'accès sécurisé en appelant l'opération [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html)API. Sinon, créez le rôle à l'aide de la AWS Health console, de l'API ou de la CLI, comme décrit dans la section [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le guide de l'utilisateur [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre AWS Health et Organizations, ou si vous supprimez le compte membre de l'organisation.

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-health"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par AWS Health accordent l'accès aux principaux de service suivants :
+ `health.amazonaws.com`

## Permettre un accès fiable avec AWS Health
<a name="integrate-enable-ta-health"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Lorsque vous activez la fonctionnalité d'affichage organisationnel pour AWS Health, l'accès sécurisé est également activé automatiquement pour vous.

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Health console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Health console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Health d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Health. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Health console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès sécurisé à l'aide de la AWS Health console**  
Vous pouvez activer l'accès sécurisé AWS Health en utilisant l'une des options suivantes :
+ Utilisez la AWS Health console. Pour de plus amples informations, consultez [Vue organisationnelle (console)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html) dans le *Guide de l'utilisateur AWS Health *. 
+ Utilisez la AWS CLI. Pour de plus amples informations, consultez [Vue organisationnelle (CLI)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-from-aws-command-line.html) dans le *Guide de l'utilisateur AWS Health *. 
+ Appelez l'opération de l'API [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html).

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Health en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal health.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AWS Health
<a name="integrate-disable-ta-health"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Une fois que vous avez désactivé la fonctionnalité d'affichage organisationnel, AWS Health arrête d'agréger les événements pour tous les autres comptes de votre organisation. Cela désactive également automatiquement l'accès approuvé pour vous. 

Vous pouvez désactiver l'accès sécurisé à l'aide des outils AWS Health ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Health console ou les outils pour désactiver l'intégration avec Organizations. Cela permet AWS Health d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par AWS Health.  
Si vous désactivez l'accès sécurisé à l'aide de la AWS Health console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour désactiver l'accès sécurisé à l'aide de la AWS Health console**  
Vous pouvez désactiver l'accès approuvé à l'aide de l'une des options suivantes :
+ Utilisez la AWS Health console. Pour de plus amples informations, consultez [Désactivation de la vue organisationnelle (console)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html#disabling-organizational-view-console) dans le *Guide de l'utilisateur AWS Health *.
+ Utilisez l' AWS CLI. Pour de plus amples informations, consultez [Désactivation de la vue organisationnelle (CLI)](https://docs.aws.amazon.com//health/latest/ug/enable-organizational-view-from-aws-command-line.html#disabling-organizational-view) dans le *Guide de l'utilisateur AWS Health *. 
+ Appelez l'opération de l'API [DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html).

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Health en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal health.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour AWS Health
<a name="integrate-enable-da-health"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour AWS Health qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de AWS Health.

**Pour désigner un compte membre en tant qu'administrateur délégué pour AWS Health**  
Consultez [Enregistrer un administrateur délégué pour votre vue organisationnelle](https://docs.aws.amazon.com/health/latest/ug/delegated-administrator-organizational-view.html#register-a-delegated-administrator)

**Pour supprimer un administrateur délégué pour AWS Health**  
Consultez [Supprimer un administrateur délégué de votre vue organisationnelle](https://docs.aws.amazon.com/health/latest/ug/delegated-administrator-organizational-view.html#remove-a-delegated-administrator)

# Gestion des identités et des accès AWS et AWS Organizations
<a name="services-that-can-integrate-iam"></a>

Gestion des identités et des accès AWS est un service Web permettant de contrôler de manière sécurisée l'accès aux AWS services. 

Vous pouvez utiliser les [données sur les services consultés en dernier](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) dans IAM pour vous aider à mieux comprendre les activités AWS au sein de votre organisation. Vous pouvez utiliser ces données pour créer et mettre à jour des [politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md) qui limitent l'accès aux seuls AWS services utilisés par les comptes de votre organisation. 

Pour obtenir un exemple, consultez [Utilisation des données pour affiner les autorisations d'une unité d'organisation](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs) dans le *Guide de l'utilisateur IAM*.

IAM vous permet de gérer de manière centralisée les informations d'identification des utilisateurs root et d'effectuer des tâches privilégiées sur les comptes des membres. Une fois que vous avez activé la gestion de l'accès root, qui permet un accès sécurisé pour IAM in AWS Organizations, vous pouvez sécuriser de manière centralisée les informations d'identification de l'utilisateur root des comptes membres. Les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine. Le compte de gestion ou un compte d'administrateur délégué pour IAM peut également effectuer certaines tâches privilégiées sur les comptes des membres en utilisant un accès root à court terme. Les sessions privilégiées de courte durée vous fournissent des informations d’identification temporaires que vous pouvez définir pour effectuer des actions privilégiées sur un compte membre de votre organisation. 

Pour plus d’informations, consultez [Gestion centralisée de l’accès racine pour les comptes membres](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management) dans le *Guide de l’utilisateur  IAM*. 

Utilisez les informations suivantes pour vous aider Gestion des identités et des accès AWS à intégrer AWS Organizations. 

## Permettre un accès fiable avec IAM
<a name="integrate-enable-ta-iam"></a>

Lorsque vous activez la gestion de l'accès root, l'accès sécurisé est activé pour IAM in AWS Organizations. 

## Désactivation de l'accès sécurisé avec IAM
<a name="integrate-disable-ta-iam"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec Gestion des identités et des accès AWS.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Gestion des identités et des accès AWS**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de Gestion des identités et des accès AWS dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le Gestion des identités et des accès AWS qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver Gestion des identités et des accès AWS en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal iam.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour IAM
<a name="integrate-enable-da-iam"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué de l'organisation, les utilisateurs et les rôles associés à ce compte peuvent effectuer des tâches privilégiées sur les comptes membres qui, autrement, ne peuvent être effectuées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Pour plus d'informations, voir [Exécuter une tâche privilégiée sur le compte d'un membre d'une](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user-privileged-task.html) Organisation dans le Guide de l'utilisateur d'IAM.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour IAM.

Vous pouvez spécifier un compte d'administrateur délégué à partir de la console IAM ou de l'API, ou à l'aide de la CLI ou du SDK Organizations. 

## Désactivation d'un administrateur délégué pour IAM
<a name="integrate-disable-da-iam"></a>

Seul un administrateur du compte de gestion Organizations ou du compte d'administrateur délégué IAM peut supprimer un compte d'administrateur délégué de l'organisation. Vous pouvez désactiver l'administration déléguée à l'aide de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations.

# Amazon Inspector et AWS Organizations
<a name="services-that-can-integrate-inspector2"></a>

Amazon Inspector est un service automatisé de gestion des vulnérabilités qui analyse continuellement les charges de travail Amazon EC2 et de conteneur pour détecter les vulnérabilités logicielles et l'exposition involontaire au réseau. 

À l'aide d'Amazon Inspector, vous pouvez gérer plusieurs comptes associés en AWS Organizations déléguant simplement un compte administrateur à Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple : 
+ Activer ou désactiver les analyses pour les comptes membres
+ Afficher les données de résultats agrégées de l'ensemble de l'organisation
+ Créer et gérer les règles de suppression

Pour plus d’informations, consultez [Gestion de plusieurs comptes avec AWS Organizations](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html) dans le *Guide de l'utilisateur Amazon Inspector*. 

Utilisez les informations suivantes pour vous aider à intégrer Amazon Inspector à AWS Organizations. 

## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-inspector2"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Amazon Inspector d'effectuer les opérations prises en charge dans les comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Amazon Inspector et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForAmazonInspector2`

Pour plus d'informations, consultez [Utilisation des rôles liés à un service avec Amazon Inspector](https://docs.aws.amazon.com//inspector/latest/user/using-service-linked-roles.html) dans le *Guide de l'utilisateur Amazon Inspector*. 

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-inspector2"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Amazon Inspector accordent l'accès aux principaux de service suivants :
+ `inspector2.amazonaws.com`

## Pour activer l'accès approuvé avec Amazon Inspector
<a name="integrate-enable-ta-inspector2"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Amazon Inspector a besoin d'un AWS Organizations accès sécurisé pour que vous puissiez désigner un compte membre en tant qu'administrateur délégué de ce service pour votre organisation.

Lorsque vous désignez un administrateur délégué pour Amazon Inspector, il active automatiquement l'accès approuvé pour Amazon Inspector pour votre organisation.

 Toutefois, si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous devez appeler explicitement l'`EnableAWSServiceAccess`opération et fournir le principal de service en tant que paramètre. Vous pouvez ensuite appeler `EnableDelegatedAdminAccount` pour déléguer le compte administrateur Inspector.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer Amazon Inspector en tant que service fiable auprès d'Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

**Note**  
Si vous utilisez l'API `EnableAWSServiceAccess`, vous devez également appeler [https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html) pour déléguer le compte administrateur Inspector.

## Pour désactiver l'accès approuvé avec Amazon Inspector
<a name="integrate-disable-ta-inspector2"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec Amazon Inspector.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver Amazon Inspector en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour Amazon Inspector
<a name="integrate-enable-da-inspector2"></a>

Avec Amazon Inspector, vous pouvez gérer plusieurs comptes au sein d'une organisation à l'aide d'un administrateur délégué avec AWS Organizations service.

Le compte AWS Organizations de gestion désigne un compte au sein de l'organisation en tant que compte d'administrateur délégué pour Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple : activer ou désactiver les analyses des comptes membres, afficher les données de résultats agrégées de l'ensemble de l'organisation, puis créer et gérer des règles de suppression

 Pour plus d'informations sur la manière dont un administrateur délégué gère les comptes d'organisation, consultez [Présentation de la relation entre les comptes administrateur et membres](https://docs.aws.amazon.com//inspector/latest/user/admin-member-relationship.html) dans le *Guide de l'utilisateur Amazon Inspector*.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Amazon Inspector.

Vous pouvez spécifier un compte d'administrateur délégué à partir de l’API ou de la console Amazon Inspector ou en utilisant la CLI Organizations ou l'opération SDK. 

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué d'Amazon Inspector dans l'organisation.

Pour configurer un administrateur délégué à l'aide de la console Amazon Inspector, consultez [Étape 1 : Activer Amazon Inspector - Environnement à plusieurs-comptes](https://docs.aws.amazon.com//inspector/latest/user/getting_started_tutorial.html#tutorial_enable_scans) dans le *Guide de l'utilisateur Amazon Inspector*.

**Note**  
Vous devez appeler `inspector2:enableDelegatedAdminAccount` dans chaque région où vous utilisez Amazon Inspector.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour Amazon Inspector
<a name="integrate-disable-da-inspector2"></a>

Seul un administrateur du compte AWS Organizations de gestion peut supprimer un compte d'administrateur délégué de l'organisation. 

Vous pouvez supprimer l'administrateur délégué à l'aide de l’API ou de la console Amazon Inspector, ou à l'aide de la CLI `DeregisterDelegatedAdministrator` Organizations ou de l’opération SDK. Pour supprimer un administrateur délégué à l'aide de la console Amazon Inspector, consultez [Suppression d’un administrateur délégué](https://docs.aws.amazon.com//inspector/latest/user/remove-delegated-admin.html) dans le *Guide de l'utilisateur Amazon Inspector*.

# AWS License Manager et AWS Organizations
<a name="services-that-can-integrate-license-manager"></a>

AWS License Manager rationalise le processus de transfert des licences des fournisseurs de logiciels vers le cloud. Au fur et à mesure que vous développez une infrastructure cloud AWS, vous pouvez réduire les coûts en utilisant les opportunités bring-your-own-license (BYOL), c'est-à-dire en réaffectant votre inventaire de licences existant pour l'utiliser avec les ressources du cloud. En appliquant des commandes à base de règles à la consommation des licences, les administrateurs peuvent définir des limites flexibles ou strictes pour les déploiements cloud nouveaux ou existants, afin d'arrêter d'avance toute utilisation non conforme du serveur.

Pour plus d'informations sur License Manager, consultez le [Guide de l'utilisateur License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/).

En associant License Manager à AWS Organizations, vous pouvez :
+ autoriser la découverte entre comptes de ressources de calcul dans l'ensemble de votre organisation ;
+ afficher et gérer les abonnements Linux commerciaux que vous possédez et que vous exécutez sur AWS. Pour plus d'informations, consultez la section [Abonnements Linux dans AWS License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/linux-subscriptions.html).

Utilisez les informations suivantes pour vous aider AWS License Manager à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-license-manager"></a>

Les [rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant sont automatiquement créés dans le compte de gestion de votre organisation lorsque vous activez l'accès de confiance. Ces rôles permettent à License Manager d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous ne pouvez supprimer ou modifier ces rôles que si vous désactivez l'accès approuvé entre License Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSLicenseManagerMasterAccountRole`
+ `AWSLicenseManagerMemberAccountRole`
+ `AWSServiceRoleForAWSLicenseManagerRole`
+ `AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService`

Pour plus d'informations, consultez les sections [License Manager : rôle du compte de gestion](https://docs.aws.amazon.com/license-manager/latest/userguide/management-role.html), [License Manager : rôle du compte membre](https://docs.aws.amazon.com/license-manager/latest/userguide/member-role.html) et [License Manager : rôle des abonnements Linux](https://docs.aws.amazon.com/license-manager/latest/userguide/linux-subscriptions-role.html).

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-license-manager"></a>

 Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par License Manager autorisent l'accès aux mandataires de service suivants :
+ `license-manager.amazonaws.com`
+ `license-manager.member-account.amazonaws.com`
+ `license-manager-linux-subscriptions.amazonaws.com`

## Activation de l'accès approuvé avec License Manager
<a name="integrate-enable-ta-license-manager"></a>

Vous ne pouvez activer l'accès sécurisé qu'à l'aide de AWS License Manager.

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

**Pour activer l'accès approuvé avec License Manager**  
Vous devez vous connecter à la console License Manager à l'aide de votre compte de AWS Organizations gestion et l'associer à votre compte License Manager. Pour plus d'informations, consultez la section [Paramètres dans AWS License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html).

## Désactivation de l'accès approuvé avec License Manager
<a name="integrate-disable-ta-license-manager"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Vous pouvez exécuter la commande suivante pour la désactiver AWS License Manager en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal license-manager.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.

  Pour désactiver l'accès approuvé des abonnements Linux, utilisez :

  ```
  $  aws organizations disable-aws-service-access \
      --service-principal license-manager-linux-subscriptions.amazonaws.com
  ```
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour License Manager
<a name="integrate-enable-da-license-manager"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour License Manager qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de License Manager.

Pour déléguer un compte membre comme administrateur pour License Manager, procédez de la manière décrite sous [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html#delegated-administrator) dans le *Guide de l'utilisateur License Manager*. 

# AWS Managed Services (AMS), génération de rapports en libre-service (SSR) et AWS Organizations
<a name="services-that-can-integrate-managed-services"></a>

[AWS Managed Services (AMS) Self-Service Reporting (SSR)](https://aws.amazon.com/managed-services) collecte des données provenant de divers AWS services natifs et donne accès à des rapports sur les principales offres AMS. Le SSR fournit les informations que vous pouvez utiliser pour soutenir les opérations, la gestion des configurations, la gestion des actifs, la gestion de la sécurité et la conformité.

Après avoir intégré AWS Organizations, vous pouvez activer les rapports agrégés en libre-service (SSR). Il s'agit d'une fonctionnalité AMS qui permet aux clients d'Advanced et d'Accelerate de consulter leurs rapports en libre-service existants agrégés au niveau de l'organisation, entre comptes. Cela vous donne une visibilité sur les indicateurs opérationnels clés tels que la conformité des correctifs, la couverture des sauvegardes et les incidents sur tous les comptes gérés par AMS. AWS Organizations

Utilisez les informations suivantes pour vous aider à intégrer AWS Managed Services (AMS) le reporting en libre-service (SSR) à. AWS Organizations



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-managed-services"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à AMS d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre AMS et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForManagedServices_SelfServiceReporting`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-managed-services"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par AMS donnent accès aux principaux de service suivants :
+ `selfservicereporting.managedservices.amazonaws.com`

## Permettre un accès fiable avec AMS
<a name="integrate-enable-ta-managed-services"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer AWS Managed Services (AMS) Self-Service Reporting (SSR) en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal selfservicereporting.managedservices.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AMS
<a name="integrate-disable-ta-managed-services"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver AWS Managed Services (AMS) Self-Service Reporting (SSR) en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal selfservicereporting.managedservices.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour AMS
<a name="integrate-enable-da-managed-services"></a>

Les comptes d'administrateur délégué peuvent consulter les rapports AMS (tels que les correctifs et les sauvegardes) de tous les comptes dans une vue agrégée unique dans la console AMS.

Vous pouvez ajouter un administrateur délégué à l'aide de la console AMS ou de l'API, ou à l'aide de la `RegisterDelegatedAdministrator` CLI ou du SDK Organizations.

## Désactivation d'un administrateur délégué pour AMS
<a name="integrate-disable-da-managed-services"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour AMS.

Vous pouvez supprimer l'administrateur délégué à l'aide de la console AMS ou de l'API, ou à l'aide de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations.

# Amazon Macie et AWS Organizations
<a name="services-that-can-integrate-macie"></a>

Amazon Macie est un service totalement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour identifier, surveiller et protéger vos données sensibles dans Amazon Simple Storage Service (Amazon S3). Macie automatise la découverte de données sensibles, notamment les informations d'identification personnelle et la propriété intellectuelle, afin de vous fournir une meilleure compréhension des données stockées par votre organisation dans Amazon S3.

Pour plus d'informations, consultez [Gestion des comptes Amazon Macie avec AWS Organizations](https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html) dans le *[Guide de l'utilisateur Amazon Macie](https://docs.aws.amazon.com/macie/latest/userguide/)*.

Utilisez les informations suivantes pour vous aider à intégrer Amazon Macie à. AWS Organizations



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-macie"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) ci-dessous est automatiquement créé pour le compte administrateur Macie délégué de l'organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Macie d'effectuer les opérations prises en charge pour les comptes de votre organisation.

Vous ne pouvez supprimer ce rôle que si vous désactivez l'accès approuvé entre Macie et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleRorAmazonMacie`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-macie"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Macie autorisent l'accès aux mandataires de service suivants :
+ `macie.amazonaws.com`

## Activation de l'accès approuvé avec Macie
<a name="integrate-enable-ta-macie"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès approuvé à l'aide de la console Amazon Macie ou de la console AWS Organizations .

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils d'Amazon Macie pour activer l'intégration à Organizations. Cela permet à Amazon Macie d'effectuer toute configuration nécessaire, par exemple la création des ressources nécessaires au service. Exécutez ces étapes uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Amazon Macie. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès approuvé à l'aide de la console ou des outils d'Amazon Macie, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès approuvé à l'aide de la console Macie**  
Amazon Macie a besoin d'un accès sécurisé AWS Organizations pour désigner un compte membre en tant qu'administrateur Macie de votre organisation. Si vous configurez un administrateur délégué à l'aide de la console de gestion de Macie, le service active automatiquement l'accès approuvé pour vous.

Pour plus d'informations, consultez [Intégration et configuration d'une organisation dans Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html) dans le *Guide de l'utilisateur Amazon Macie*.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer Amazon Macie en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal macie.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour Macie
<a name="integrate-enable-da-macie"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Macie qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Macie.

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations disposant de l'autorisation suivante peuvent configurer un compte membre en tant qu'administrateur délégué pour Macie dans l'organisation :  
`organizations:EnableAWSServiceAccess`
`macie:EnableOrganizationAdminAccount`

**Pour désigner un compte membre comme administrateur délégué pour Macie**  
Amazon Macie a besoin d'un accès sécurisé AWS Organizations pour désigner un compte membre en tant qu'administrateur Macie de votre organisation. Si vous configurez un administrateur délégué à l'aide de la console de gestion de Macie, le service active automatiquement l'accès approuvé pour vous.

Pour de plus amples informations, veuillez consulter [https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin](https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin).

# AWS Marketplace et AWS Organizations
<a name="services-that-can-integrate-marketplace"></a>

AWS Marketplace est un catalogue numérique organisé que vous pouvez utiliser pour trouver, acheter, déployer et gérer les logiciels, données et services tiers dont vous avez besoin pour créer des solutions et gérer votre entreprise.

AWS Marketplace crée et gère les licences utilisées AWS License Manager pour vos achats dans AWS Marketplace. Lorsque vous partagez (accordez l'accès à) vos licences avec d'autres comptes de votre organisation, AWS Marketplace crée et gère de nouvelles licences pour ces comptes. 

Pour de plus amples informations, consultez [Rôles liés à un service pour AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html) dans le *Guide de l'acheteur AWS Marketplace *.

Utilisez les informations suivantes pour vous aider AWS Marketplace à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-marketplace"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' AWS Marketplace effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre AWS Marketplace et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForMarketplaceLicenseManagement`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-marketplace"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par AWS Marketplace accordent l'accès aux principaux de service suivants :
+ `license-management.marketplace.amazonaws.com`

## Permettre un accès fiable avec AWS Marketplace
<a name="integrate-enable-ta-marketplace"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Marketplace console ou de la AWS Organizations console.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Marketplace console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Marketplace d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Marketplace. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Marketplace console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès sécurisé à l'aide de la AWS Marketplace console**  
Consultez [Création d'un rôle lié à un service pour AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html#buyer-creating-service-linked-role) dans le *Guide de l'acheteur AWS Marketplace *.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Marketplace**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Marketplace dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Marketplace qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Marketplace en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal license-management.marketplace.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AWS Marketplace
<a name="integrate-disable-ta-marketplace"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Marketplace en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal license-management.marketplace.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS Marketplace Private Marketplace et AWS Organizations
<a name="services-that-can-integrate-private-marketplace"></a>

AWS Marketplace est un catalogue numérique organisé que vous pouvez utiliser pour trouver, acheter, déployer et gérer les logiciels, données et services tiers dont vous avez besoin pour créer des solutions et gérer votre entreprise. Un marché privé vous fournit un large catalogue de produits disponibles AWS Marketplace, ainsi qu'un contrôle précis de ces produits.

AWS Marketplace Private Marketplace vous permet de créer plusieurs expériences de marché privées associées à l'ensemble de votre organisation OUs, à un ou plusieurs comptes de votre organisation, chacun avec son propre ensemble de produits approuvés. Vos AWS administrateurs peuvent également appliquer l'image de marque de l'entreprise à chaque expérience de marché privée avec le logo, le message et la palette de couleurs de votre entreprise ou de votre équipe. 

Pour plus d'informations, consultez la section [Utilisation des rôles pour configurer Private Marketplace AWS Marketplace dans](https://docs.aws.amazon.com/marketplace/latest/buyerguide/using-service-linked-roles-private-marketplace.html) le *Guide de AWS Marketplace l'acheteur*.

Utilisez les informations suivantes pour vous aider à intégrer AWS Marketplace Private Marketplace à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-private-marketplace"></a>

 Le rôle lié au service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès sécurisé à l'aide de la console Private AWS Marketplace Marketplace. Ce rôle permet à Private Marketplace d'effectuer des opérations prises en charge sur les comptes de votre organisation au sein de votre organisation. Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre AWS Marketplace Private Marketplace et Organizations et si vous dissociez toutes les expériences de marché privé au sein de votre organisation. 

Si vous activez l'accès sécurisé directement depuis la console Organizations, la CLI ou le SDK, le rôle lié au service n'est pas créé automatiquement. 
+ `AWSServiceRoleForPrivateMarketplaceAdmin`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-private-marketplace"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Private Marketplace donnent accès aux principaux de service suivants :
+ `private-marketplace.marketplace.amazonaws.com`

## Permettre un accès fiable avec Private Marketplace
<a name="integrate-enable-ta-private-marketplace"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la console AWS Marketplace Private Marketplace ou de la AWS Organizations console.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils AWS Marketplace Private Marketplace pour permettre l'intégration avec Organizations. Cela permet à AWS Marketplace Private Marketplace d'effectuer toutes les configurations nécessaires, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Marketplace Private Marketplace. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la console ou des outils AWS Marketplace Private Marketplace, vous n'avez pas besoin de suivre ces étapes.

**Pour activer un accès sécurisé à l'aide de la console Private Marketplace**  
Consultez [Getting started with Private Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-getting-started) dans le *guide d'AWS Marketplace achat*.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Marketplace Private Marketplace** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour AWS Marketplace Private Marketplace**, tapez **enable** pour confirmer, puis choisissez **Enable trusted access**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur de AWS Marketplace Private Marketplace qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer AWS Marketplace Private Marketplace en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal private-marketplace.marketplace.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec Private Marketplace
<a name="integrate-disable-ta-private-marketplace"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver AWS Marketplace Private Marketplace en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal private-marketplace.marketplace.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour Private Marketplace
<a name="integrate-enable-da-private-marketplace"></a>

L'administrateur du compte de gestion peut déléguer les autorisations administratives de Private Marketplace à un compte membre désigné appelé administrateur délégué. **Pour enregistrer un compte en tant qu'administrateur délégué pour le marché privé, l'administrateur du compte de gestion doit s'assurer que l'accès sécurisé et le rôle lié au service sont activés, choisir **Enregistrer un nouvel administrateur**, fournir le numéro de AWS compte à 12 chiffres et choisir Soumettre.** 

Les comptes de gestion et les comptes d'administrateur délégué peuvent effectuer des tâches administratives de Private Marketplace, telles que la création d'expériences, la mise à jour des paramètres de marque, l'association ou la dissociation d'audiences, l'ajout ou la suppression de produits, ainsi que l'approbation ou le refus des demandes en attente.

Pour configurer un administrateur délégué à l'aide de la console Private Marketplace, consultez la section [Création et gestion d'un marché privé](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-managing) dans le *Guide de AWS Marketplace l'acheteur*.

 Vous pouvez également configurer un administrateur délégué à l'aide de l'`RegisterDelegatedAdministrator`API Organizations. Pour plus d'informations, reportez-vous [ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)à la section *Organizations Command Reference*.

## Désactiver un administrateur délégué pour Private Marketplace
<a name="integrate-disable-da-private-marketplace"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Private Marketplace.

Vous pouvez supprimer l'administrateur délégué à l'aide de la console ou de l'API Private Marketplace, ou à l'aide de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations.

 Pour désactiver le compte Private Marketplace de l'administrateur délégué à l'aide de la console Private Marketplace, consultez la section [Création et gestion d'une place de marché privée](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-managing) dans le *Guide de AWS Marketplace l'acheteur*.

# AWS Marketplace tableau de bord des informations sur les achats et AWS Organizations
<a name="services-that-can-integrate-procurement-insights"></a>

Vous utilisez le tableau de bord des informations sur les AWS Marketplace achats pour consulter les accords et les données d'analyse des coûts pour tous les AWS comptes de votre organisation. Lorsqu'il est intégré à Organizations, le tableau de bord des informations sur les AWS Marketplace achats prend en compte les modifications apportées à l'organisation, par exemple l'adhésion d'un compte à l'organisation, et agrège les données relatives aux accords correspondants afin de créer leurs tableaux de bord. 

Pour plus d'informations, consultez la section Informations [sur les achats](https://docs.aws.amazon.com/marketplace/latest/buyerguide/procurement-insights.html) dans le *Guide de AWS Marketplace l'acheteur*.

Utilisez les informations suivantes pour vous aider à intégrer le tableau de bord des informations sur les AWS Marketplace achats à AWS Organizations.



## Rôles liés aux services et politiques gérées créés lorsque vous activez l'intégration
<a name="integrate-enable-slr-procurement-insights"></a>

 Lorsque vous activez le tableau de bord des informations sur les AWS Marketplace achats, le rôle [https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-service-linked-role-procurement.html](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-service-linked-role-procurement.html)lié au service et la politique [https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights) AWS gérée sont créés.

## Permettre un accès fiable grâce à des informations sur les AWS Marketplace achats
<a name="integrate-enable-ta-procurement-insights"></a>

L'activation d'un accès fiable permet au tableau de bord des informations sur les AWS Marketplace achats de s'intégrer au service Organizations du client. AWS Marketplace le tableau de bord des informations sur les achats écoute les modifications apportées à l'organisation, par exemple l'adhésion d'un compte à l'organisation, et agrège les données relatives aux accords correspondants afin de créer ses tableaux de bord. 

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer un accès fiable à l'aide de la console du tableau de bord des informations sur les AWS Marketplace achats ou de la AWS Organizations console.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils du tableau de bord des informations sur les AWS Marketplace achats pour permettre l'intégration avec les Organizations. Cela permet au tableau de bord des informations sur les AWS Marketplace achats d'effectuer toutes les configurations requises, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par le tableau de bord des informations sur les AWS Marketplace achats. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez un accès fiable à l'aide de la console ou des outils du tableau de bord des informations sur les AWS Marketplace achats, vous n'avez pas besoin de suivre ces étapes.

**Pour permettre un accès fiable en activant le tableau de bord AWS Marketplace des informations sur les achats**  
Consultez la section [Activation du tableau de bord des informations sur les AWS Marketplace achats](https://docs.aws.amazon.com/marketplace/latest/buyerguide/enabling-procurement-insights.html) dans le *Guide de AWS Marketplace l'acheteur*.

**Pour permettre un accès sécurisé à l'aide des outils Organizations**

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez le tableau de **bord des informations sur les AWS Marketplace achats** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour le tableau de bord des informations sur les AWS Marketplace achats**, tapez **activer** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, indiquez à l'administrateur du tableau de bord des informations sur les AWS Marketplace achats qu'il peut désormais activer ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer le tableau de bord des informations sur les AWS Marketplace achats en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal procurement-insights.marketplace.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès fiable grâce à des informations sur les AWS Marketplace achats
<a name="integrate-disable-ta-procurement-insights"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver le tableau de bord des informations sur les AWS Marketplace achats en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal procurement-insights.marketplace.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour obtenir des informations sur les AWS Marketplace achats
<a name="integrate-enable-da-procurement-insights"></a>

*Pour configurer un administrateur délégué dans la console AWS Marketplace Procurement Insights, consultez la section [Enregistrement des administrateurs délégués >](https://docs.aws.amazon.com/marketplace/latest/buyerguide/management-delegates.html#management-register-delegate) dans le Guide de l'AWS Marketplace acheteur.*

 Vous pouvez également configurer un administrateur délégué à l'aide de l'`RegisterDelegatedAdministrator`API Organizations. Pour plus d'informations, reportez-vous [ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)à la section *Organizations Command Reference*.

## Désactiver un administrateur délégué pour obtenir des informations sur les AWS Marketplace achats
<a name="integrate-disable-da-procurement-insights"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour obtenir des informations sur les AWS Marketplace achats.

*Pour supprimer un administrateur délégué via la console AWS Marketplace Procurement Insights, consultez la section [Désenregistrement des administrateurs délégués](https://docs.aws.amazon.com/marketplace/latest/buyerguide/management-delegates.html#management-deregister-delegate) dans le Guide de l'AWS Marketplace acheteur.*

Vous pouvez également supprimer l'administrateur délégué à l'aide de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations.

# AWS Gestionnaire de réseau et AWS Organizations
<a name="services-that-can-integrate-network-manager"></a>

Network Manager vous permet de gérer de manière centralisée votre réseau central AWS Cloud WAN et votre réseau AWS Transit Gateway sur l'ensemble AWS des comptes, des régions et des sites sur site. Grâce à la prise en charge de plusieurs comptes, vous pouvez créer un réseau mondial unique pour n'importe lequel de vos AWS comptes et enregistrer des passerelles de transit entre plusieurs comptes et le réseau mondial à l'aide de la console Network Manager. 

Lorsque l'accès sécurisé entre Network Manager et les Organizations est activé, les administrateurs délégués enregistrés et les comptes de gestion peuvent tirer parti du rôle lié au service déployé dans les comptes membres pour décrire les ressources attachées à vos réseaux mondiaux. À partir de la console Network Manager, les administrateurs délégués enregistrés et les comptes de gestion peuvent assumer les rôles IAM personnalisés déployés dans les comptes membres : `CloudWatch-CrossAccountSharingRole` pour la surveillance et la gestion des événements multi-comptes, et `IAMRoleForAWSNetworkManagerCrossAccountResourceAccess` pour l'accès au rôle de commutateur de console pour afficher et gérer des ressources multi-comptes) 

**Important**  
Nous vous recommandons vivement d'utiliser la console Network Manager pour gérer les paramètres multi-comptes (administrateurs enable/disable trusted access and register/deregister délégués). La gestion de ces paramètres à partir de la console déploie et gère automatiquement tous les rôles liés au service requis et les rôles IAM personnalisés vers les comptes membres nécessaires à l'accès multi-comptes.
 Lorsque vous activez l'accès sécurisé pour Network Manager dans la console Network Manager, la console active également le CloudFormation StackSets service. Network Manager est utilisé StackSets pour déployer les rôles IAM personnalisés nécessaires à la gestion multi-comptes.

Pour plus d'informations sur l'intégration de Network Manager avec Organizations, consultez [Gérer plusieurs comptes dans Network Manager AWS Organizations](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html) dans le *Guide de l’utilisateur Amazon VPC*.

Utilisez les informations suivantes pour vous aider à intégrer AWS Network Manager à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-network-manager"></a>

[Les rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant sont automatiquement créés dans le compte de l’organisation répertorié lorsque vous activez l'accès sécurisé. Ces rôles permettent à Network Manager d'effectuer les opérations prises en charge dans les comptes de votre organisation. Si vous désactivez l'accès sécurisé, Network Manager ne supprimera pas ces rôles des comptes de votre organisation. Vous pouvez les supprimer manuellement à l'aide de la console IAM.

Compte de gestion
+  `AWSServiceRoleForNetworkManager`
+ `AWSServiceRoleForCloudFormationStackSetsOrgAdmin`
+  `AWSServiceRoleForCloudWatchCrossAccount`

Comptes de membres
+  `AWSServiceRoleForNetworkManager`
+ ` AWSServiceRoleForCloudFormationStackSetsOrgMember`

Lorsque vous enregistrez un compte membre en tant qu'administrateur délégué, le rôle supplémentaire suivant est automatiquement créé dans le compte d'administrateur délégué :
+  `AWSServiceRoleForCloudWatchCrossAccount`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-network-manager"></a>

Les rôles liés à un service ne peuvent être assumés que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. 
+ Pour le rôle `AWSServiceRoleForNetworkManager service-linked`, `networkmanager.amazonaws.com` est le seul principal de service à y avoir accès. 
+ Pour le rôle lié à un service `AWSServiceRoleForCloudFormationStackSetsOrgMember`, `member.org.stacksets.cloudformation.amazonaws.com` est le seul principal de service à y avoir accès. 
+ Pour le rôle lié à un service `AWSServiceRoleForCloudFormationStackSetsOrgAdmin`, `stacksets.cloudformation.amazonaws.com` est le seul principal de service à y avoir accès. 
+ Pour le rôle lié à un service `AWSServiceRoleForCloudWatchCrossAccount`, `cloudwatch-crossaccount.amazonaws.com` est le seul principal de service à y avoir accès. 

 La suppression de ces rôles compromettra la fonctionnalité multi-comptes pour Network Manager. 

## Activation de l'accès sécurisé avec Firewall Manager
<a name="integrate-enable-ta-network-manager"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Seul un administrateur du compte de gestion des Organisations est autorisé à activer un accès sécurisé avec un autre AWS service. Assurez-vous d'utiliser la *console* Network Manager pour activer l'accès sécurisé, afin d'éviter les problèmes d'autorisations. Pour de plus amples informations, consultez [Gestion de plusieurs comptes dans Network Manager avec AWS Organizations](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html) dans le *Guide de l'utilisateur Amazon VPC*.

## Désactivation de l'accès sécurisé avec Network Manager
<a name="integrate-disable-ta-network-manager"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur d'un compte de gestion d'Organizations est autorisé à désactiver l'accès sécurisé à un autre AWS service. 

**Important**  
Nous vous recommandons vivement d'utiliser la console Network Manager pour désactiver l'accès sécurisé. Si vous désactivez l'accès sécurisé d'une autre manière, par exemple en utilisant AWS CLI, avec une API ou avec la CloudFormation console, les rôles IAM déployés CloudFormation StackSets et personnalisés risquent de ne pas être correctement nettoyés. Pour désactiver l'accès sécurisé, connectez-vous à la [console Network Manager](https://console.aws.amazon.com/vpc/home#networkmanager). 

## Activation d'un compte administrateur délégué pour Network Manager
<a name="integrate-enable-da-network-manager"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Network Manager qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Network Manager.

Pour obtenir des instructions sur la façon de désigner un compte membre en tant qu'administrateur délégué de Network Manager dans l'organisation, consultez [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) dans le *Guide de l'utilisateur Amazon VPC*.

# Développeur Amazon Q et AWS Organizations
<a name="services-that-can-integrate-amazon-q-dev"></a>

 Amazon Q Developer est un assistant conversationnel génératif basé sur l'IA qui peut vous aider à comprendre, créer, étendre et exploiter AWS des applications. Il s'agit également d'un générateur de code à usage général basé sur l'apprentissage automatique qui vous fournit des recommandations de code en temps réel. La version payante d'Amazon Q Developer nécessite l'intégration d'Organizations. Pour plus d'informations, consultez la section [Configuration du compte, du centre d'identité IAM et des organisations](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-topic-account.html#admin-setup-org) dans le *guide de l'utilisateur d'Amazon Q.* 

Utilisez les informations suivantes pour vous aider à intégrer Amazon Q Developer à AWS Organizations.



## Rôles liés à un service
<a name="integrate-enable-slr-amazon-q-dev"></a>

Le rôle `AWSServiceRoleForAmazonQDeveloper` lié au service permet à Amazon Q Developer d'effectuer des opérations prises en charge au sein de votre organisation. Créez le rôle à l'aide de la console, de l'API ou de la CLI Amazon Q Developer, comme décrit dans la section [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le guide de l'utilisateur [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/). 

Si vous utilisez un compte membre, vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Amazon Q Developer et Organizations, ou si vous supprimez le compte membre de l'organisation. 

## Principes de service utilisés par Amazon Q Developer
<a name="integrate-enable-svcprin-amazon-q-dev"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Amazon Q Developer donnent accès aux principaux de service suivants :
+ `q.amazonaws.com`

## Permettre un accès fiable avec Amazon Q Developer
<a name="integrate-enable-ta-amazon-q-dev"></a>

 Amazon Q Developer Pro utilise un accès sécurisé pour partager les paramètres définis dans le compte de gestion des Organizations avec les comptes membres de la même organisation. 

Par exemple, l'administrateur Amazon Q Developer Pro, qui travaille dans le compte de gestion des Organizations, peut autoriser les suggestions avec des références de code. Si l'accès sécurisé est activé, les suggestions avec des références de code seront également activées pour tous les comptes membres de cette organisation. 

Vous ne pouvez activer l'accès sécurisé qu'à l'aide d'Amazon Q Developer.

Pour activer l'accès sécurisé pour Amazon Q Developer, suivez cette procédure.

1. Sur la page Amazon Q Developer **Settings**, sous **Paramètres du compte membre**, sélectionnez **Modifier**.

1. Dans la fenêtre contextuelle, sélectionnez **Activé**.

1. Choisissez **Enregistrer**.

Pour plus d'informations, consultez la section [Activation de l'accès sécurisé](https://docs.aws.amazon.com//amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-general.html#q-admin-trusted-access) dans le *guide de l'utilisateur Amazon Q Developer*. 

## Désactiver l'accès sécurisé avec Amazon Q Developer
<a name="integrate-disable-ta-amazon-q-dev"></a>

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Amazon Q Developer.

Pour désactiver l'accès sécurisé pour Amazon Q Developer, suivez cette procédure.

1. Sur la page Amazon Q Developer **Settings**, sous **Paramètres du compte membre**, sélectionnez **Modifier**.

1. Dans la fenêtre contextuelle, sélectionnez **Désactivé**.

1. Choisissez **Enregistrer**.

Pour plus d'informations, consultez la section [Activation de l'accès sécurisé](https://docs.aws.amazon.com//amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-general.html#q-admin-trusted-access) dans le *guide de l'utilisateur Amazon Q Developer*. 

# AWS Resource Access Manager et AWS Organizations
<a name="services-that-can-integrate-ram"></a>

AWS Resource Access Manager (AWS RAM) vous permet de partager AWS des ressources spécifiques que vous possédez avec d'autres Comptes AWS. Il s'agit d'un service centralisé qui fournit une expérience cohérente pour le partage de différents types de AWS ressources entre plusieurs comptes.

Pour plus d'informations AWS RAM, consultez le [https://docs.aws.amazon.com/ram/latest/userguide/what-is.html](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Utilisez les informations suivantes pour vous aider AWS Resource Access Manager à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-ram"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' AWS RAM effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre AWS RAM et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForResourceAccessManager`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-ram"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par AWS RAM accordent l'accès aux principaux de service suivants :
+ `ram.amazonaws.com`

## Permettre un accès fiable avec AWS RAM
<a name="integrate-enable-ta-ram"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Resource Access Manager console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Resource Access Manager console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Resource Access Manager d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Resource Access Manager. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Resource Access Manager console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès sécurisé à l'aide de la AWS RAM console ou de la CLI**  
Consultez [Activer le partage avec AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) dans le *Guide de l'utilisateur AWS RAM *.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Resource Access Manager**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Resource Access Manager dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Resource Access Manager qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Resource Access Manager en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ram.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AWS RAM
<a name="integrate-disable-ta-ram"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous pouvez désactiver l'accès sécurisé à l'aide des outils AWS Resource Access Manager ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Resource Access Manager console ou les outils pour désactiver l'intégration avec Organizations. Cela permet AWS Resource Access Manager d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par AWS Resource Access Manager.  
Si vous désactivez l'accès sécurisé à l'aide de la AWS Resource Access Manager console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour désactiver l'accès sécurisé à l'aide de la AWS Resource Access Manager console ou de la CLI**  
Consultez [Activer le partage avec AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) dans le *Guide de l'utilisateur AWS RAM *.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Resource Access Manager**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS Resource Access Manager dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Resource Access Manager qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Resource Access Manager en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ram.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Explorateur de ressources AWS et AWS Organizations
<a name="services-that-can-integrate-resource-explorer"></a>

Explorateur de ressources AWS est un service de recherche et de découverte de ressources. Avec Resource Explorer, vous pouvez explorer vos ressources, telles que les instances Amazon Elastic Compute Cloud, Amazon Kinesis Data Streams ou les tables Amazon DynamoDB, en utilisant une expérience similaire à celle d'un moteur de recherche sur Internet. Vous pouvez rechercher vos ressources à l'aide de métadonnées telles que les noms, les balises et IDs. L'explorateur de ressources fonctionne dans toutes AWS les régions de votre compte afin de simplifier vos charges de travail interrégionales.

Lorsque vous intégrez Resource Explorer à AWS Organizations, vous pouvez recueillir des preuves auprès d'une source plus large en incluant plusieurs éléments Comptes AWS provenant de votre organisation dans le cadre de vos évaluations.

Utilisez les informations suivantes pour vous aider Explorateur de ressources AWS à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-resource-explorer"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Resource Explorer d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Resource Explorer et Organizations, ou si vous supprimez le compte membre de l'organisation.

Pour en savoir plus sur la manière dont Resource Explorer utilise ce rôle, consultez [Utilisation des rôles liés à un service](https://docs.aws.amazon.com/resource-explorer/latest/userguide/security_iam_service-linked-roles.html) dans le *Guide de l'utilisateur Explorateur de ressources AWS *.
+ `AWSServiceRoleForResourceExplorer`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-resource-explorer"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Resource Explorer accordent l'accès aux principaux de service suivants :
+ `resource-explorer-2.amazonaws.com`

## Pour permettre un accès sécurisé avec Explorateur de ressources AWS
<a name="integrate-enable-ta-resource-explorer"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Resource Explorer nécessite un accès AWS Organizations sécurisé pour que vous puissiez désigner un compte membre comme administrateur délégué de votre organisation.

 Vous pouvez activer l'accès approuvé à l'aide de la console Resource Explorer ou de la console Organizations. Nous vous recommandons vivement d'utiliser la console ou les outils de Resource Explorer pour activer l'intégration à Organizations. Cela permet Explorateur de ressources AWS d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. 

**Pour activer l'accès approuvé à l'aide de la console Resource Explorer**  
Pour obtenir des instructions sur l'activation de l'accès sécurisé, consultez la section [Conditions préalables à l'utilisation de Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html) dans le *Guide de l’utilisateur Explorateur de ressources AWS *.

**Note**  
Si vous configurez un administrateur délégué à l'aide de la Explorateur de ressources AWS console, l'accès sécurisé est Explorateur de ressources AWS automatiquement activé pour vous.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer Explorateur de ressources AWS en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Pour désactiver l'accès approuvé avec Resource Explorer
<a name="integrate-disable-ta-resource-explorer"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec Explorateur de ressources AWS.

Vous pouvez désactiver l'accès sécurisé à l'aide des outils Explorateur de ressources AWS ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la Explorateur de ressources AWS console ou les outils pour désactiver l'intégration avec Organizations. Cela permet Explorateur de ressources AWS d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par Explorateur de ressources AWS.  
Si vous désactivez l'accès sécurisé à l'aide de la Explorateur de ressources AWS console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver Explorateur de ressources AWS en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activer un compte administrateur délégué pour Resource Explorer
<a name="integrate-enable-da-resource-explorer"></a>

Utilisez votre compte d'administrateur délégué pour créer des vues de ressources multi-comptes et les étendre à une unité organisationnelle ou à l'ensemble de votre organisation. Vous pouvez partager des vues multi-comptes avec n'importe quel compte de votre organisation en AWS Resource Access Manager créant des partages de ressources. 

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion de Organizations disposant de l'autorisation suivante peuvent configurer un compte membre en tant qu'administrateur délégué pour Resource Explorer dans l'organisation :  
`resource-explorer:RegisterAccount`

Pour obtenir des instructions sur l'activation d'un compte administrateur délégué pour Resource Explorer, consultez [Configuration](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html) dans le *Guide de l'utilisateur Explorateur de ressources AWS *.

Si vous configurez un administrateur délégué à l'aide de la Explorateur de ressources AWS console, Resource Explorer active automatiquement un accès sécurisé pour vous. 

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal resource-explorer-2.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le service du compte `resource-explorer-2.amazonaws.com` sous forme de paramètres. 

------

## Désactiver un administrateur délégué pour Resource Explorer
<a name="integrate-disable-da-resource-explorer"></a>

 Seul un administrateur du compte de gestion Organizations ou du compte d’administrateur délégué Resource Explorer peut supprimer un administrateur délégué de Resource Explorer. Vous pouvez désactiver l'accès approuvé à l'aide de Organizations `DeregisterDelegatedAdministrator` CLI ou de l’opération SDK. 

# AWS Security Hub CSPM et AWS Organizations
<a name="services-that-can-integrate-securityhub"></a>

AWS Security Hub CSPM vous fournit une vue complète de l'état de votre sécurité AWS et vous aide à vérifier que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité.

Security Hub CSPM collecte des données de sécurité provenant de vos produits partenaires Comptes AWS, de ceux Services AWS que vous utilisez et de ceux pris en charge par des partenaires tiers. Il vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité prioritaires.

Lorsque vous utilisez Security Hub CSPM et AWS Organizations conjointement, vous pouvez activer automatiquement Security Hub CSPM pour tous vos comptes, y compris les nouveaux comptes au fur et à mesure de leur ajout. Cela augmente la couverture des contrôles et des conclusions du Security Hub CSPM, ce qui fournit une image plus complète et plus précise de votre niveau de sécurité global.

Pour plus d'informations sur Security Hub CSPM, consultez le guide de l'*[AWS Security Hub utilisateur](https://docs.aws.amazon.com/securityhub/latest/userguide/)*.

Utilisez les informations suivantes pour vous aider AWS Security Hub CSPM à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-securityhub"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Security Hub CSPM d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Security Hub CSPM et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForSecurityHub`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-securityhub"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Security Hub CSPM donnent accès aux principaux de service suivants :
+ `securityhub.amazonaws.com`

## Permettre un accès sécurisé avec Security Hub CSPM
<a name="integrate-enable-ta-securityhub"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Lorsque vous désignez un administrateur délégué pour Security Hub CSPM, Security Hub CSPM active automatiquement un accès sécurisé pour Security Hub au sein de votre organisation.

## Désactivation de l'accès sécurisé avec Security Hub CSPM
<a name="integrate-disable-ta-securityhub"></a>

Pour plus d'informations sur les autorisations nécessaires pour désactiver l'accès sécurisé, consultez la section [Autorisations requises pour désactiver l'accès sécurisé](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) dans le *Guide de AWS Organizations l'utilisateur*.

Avant de désactiver l'accès sécurisé, nous vous recommandons de contacter l'administrateur délégué de votre organisation afin de désactiver le Security Hub CSPM dans les comptes membres et de nettoyer les ressources Security Hub CSPM de ces comptes.

Vous pouvez désactiver l'accès sécurisé à l'aide de la AWS Organizations console, de l'API Organizations ou du AWS CLI. Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé avec Security Hub CSPM.

Pour obtenir des instructions sur la désactivation de l'accès sécurisé avec Security Hub CSPM, consultez la section Désactivation de l'intégration [de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#disable-orgs-integration) CSPM avec. AWS Organizations

## Activation d'un administrateur délégué pour Security Hub CSPM
<a name="integrate-enable-da-securityhub"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué de l'organisation, les utilisateurs et les rôles associés à ce compte peuvent effectuer des actions administratives pour Security Hub CSPM qui, autrement, ne peuvent être effectuées que par les utilisateurs ou les rôles du compte de gestion de l'organisation. Cela vous permet de séparer la gestion de l'organisation de la gestion du Security Hub CSPM.

*Pour plus d'informations, consultez la section [Désignation d'un compte administrateur Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) dans le guide de l'utilisateur.AWS Security Hub *

**Pour désigner un compte membre en tant qu'administrateur délégué pour Security Hub CSPM**

1. Connectez-vous au compte de gestion Organizations.

1. Effectuez l'une des actions suivantes :
   + Si Security Hub CSPM n'est pas activé sur votre compte de gestion, choisissez Go to Security Hub CSPM sur la console **Security Hub** CSPM.
   + ****Si Security Hub CSPM est activé sur votre compte de gestion, sur la console Security Hub CSPM, sous Général, choisissez Paramètres.****

1. Sous **Administrateur délégué**, saisissez l'ID du compte.

## Désactivation d'un administrateur délégué pour Security Hub CSPM
<a name="integrate-disable-da-securityhub"></a>

Seul le compte de gestion de l'organisation peut supprimer le compte administrateur délégué du Security Hub CSPM.

Pour modifier l'administrateur délégué du Security Hub CSPM, vous devez d'abord supprimer le compte administrateur délégué actuel, puis en désigner un nouveau.

Si vous utilisez la console Security Hub CSPM pour supprimer l'administrateur délégué dans une région, il est automatiquement supprimé dans toutes les régions.

L'API Security Hub CSPM supprime uniquement le compte administrateur Security Hub CSPM délégué de la région dans laquelle l'appel ou la commande d'API est émis. Vous devez répéter l'action dans les autres régions.

Si vous utilisez l'API Organizations pour supprimer le compte administrateur délégué de Security Hub CSPM, celui-ci est automatiquement supprimé dans toutes les régions.

Pour obtenir des instructions sur la désactivation de l'administrateur délégué du Security Hub CSPM, consultez [Supprimer ou modifier l'](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#remove-admin-overview)administrateur délégué.

# Lentille de stockage Amazon S3 et AWS Organizations
<a name="services-that-can-integrate-s3lens"></a>

En donnant à Amazon S3 Storage Lens un accès fiable à votre organisation, vous lui permettez de collecter et d'agréger des métriques sur l' Comptes AWS ensemble de votre organisation. Pour ce faire, S3 Storage Lens accède à la liste des comptes appartenant à votre organisation et collecte et analyse les métriques de stockage, d'utilisation et d'activité pour chacun d'entre eux. 

Pour plus d'informations, consultez [Utilisation des rôles liés à un service pour Amazon S3 Storage Lens](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-service-linked-roles.html) dans le *Guide de l'utilisateur Amazon S3 Storage Lens*. 

Utilisez les informations suivantes pour vous aider à intégrer Amazon S3 Storage Lens à AWS Organizations.



## Création d'un rôle lié à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-s3lens"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans votre compte administrateur délégué de l'organisation lorsque vous activez l'accès sécurisé et que la configuration de Storage Lens a été appliquée à votre organisation. Ce rôle permet à Amazon S3 Storage Lens d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Amazon S3 Storage Lens et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForS3StorageLens` 

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-s3lens"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Amazon S3 Storage Lens autorisent l'accès aux mandataires de service suivants :
+ `storage-lens.s3.amazonaws.com`

## Activation de l'accès approuvé pour Amazon S3 Storage Lens
<a name="integrate-enable-ta-s3lens"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès approuvé à l'aide de la console Amazon S3 Storage Lens ou de la console AWS Organizations .

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils d'Amazon S3 Storage Lens pour activer l'intégration à Organizations. Cela permet à Amazon S3 Storage Lens d'effectuer toute configuration nécessaire, par exemple la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Amazon S3 Storage Lens. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès approuvé à l'aide de la console ou des outils d'Amazon S3 Storage Lens, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès approuvé à l'aide de la console Amazon S3**  
Consultez la section [Activation de l'accès sécurisé pour S3 Storage Lens](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_enabling_trusted_access) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon S3 Storage Lens** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour Amazon S3 Storage Lens**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon S3 Storage Lens qu'il peut désormais activer ce service pour qu'il fonctionne avec la console AWS Organizations de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer Amazon S3 Storage Lens en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal storage-lens.s3.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès approuvé pour Amazon S3 Storage Lens
<a name="integrate-disable-ta-s3lens"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Amazon S3 Storage Lens.

Vous pouvez désactiver l'accès sécurisé à l'aide de la console Amazon S3, du AWS CLI ou de l'un des AWS SDKs.

**Pour désactiver l'accès approuvé à l'aide de la console Amazon S3**  
Consultez la section [Désactivation de l'accès sécurisé pour S3 Storage Lens](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_disabling_trusted_access) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

## Activation d'un administrateur délégué pour Amazon S3 Storage Lens
<a name="integrate-enable-da-s3lens"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Amazon S3 Storage Lens qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion d'Amazon S3 Storage Lens.

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations disposant de l'autorisation suivante peuvent configurer un compte membre en tant qu'administrateur délégué pour Amazon S3 Storage Lens dans l'organisation :  
`organizations:RegisterDelegatedAdministrator`  
`organizations:DeregisterDelegatedAdministrator`

Amazon S3 Storage Lens prend en charge un maximum de 5 comptes d'administrateur délégués dans votre organisation.

**Pour désigner un compte membre comme administrateur délégué pour Amazon S3 Storage Lens**  
Vous pouvez enregistrer un administrateur délégué à l'aide de la console Amazon S3, du AWS CLI ou de l'un des AWS SDKs. Pour enregistrer un compte membre en tant que compte d'administrateur délégué pour votre organisation à l'aide de la console Amazon S3, consultez la section [Enregistrement d'un administrateur délégué pour S3 Storage Lens](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_registering_delegated_admins) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

**Pour annuler l'enregistrement d'un administrateur délégué pour Amazon S3 Storage Lens**  
Vous pouvez désenregistrer un administrateur délégué à l'aide de la console Amazon S3, du AWS CLI ou de l'un des. AWS SDKs Pour annuler l'enregistrement d'un administrateur délégué à l'aide de la console Amazon S3, consultez la section [Désenregistrer un administrateur délégué pour S3 Storage Lens dans le guide de l'utilisateur](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_deregistering_delegated_admins) d'*Amazon Simple* Storage Service.

# AWS Réponse aux incidents de sécurité et AWS Organizations
<a name="services-that-can-integrate-security-ir"></a>

AWS Security Incident Response est un service de sécurité qui fournit une assistance en direct, 24 heures sur 24, 7 jours sur 7, pour aider les clients à réagir rapidement aux incidents de cybersécurité tels que le vol d'informations d'identification et les attaques par ransomware. En intégrant Organizations, vous offrez une couverture de sécurité à l'ensemble de votre organisation. Pour plus d'informations, consultez [la section Gestion des comptes AWS de réponse aux incidents](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html) de *sécurité AWS Organizations dans le Guide de l'utilisateur de réponse aux incidents* de sécurité. 

Utilisez les informations suivantes pour vous aider à intégrer AWS la réponse aux incidents de sécurité à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-security-ir"></a>

Les rôles liés à un service suivant sont automatiquement créés dans le compte de gestion de votre organisation lorsque vous activez l'accès de confiance. 
+ `AWSServiceRoleForSecurityIncidentResponse`- utilisé pour créer un abonnement Security Incident Response - votre abonnement au service via AWS Organizations.
+ `AWSServiceRoleForSecurityIncidentResponse_Triage`- utilisé uniquement lorsque vous activez la fonction de triage lors de l'inscription.

## Principes de service utilisés par Security Incident Response
<a name="integrate-enable-svcprin-security-ir"></a>

 Les rôles liés au service décrits dans la section précédente ne peuvent être assumés que par les principaux de service autorisés par les relations de confiance définies pour le rôle. Les rôles liés au service utilisés par Security Incident Response accordent l'accès au principal de service suivant : 
+ `security-ir.amazonaws.com`

## Permettre un accès fiable à la réponse aux incidents de sécurité
<a name="integrate-enable-ta-security-ir"></a>

L'activation d'un accès fiable à Security Incident Response permet au service de suivre la structure de votre organisation et de garantir que tous les comptes de l'organisation bénéficient d'une couverture active en cas d'incident de sécurité. Cela permet également au service d'utiliser un rôle lié au service dans les comptes des membres pour les fonctionnalités de tri lorsque vous activez la fonctionnalité de triage.

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la console AWS Security Incident Response ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la console ou les outils de réponse aux incidents de AWS sécurité pour permettre l'intégration avec les Organizations. Cela permet à AWS Security Incident Response d'effectuer toutes les configurations requises, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Security Incident Response. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la console ou des outils de réponse aux incidents de AWS sécurité, vous n'avez pas besoin de suivre ces étapes.

Organizations active automatiquement l'accès sécurisé des Organizations lorsque vous utilisez la console Security Incident Response pour la configuration et la gestion. Si vous utilisez la réponse aux incidents de sécurité CLI/SDK , vous devez activer manuellement l'accès sécurisé à l'aide de l'[API Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html). Pour savoir comment activer un accès sécurisé via la console Security Incident Response, voir [Activer l'accès sécurisé pour la gestion des AWS comptes](https://docs.aws.amazon.com/security-ir/latest/userguide/using-orgs-trusted-access.html) dans le *Guide de l'utilisateur de Security Incident Response*.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Security Incident Response** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour AWS la réponse aux incidents de sécurité**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur de AWS Security Incident Response qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer AWS Security Incident Response en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal security-ir.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès sécurisé avec Security Incident Response
<a name="integrate-disable-ta-security-ir"></a>

Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé avec Security Incident Response. 

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Security Incident Response** dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de dialogue **Désactiver l'accès sécurisé pour la réponse aux incidents de AWS sécurité**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur de AWS Security Incident Response qu'il peut désormais désactiver ce service à l' AWS Organizations aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver AWS Security Incident Response en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal security-ir.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour la réponse aux incidents de sécurité
<a name="integrate-enable-da-security-ir"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué de l'organisation, les utilisateurs et les rôles associés à ce compte peuvent effectuer des actions administratives pour la réponse aux incidents de sécurité qui, autrement, ne peuvent être effectuées que par les utilisateurs ou les rôles du compte de gestion de l'organisation. Cela vous permet de séparer la gestion de l'organisation de la gestion de la réponse aux incidents de sécurité. Pour plus d'informations, consultez [la section Gestion des comptes AWS de réponse aux incidents](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html) de *sécurité AWS Organizations dans le Guide de l'utilisateur de réponse aux incidents* de sécurité.

**Autorisations minimales**  
Seul un utilisateur ou un rôle dans le compte de gestion des Organisations peut configurer un compte membre en tant qu'administrateur délégué pour la réponse aux incidents de sécurité dans l'organisation.

Pour savoir comment configurer un administrateur délégué via la console Security Incident Response, voir [Désignation d'un compte administrateur délégué de réponse aux incidents de sécurité](https://docs.aws.amazon.com/security-ir/latest/userguide/delegated-admin-designate.html) dans le Guide de l'*utilisateur de Security Incident Response*.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal security-ir.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le service du compte `security-ir.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour la réponse aux incidents de sécurité
<a name="integrate-disable-da-security-ir"></a>

**Important**  
Si l'adhésion a été créée à partir du compte d'administrateur délégué, la désinscription de l'administrateur délégué est une action destructrice et entraînera une interruption du service. Pour réenregistrer DA :   
Connectez-vous à la console Security Incident Response à l'adresse https://console.aws.amazon.com/security-ir/ home\$1/membership/settings
Annulez l'adhésion depuis la console de service. L'adhésion reste active jusqu'à la fin du cycle de facturation.
 Une fois l'adhésion annulée, désactivez l'accès au service via la console Organizations, la CLI ou le SDK. 

 Seul un administrateur du compte de gestion des Organizations peut supprimer un administrateur délégué pour Security Incident Response. Vous pouvez supprimer l'administrateur délégué à l'aide de l'opération CLI ou SDK Organizations `DeregisterDelegatedAdministrator`.

# Amazon Security Lake et AWS Organizations
<a name="services-that-can-integrate-sl"></a>

Amazon Security Lake centralise les données de sécurité provenant de sources cloud, sur site et personnalisées dans un lac de données qui est stocké dans votre compte. Grâce à l'intégration avec Organizations, vous pouvez créer un lac de données qui collecte les journaux et les événements de l'ensemble de vos comptes. Pour plus d'informations, consultez [Gestion de plusieurs comptes avec AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) (français non garanti) dans le *Guide de l'utilisateur Amazon Security Lake* (français non garanti). 

Utilisez les informations suivantes pour vous aider à intégrer Amazon Security Lake à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-sl"></a>

Le [rôle lié au service](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous appelez l'[RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html)API. Ce rôle permet à Amazon Security Lake d'effectuer des opérations prises en charge au sein des comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Amazon Security Lake et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForSecurityLake`

**Recommandation : utilisez l' RegisterDataLakeDelegatedAdministrator API de Security Lake pour autoriser Security Lake à accéder à votre organisation et pour enregistrer l'administrateur délégué de l'organisation**  
Si vous utilisez « Organisations » APIs pour enregistrer un administrateur délégué, les rôles liés aux services pour les organisations risquent de ne pas être créés correctement. Pour garantir une fonctionnalité complète, utilisez le Security Lake APIs.

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-sl"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Amazon Security Lake donnent accès aux principaux de service suivants :
+ `securitylake.amazonaws.com`

## Permettre un accès fiable avec Amazon Security Lake
<a name="integrate-enable-ta-sl"></a>

Lorsque vous activez l'accès approuvé avec Security Lake, il peut réagir automatiquement aux changements dans l'appartenance à l'organisation. L'administrateur délégué peut activer la collecte de AWS journaux à partir des services pris en charge dans n'importe quel compte d'organisation. Pour plus d'informations, consultez la section [Rôle lié à un service pour Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html) (français non garanti) dans le *guide de l'utilisateur Amazon Security Lake* (français non garanti).

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon Security Lake** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour Amazon Security Lake**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer Amazon Security Lake en tant que service fiable auprès d'Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec Amazon Security Lake
<a name="integrate-disable-ta-sl"></a>

Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé à Amazon Security Lake. 

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon Security Lake** dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de dialogue **Désactiver l'accès sécurisé pour Amazon Security Lake**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver Amazon Security Lake en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour Amazon Security Lake
<a name="integrate-enable-da-sl"></a>

L'administrateur délégué d'Amazon Security Lake ajoute d'autres comptes au sein de l'organisation en tant que comptes de membres. L'administrateur délégué peut activer Amazon Security Lake et configurer les paramètres Amazon Security Lake pour les comptes des membres. L'administrateur délégué peut collecter des journaux au sein d'une organisation dans toutes les AWS régions où Amazon Security Lake est activé (quel que soit le point de terminaison régional que vous utilisez actuellement).

Vous pouvez également configurer l'administrateur délégué de manière à ce qu'il ajoute automatiquement les nouveaux comptes dans l'organisation en tant que membres. L'administrateur délégué d'Amazon Security Lake a accès aux journaux et aux événements des comptes membres associés. Par conséquent, vous pouvez configurer Amazon Security Lake pour collecter les données détenues par les comptes membres associés. Vous pouvez également accorder aux abonnés l'autorisation de consommer des données appartenant à des comptes membres associés.

Pour plus d'informations, consultez [Gestion de plusieurs comptes avec AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) (français non garanti) dans le *Guide de l'utilisateur Amazon Security Lake* (français non garanti).

**Autorisations minimales**  
Seul un administrateur du compte de gestion de l'organisation peut configurer un compte membre en tant qu'administrateur délégué pour Amazon Security Lake au sein de l'organisation.

Vous pouvez spécifier un compte d'administrateur délégué à l'aide de la console Amazon Security Lake, de l'opération d'`CreateDatalakeDelegatedAdmin`API Amazon Security Lake ou de la commande `create-datalake-delegated-admin` CLI. Vous pouvez également utiliser l'opération CLI ou SDK d'Organisations `RegisterDelegatedAdministrator`. Pour obtenir des instructions sur l'activation d'un compte d'administrateur délégué pour Amazon Security Lake, consultez la section [Désignation de l'administrateur délégué de Security Lake et ajout de comptes membres](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin) dans le guide de *l'utilisateur d'Amazon Security Lake*.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour Amazon Security Lake
<a name="integrate-disable-da-sl"></a>

Seul un administrateur du compte de gestion des Organizations ou du compte d'administrateur délégué Amazon Security Lake peut supprimer un compte d'administrateur délégué de l'organisation. 

Vous pouvez supprimer le compte d'administrateur délégué à l'aide de l'opération d'`DeregisterDataLakeDelegatedAdministrator`API Amazon Security Lake, de la commande `deregister-data-lake-delegated-administrator` CLI, ou en utilisant l'opération Organizations `DeregisterDelegatedAdministrator` CLI ou SDK. Pour supprimer un administrateur délégué à l'aide d'Amazon Security Lake, consultez la section [Suppression de l'administrateur délégué Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin) dans le *guide de l'utilisateur d'Amazon Security Lake*.

# AWS Service Catalog et AWS Organizations
<a name="services-that-can-integrate-servicecatalog"></a>

Service Catalog vous permet de créer et gérer des catalogues de services informatiques qui sont approuvés pour être utilisés sur AWS.

L'intégration de Service Catalog AWS Organizations simplifie le partage de portefeuilles et la copie de produits au sein d'une organisation. Les administrateurs de Service Catalog peuvent faire référence à une organisation existante AWS Organizations lorsqu'ils partagent un portefeuille, et ils peuvent partager le portefeuille avec n'importe quelle unité organisationnelle (UO) fiable dans l'arborescence de l'organisation. Il n'est donc plus nécessaire de partager le portefeuille IDs et le compte destinataire n'a plus à faire référence manuellement à l'identifiant du portefeuille lors de l'importation du portefeuille. Les portefeuilles partagés via cette méthode sont répertoriés dans le compte de réception dans la vue **Imported Portfolio** (Portefeuille importé) de l'administrateur dans Service Catalog.

Pour obtenir plus d'informations sur Service Catalog, consultez le [https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html).

Utilisez les informations suivantes pour vous aider AWS Service Catalog à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-servicecatalog"></a>

AWS Service Catalog ne crée aucun rôle lié à un service dans le cadre de l'activation d'un accès sécurisé.

## Mandataires de service utilisés pour accorder des autorisations
<a name="integrate-enable-svcprin-servicecatalog"></a>

Pour activer l'accès approuvé, vous devez spécifier le principal de service suivant :
+ `servicecatalog.amazonaws.com`

## Activation de l'accès approuvé avec Service Catalog
<a name="integrate-enable-ta-servicecatalog"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Service Catalog console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Service Catalog console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Service Catalog d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Service Catalog. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Service Catalog console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer un accès sécurisé à l'aide de la CLI ou du AWS SDK Service Catalog**  
Appelez l'une des commandes ou opérations suivantes :
+ AWS CLI: catalogue de [services aws enable-aws-organizations-access](https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/enable-aws-organizations-access.html)
+ AWS SDKs: [AWSServiceCatalog : :Activer AWSOrganizations](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html) l'accès

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Service Catalog**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Service Catalog dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Service Catalog qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Service Catalog en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal servicecatalog.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès approuvé avec Service Catalog
<a name="integrate-disable-ta-servicecatalog"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Si vous désactivez l'accès sécurisé AWS Organizations pendant que vous utilisez Service Catalog, cela ne supprime pas vos partages actuels, mais vous empêche d'en créer de nouveaux au sein de votre organisation. Les partages actuels ne seront pas synchronisés avec la structure de votre organisation si elle change après l'appel de cette action.

**Pour désactiver l'accès sécurisé à l'aide de la CLI ou du AWS SDK Service Catalog**  
Appelez l'une des commandes ou opérations suivantes :
+ AWS CLI: catalogue de [services aws disable-aws-organizations-access](https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/disable-aws-organizations-access.html)
+ AWS SDKs: [Désactiver AWSOrganizations l'accès](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_DisableAWSOrganizationsAccess.html)

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Service Catalog**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS Service Catalog dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Service Catalog qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Service Catalog en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal servicecatalog.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Service Quotas et AWS Organizations
<a name="services-that-can-integrate-servicequotas"></a>

Service Quotas est un AWS service qui vous permet de consulter et de gérer vos quotas à partir d'un emplacement central. Les quotas, également appelés limites, sont la valeur maximale pour vos ressources, actions et éléments de votre Compte AWS.

Lorsque Service Quotas est associé à AWS Organizations, vous pouvez créer un modèle de demande de quota pour demander automatiquement des augmentations de quotas lors de la création de comptes.

Pour plus d'informations sur Service Quotas, consultez le [Guide de l'utilisateur Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/).

Utilisez les informations suivantes pour vous aider à intégrer les Quotas de Service à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-servicequotas"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Service Quotas d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Service Quotas et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForServiceQuotas`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-servicequotas"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Service Quotas autorisent l'accès aux mandataires de service suivants :
+ `servicequotas.amazonaws.com`

## Activation de l'accès approuvé avec Service Quotas
<a name="integrate-enable-ta-servicequotas"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des Service Quotas.

Vous pouvez activer l'accès sécurisé à l'aide de la console Service Quotas, AWS CLI ou SDK :
+ 

**Pour activer l'accès approuvé à l'aide de la console Service Quotas**  
Connectez-vous avec votre compte AWS Organizations de gestion, puis configurez le modèle sur la console Service Quotas. Pour plus d'informations, consultez [Utilisation du modèle Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/organization-templates.html) dans le *Guide de l'utilisateur Service Quotas*. 
+ 

**Pour activer un accès sécurisé à l'aide du Service Quotas AWS CLI ou du SDK**  
Appelez la commande ou l'opération suivante :
  + AWS CLI: quotas de [service AWS associate-service-quota-template](https://docs.aws.amazon.com/cli/latest/reference/service-quotas/API_AssociateServiceQuotaTemplate.html)
  + AWS SDKs: [AssociateServiceQuotaTemplate](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_AssociateServiceQuotaTemplate.html)

# AWS IAM Identity Center et AWS Organizations
<a name="services-that-can-integrate-sso"></a>

AWS IAM Identity Center fournit un accès par authentification unique pour toutes vos applications Comptes AWS et celles du cloud. Il se connecte à Microsoft Active Directory AWS Directory Service pour permettre aux utilisateurs de cet annuaire de se connecter à un portail d' AWS accès personnalisé en utilisant leurs noms d'utilisateur et mots de passe Active Directory existants. À partir du portail AWS d'accès, les utilisateurs ont accès à toutes Comptes AWS les applications cloud pour lesquelles ils sont autorisés.

Pour plus d'informations sur IAM Identity Center, consultez le [Guide de l'utilisateur AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/).

Utilisez les informations suivantes pour vous aider AWS IAM Identity Center à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-sso"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à IAM Identity Center d'effectuer des opérations prises en charge dans les comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès de confiance entre IAM Identity Center et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForSSO`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-sso"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par IAM Identity Center accordent l'accès aux principaux de service suivants :
+ `sso.amazonaws.com`

## Activation de l'accès de confiance avec IAM Identity Center
<a name="integrate-enable-ta-sso"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS IAM Identity Center console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS IAM Identity Center console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS IAM Identity Center d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS IAM Identity Center. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS IAM Identity Center console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Pour fonctionner, IAM Identity Center a besoin d'un AWS Organizations accès sécurisé. L'accès de confiance est activé lorsque vous configurez IAM Identity Center. Pour plus d'informations, consultez [Démarrez - Étape 1 : Activer AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html) dans le *Guide de l'utilisateur AWS IAM Identity Center *.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS IAM Identity Center**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS IAM Identity Center dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS IAM Identity Center qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS IAM Identity Center en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal sso.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès de confiance avec IAM Identity Center
<a name="integrate-disable-ta-sso"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Pour fonctionner, IAM Identity Center a besoin d'un AWS Organizations accès fiable. Si vous désactivez l'accès sécurisé AWS Organizations pendant que vous utilisez IAM Identity Center, celui-ci cesse de fonctionner car il ne peut pas accéder à l'organisation. Les utilisateurs ne peuvent pas utiliser IAM Identity Center pour accéder aux comptes. Les rôles créés par IAM Identity Center sont conservés, mais le service IAM Identity Center ne peut pas y accéder. Les rôles liés au service IAM Identity Center sont conservés. Si vous réactivez l'accès de confiance, IAM Identity Center continue de fonctionner comme avant, sans que vous ayez à reconfigurer le service. 

Si vous supprimez un compte de votre organisation, IAM Identity Center nettoie automatiquement toutes les métadonnées et ressources, telles que son rôle lié au service. Un compte autonome qui est supprimé d'une organisation cesse de fonctionner avec IAM Identity Center.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS IAM Identity Center**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS IAM Identity Center dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS IAM Identity Center qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS IAM Identity Center en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal sso.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour IAM Identity Center
<a name="integrate-disable-da-sso"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour IAM Identity Center qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion d'IAM Identity Center.

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué IAM Identity Center dans l'organisation.  


Pour obtenir des instructions sur la façon d'activer un compte administrateur délégué pour IAM Identity Center, consultez [Administration déléguée](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) dans le *Guide de l'utilisateur AWS IAM Identity Center *.

# AWS Systems Manager et AWS Organizations
<a name="services-that-can-integrate-ssm"></a>

AWS Systems Manager est un ensemble de fonctionnalités qui permettent la visibilité et le contrôle de vos AWS ressources. Les fonctionnalités suivantes de Systems Manager fonctionnent avec Organizations sur l'ensemble des Comptes AWS de votre organisation :
+ Systems Manager Explorer est un tableau de bord des opérations personnalisable qui fournit des informations sur vos AWS ressources. Vous pouvez synchroniser les données opérationnelles Comptes AWS dans l'ensemble de votre organisation à l'aide de Organizations and Systems Manager Explorer. Pour plus d'informations, consultez [Systems Manager Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html) dans le *Guide de l'utilisateur AWS Systems Manager *.
+ Systems Manager Change Manager est une structure de gestion des changements d'entreprise qui permet de demander, d'approuver, de mettre en œuvre et de générer des rapports sur les modifications opérationnelles apportées à la configuration et à l'infrastructure de votre application. Pour plus d'informations, consultez [AWS Systems Manager Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html) dans le *Guide de l'utilisateur AWS Systems Manager *.
+ Systems Manager OpsCenter fournit un emplacement central où les ingénieurs des opérations et les professionnels de l'informatique peuvent consulter, étudier et résoudre les éléments de travail opérationnels (OpsItems) liés aux AWS ressources. Lorsque vous l'utilisez OpsCenter avec Organizations, il permet de travailler OpsItems depuis un compte de gestion (soit un compte de gestion Organizations, soit un compte administrateur délégué de Systems Manager) et un autre compte au cours d'une seule session. Une fois la configuration terminée, les utilisateurs peuvent effectuer les types d'actions suivants :
  + Créez, consultez et mettez à jour OpsItems dans un autre compte.
  + Afficher des informations détaillées sur les AWS ressources spécifiées OpsItems dans un autre compte.
  + Démarrez les runbooks de Systems Manager Automation pour résoudre les problèmes liés aux AWS ressources d'un autre compte.

  Pour plus d’informations, consultez [AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html) dans le *Guide de l’utilisateur AWS Systems Manager *.
+ Utilisez la configuration rapide pour configurer rapidement les AWS services et fonctionnalités fréquemment utilisés conformément aux meilleures pratiques recommandées. Pour plus d'informations, consultez [AWS Systems Manager Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-quick-setup.html) dans le *Guide de l'utilisateur AWS Systems Manager *.

  Lorsque vous enregistrez un compte d'administrateur AWS Organizations délégué pour Systems Manager, vous pouvez créer, mettre à jour, afficher et supprimer les gestionnaires de configuration Quick Setup qui ciblent les unités organisationnelles d'une organisation. Pour en savoir plus, [consultez la section Utilisation d'un administrateur délégué pour la configuration rapide](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-delegated-administrator.html) dans le *guide de AWS Systems Manager l'utilisateur*.
+ Lorsque vous configurez la console intégrée pour Systems Manager, vous entrez un compte d'administrateur délégué. Ce compte est utilisé pour enregistrer des comptes d'administrateur AWS Organizations délégué avec Quick Setup CloudFormation StackSets, Explorer et Resource Explorer. Pour en savoir plus, [consultez le *guide d'AWS Systems Manager utilisation* de la console intégrée de Systems Manager pour une entreprise](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-organizations.html).

Utilisez les informations suivantes pour vous aider AWS Systems Manager à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-ssm"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Systems Manager d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Systems Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-ssm"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Systems Manager autorisent l'accès aux mandataires de service suivants :
+ `ssm.amazonaws.com`

## Activation de l'accès approuvé avec Systems Manager
<a name="integrate-enable-ta-ssm"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Systems Manager**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Systems Manager dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Systems Manager qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Systems Manager en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès approuvé avec Systems Manager
<a name="integrate-disable-ta-ssm"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Systems Manager a besoin d'un accès fiable AWS Organizations pour synchroniser les données opérationnelles au Comptes AWS sein de votre organisation. Si vous désactivez l'accès approuvé, Systems Manager ne parvient pas à synchroniser les données opérationnelles et signale une erreur.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Systems Manager**dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de AWS Systems Manager dialogue **Désactiver l'accès sécurisé pour**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Systems Manager qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Systems Manager en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour Systems Manager
<a name="integrate-enable-da-ssm"></a>

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Systems Manager qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Systems Manager.

Si vous utilisez Change Manager dans une organisation, vous utilisez un compte administrateur délégué. Il s'agit du compte Compte AWS qui a été désigné pour gérer les modèles de modification, les demandes de modification, les livrets de modifications et les flux de travail d'approbation dans Change Manager. Le compte délégué gère les activités de modification dans l'ensemble de votre organisation. Lorsque vous configurez votre organisation pour l'utiliser avec Change Manager, vous spécifiez lequel de vos comptes est utilisé dans ce rôle. Ce n'est pas nécessairement le compte de gestion de l'organisation. Le compte administrateur délégué n'est pas obligatoire si vous utilisez Change Manager avec un seul compte.

**Pour désigner un compte de membre comme administrateur délégué, consultez les rubriques suivantes du *Guide de l'utilisateur AWS Systems Manager* :**  

+ Pour Explorer et OpsCenter, voir [Configuration d'un administrateur délégué](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator.html).
+ Pour Change Manager, consultez [Configuration d'une organisation et d'un compte délégué pour Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html).
+ Pour la configuration rapide, voir [Enregistrer un administrateur délégué pour la configuration rapide](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-register-delegated-administrator.html).

## Désactivation d'un compte d'administrateur délégué pour Systems Manager
<a name="integrate-disable-da-ssm"></a>

**Pour annuler l'enregistrement d'un administrateur délégué, consultez les rubriques suivantes du guide de l'*AWS Systems Manager utilisateur* :**  

+ Pour Explorer et OpsCenter, voir [Désenregistrer un administrateur délégué d'Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator-deregister.html).
+ Pour Change Manager, consultez [Configuration d'une organisation et d'un compte délégué pour Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html).
+ Pour la configuration rapide, voir [Désenregistrer un administrateur délégué pour la configuration rapide](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-deregister-delegated-administrator.html).

# Notifications des utilisateurs AWS et AWS Organizations
<a name="services-that-can-integrate-uno"></a>

[Notifications des utilisateurs AWS](https://aws.amazon.com/notifications)est un emplacement central pour vos AWS notifications.

Après l'intégration AWS Organizations, vous pouvez configurer et consulter les notifications de manière centralisée pour tous les comptes de votre organisation.

Utilisez les informations suivantes pour vous aider Notifications des utilisateurs AWS à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-uno"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' Notifications des utilisateurs effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Notifications des utilisateurs et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForAWSUserNotifications`

Pour plus d'informations, consultez la section [Utilisation des rôles liés à un service](https://docs.aws.amazon.com/notifications/latest/userguide/using-service-linked-roles.html) dans le guide de l'*Notifications des utilisateurs AWS utilisateur*.

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-uno"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Notifications des utilisateurs accordent l'accès aux principaux de service suivants :
+ `notifications.amazon.com`

## Permettre un accès fiable avec Notifications des utilisateurs
<a name="integrate-enable-ta-uno"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'en utilisant Notifications des utilisateurs AWS.

Pour activer l'accès sécurisé à l'aide de la Notifications des utilisateurs console, consultez la section [Activation AWS OrganizationsNotifications des utilisateurs AWS dans](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html) le *guide de Notifications des utilisateurs l'utilisateur*. 

## Désactiver l'accès sécurisé avec Notifications des utilisateurs
<a name="integrate-disable-ta-uno"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous ne pouvez activer l'accès sécurisé qu'en utilisant Notifications des utilisateurs AWS.

Pour désactiver l'accès sécurisé à l'aide de la Notifications des utilisateurs console, consultez la section [Activation AWS OrganizationsNotifications des utilisateurs AWS dans](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html) le *guide de Notifications des utilisateurs l'utilisateur*. 

## Activation d'un compte d'administrateur délégué pour Notifications des utilisateurs
<a name="integrate-enable-da-uno"></a>

L'administrateur du compte de gestion peut déléguer des autorisations Notifications des utilisateurs administratives à un compte de membre désigné appelé administrateur délégué. **Pour enregistrer un compte en tant qu'administrateur délégué pour le marché privé, l'administrateur du compte de gestion doit s'assurer que l'accès sécurisé et le rôle lié au service sont activés, choisir **Enregistrer un nouvel administrateur**, fournir le numéro de AWS compte à 12 chiffres et choisir Soumettre.** 

Les comptes de gestion et les comptes d'administrateur délégué peuvent effectuer des tâches Notifications des utilisateurs administratives, telles que la création d'expériences, la mise à jour des paramètres de marque, l'association ou la dissociation d'audiences, l'ajout ou la suppression de produits, ainsi que l'approbation ou le refus des demandes en attente.

Pour configurer un administrateur délégué à l'aide de la Notifications des utilisateurs console, consultez la section [Enregistrement des administrateurs délégués Notifications des utilisateurs AWS dans](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html#register-admins) le *Guide de Notifications des utilisateurs l'utilisateur*.

Vous pouvez également configurer un administrateur délégué à l'aide de l'`RegisterDelegatedAdministrator`API Organizations. Pour plus d'informations, reportez-vous [ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)à la section *Organizations Command Reference*.

## Désactivation d'un administrateur délégué pour Notifications des utilisateurs
<a name="integrate-disable-da-uno"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Notifications des utilisateurs.

Vous pouvez supprimer l'administrateur délégué à l'aide de la Notifications des utilisateurs console ou de l'API, ou à l'aide de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations.

 Pour désactiver le Notifications des utilisateurs compte d'administrateur délégué à l'aide de la Notifications des utilisateurs console, voir [Supprimer les administrateurs délégués Notifications des utilisateurs AWS dans](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html#deregister-admins) le *Guide de Notifications des utilisateurs l'utilisateur*.

# Politiques relatives aux tags et AWS Organizations
<a name="services-that-can-integrate-tag-policies"></a>

Les *politiques de balises* sont un type de politique AWS Organizations qui peut vous aider à standardiser les balises entre les ressources des comptes de votre organisation. Pour de plus amples informations sur les politiques de balises, consultez [Politiques de balises](orgs_manage_policies_tag-policies.md). 

Utilisez les informations suivantes pour vous aider à intégrer les politiques de balises à AWS Organizations.



## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-tag-policies"></a>

Organizations interagit avec les balises attachées à vos ressources à l'aide du mandataire de service suivant.
+ `tagpolicies.tag.amazonaws.com`

## Activation de l'accès approuvé pour les politiques de balises
<a name="integrate-enable-ta-tag-policies"></a>

Vous pouvez activer l'accès sécurisé soit en activant les politiques de balises dans l'organisation, soit en utilisant la AWS Organizations console.

**Important**  
Nous vous recommandons vivement d'activer l'accès approuvé en activant des politiques de balises. Cela permet à Organizations d'effectuer les tâches de configuration requises.

Vous pouvez activer l'accès approuvé pour les politiques de balises en activant le type de politique de balises dans la console AWS Organizations . Pour de plus amples informations, veuillez consulter [Désactivation d'un type de politique](enable-policy-type.md).

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **les politiques relatives aux balises** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour les politiques de balises**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, indiquez à l'administrateur des politiques de balises qu'il peut désormais permettre à ce service de fonctionner avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer les politiques de balises en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal tagpolicies.tag.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactivation de l'accès approuvé avec les politiques de balises
<a name="integrate-disable-ta-tag-policies"></a>

Vous pouvez désactiver l'accès sécurisé pour les politiques de balises en désactivant le type de politique de balise dans la AWS Organizations console. Pour de plus amples informations, veuillez consulter [Désactivation d'un type de politique](disable-policy-type.md). 

# AWS Trusted Advisor et AWS Organizations
<a name="services-that-can-integrate-ta"></a>

AWS Trusted Advisor inspecte votre AWS environnement et émet des recommandations lorsque des opportunités se présentent pour économiser de l'argent, améliorer la disponibilité et les performances du système ou contribuer à combler les failles de sécurité. Une fois intégré à Organizations, vous pouvez recevoir les résultats des Trusted Advisor contrôles pour tous les comptes de votre organisation et télécharger des rapports pour consulter les résumés de vos contrôles et des ressources concernées.

Pour de plus amples informations, consultez [Vue organisationnelle pour AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html) dans le *Guide de l'utilisateur AWS Support *.

Utilisez les informations suivantes pour vous aider AWS Trusted Advisor à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-ta"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' Trusted Advisor effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Trusted Advisor et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForTrustedAdvisorReporting`

## Mandataires de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-ta"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Trusted Advisor accordent l'accès aux principaux de service suivants :
+ `reporting.trustedadvisor.amazonaws.com`

## Permettre un accès fiable avec Trusted Advisor
<a name="integrate-enable-ta-ta"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide de AWS Trusted Advisor.

**Pour activer l'accès sécurisé à l'aide de la Trusted Advisor console**  
Consultez [Activer la vue organisationnelle](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#enable-organizational-view) dans le *Guide de l'utilisateur AWS Support *.

## Désactiver l'accès sécurisé avec Trusted Advisor
<a name="integrate-disable-ta-ta"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Une fois cette fonctionnalité désactivée, l'enregistrement des informations relatives aux chèques pour tous les autres comptes de votre organisation Trusted Advisor cesse d'être enregistré. Vous ne pouvez pas afficher ou télécharger des rapports existants ou créer de nouveaux rapports. 

Vous pouvez désactiver l'accès sécurisé à l'aide des outils AWS Trusted Advisor ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Trusted Advisor console ou les outils pour désactiver l'intégration avec Organizations. Cela permet AWS Trusted Advisor d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par AWS Trusted Advisor.  
Si vous désactivez l'accès sécurisé à l'aide de la AWS Trusted Advisor console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour désactiver l'accès sécurisé à l'aide de la Trusted Advisor console**  
 Consultez [Désactiver la vue organisationnelle](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#disable-organizational-view) dans le *Guide de l'utilisateur AWS Support *.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Trusted Advisor en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal reporting.trustedadvisor.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour Trusted Advisor
<a name="integrate-enable-da-ta"></a>

Lorsque vous désignez un compte membre comme administrateur délégué de l'organisation, les utilisateurs et les rôles du compte désigné peuvent gérer les métadonnées Compte AWS pour les autres comptes membres de l'organisation. Si vous n'activez pas de compte administrateur délégué, seul le compte de gestion de l'organisation peut effectuer ces tâches. Cela vous permet de séparer la gestion de l'organisation de celle des détails de votre compte.

**Autorisations minimales**  
Seul un utilisateur ou un rôle dans le compte de gestion des Organisations peut configurer un compte membre Trusted Advisor en tant qu'administrateur délégué pour l'organisation.

Pour obtenir des instructions sur l'activation d'un compte d'administrateur délégué pour Trusted Advisor, voir [Enregistrer les administrateurs délégués](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#register-delegated-administrators) dans le *guide de Support l'utilisateur*.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal reporting.trustedadvisor.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour Trusted Advisor
<a name="integrate-disable-da-ta"></a>

Vous pouvez supprimer l'administrateur délégué à l'aide de la Trusted Advisor console, de la `DeregisterDelegatedAdministrator` CLI ou du SDK Organizations. Pour plus d'informations sur la façon de désactiver le Trusted Advisor compte d'administrateur délégué à l'aide de la Trusted Advisor console, voir [Désenregistrer les administrateurs délégués](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#deregister-delegated-administrators) dans le guide de l'*Support utilisateur*.

# AWS Well-Architected Tool et AWS Organizations
<a name="services-that-can-integrate-wat"></a>

Il vous AWS Well-Architected Tool aide à documenter l'état de vos charges de travail et à les comparer aux meilleures pratiques AWS architecturales les plus récentes.

L'utilisation de AWS Well-Architected Tool with Organizations permet à AWS Well-Architected Tool Both et aux clients d'Organizations de simplifier le processus de partage AWS Well-Architected Tool des ressources avec les autres membres de leur organisation.

Pour plus d’informations, consultez [Partage de vos ressources AWS Well-Architected Tool](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html) dans le *Guide de l’utilisateur AWS Well-Architected Tool *.

Utilisez les informations suivantes pour vous aider AWS Well-Architected Tool à intégrer AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-wat"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' AWS WA Tool effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre AWS WA Tool et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForWellArchitected`

La politique de fonction du service est `AWSWellArchitectedOrganizationsServiceRolePolicy`

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-wat"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par AWS WA Tool accordent l'accès aux principaux de service suivants :
+ `wellarchitected.amazonaws.com`

## Permettre un accès fiable avec AWS WA Tool
<a name="integrate-enable-ta-wat"></a>

Permet la mise à jour de AWS WA Tool pour refléter les changements hiérarchiques au sein d'une organisation.

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Well-Architected Tool console ou de la AWS Organizations console.

**Important**  
Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Well-Architected Tool console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Well-Architected Tool d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Well-Architected Tool. Pour plus d'informations, consultez [cette note](orgs_integrate_services.md#important-note-about-integration).   
Si vous activez l'accès sécurisé à l'aide de la AWS Well-Architected Tool console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour activer l'accès sécurisé à l'aide de la AWS WA Tool console**  
Consultez la section [Partage de vos AWS Well-Architected Tool ressources](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html) dans le *guide de AWS Well-Architected Tool l'utilisateur*.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **AWS Well-Architected Tool**dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de AWS Well-Architected Tool dialogue **Activer l'accès sécurisé pour**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Well-Architected Tool qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour l'activer AWS Well-Architected Tool en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal wellarchitected.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec AWS WA Tool
<a name="integrate-disable-ta-wat"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous pouvez désactiver l'accès sécurisé à l'aide des outils AWS Well-Architected Tool ou des AWS Organizations outils.

**Important**  
Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Well-Architected Tool console ou les outils pour désactiver l'intégration avec Organizations. Cela permet AWS Well-Architected Tool d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par AWS Well-Architected Tool.  
Si vous désactivez l'accès sécurisé à l'aide de la AWS Well-Architected Tool console ou des outils, vous n'avez pas besoin de suivre ces étapes.

**Pour désactiver l'accès sécurisé à l'aide de la AWS WA Tool console**  
Consultez la section [Partage de vos AWS Well-Architected Tool ressources](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html) dans le *guide de AWS Well-Architected Tool l'utilisateur*.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour le désactiver AWS Well-Architected Tool en tant que service sécurisé auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal wellarchitected.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Gestionnaire d'adresses IP Amazon VPC (IPAM) et AWS Organizations
<a name="services-that-can-integrate-ipam"></a>

Amazon VPC IP Address Manager (IPAM) est une fonctionnalité VPC qui vous permet de planifier, suivre et surveiller plus facilement les adresses IP pour vos charges de travail. AWS 

L'utilisation vous AWS Organizations permet de surveiller l'utilisation des adresses IP dans l'ensemble de votre organisation et de partager des pools d'adresses IP entre les comptes des membres.



Pour plus d'informations, consultez [Intégration d'IPAM à AWS Organizations](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) dans le *Guide de l'utilisateur Amazon VPC IPAM*. 

Utilisez les informations suivantes pour vous aider à intégrer Amazon VPC IP Address Manager (IPAM) à. AWS Organizations

## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-ipam"></a>

Le rôle lié à un service ci-dessous est automatiquement créé dans le compte de gestion de votre organisation et dans chaque compte membre au moment où vous intégrez IPAM à AWS Organizations à partir de la console IPAM ou de l'API `EnableIpamOrganizationAdminAccount` d'IPAM. 
+ `AWSServiceRoleForIPAM`

Pour plus d'informations, consultez [Rôles lié à un service pour IPAM](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)dans le *Guide de l'utilisateur Amazon VPC IPAM*. 

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-ipam"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par IPAM accordent l'accès aux principaux de service suivants :
+ `ipam.amazonaws.com`

## Pour activer l'accès approuvé auprès d'IPAM
<a name="integrate-enable-ta-ipam"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

**Note**  
Lorsque vous désignez un administrateur délégué pour IPAM, il active automatiquement l'accès approuvé pour IPAM pour votre organisation.  
L'IPAM a besoin d'un AWS Organizations accès sécurisé pour que vous puissiez désigner un compte membre en tant qu'administrateur délégué de ce service pour votre organisation.

Vous ne pouvez activer l'accès sécurisé qu'à partir des outils Amazon VPC IP Address Manager (IPAM).

Si vous intégrez IPAM à AWS Organizations l'aide de la console IPAM ou de l'`EnableIpamOrganizationAdminAccount`API IPAM, vous accordez automatiquement un accès sécurisé à IPAM. L'octroi d'un accès approuvé a pour effet de créer le rôle lié à un service ` AWS ServiceRoleForIPAM`dans le compte de gestion et dans tous les comptes membres de l'organisation. IPAM utilise le rôle lié à un service pour surveiller les CIDR associés aux ressources réseau EC2 de votre organisation et pour stocker les métriques relatives à l'IPAM sur Amazon. CloudWatch Pour plus d'informations, consultez [Rôles lié à un service pour IPAM](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)dans le *Guide de l'utilisateur Amazon VPC IPAM*. 

 Pour savoir comment activer l'accès approuvé, consultez [Intégration d'IPAM à AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html) dans le *Guide de l'utilisateur Amazon VPC IPAM*. 

**Note**  
 Vous ne pouvez pas activer l'accès sécurisé avec IPAM à l'aide de la AWS Organizations console ou de l'[https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)API. 

## Pour désactiver l'accès approuvé auprès d'IPAM
<a name="integrate-disable-ta-ipam"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Seul un administrateur du compte de AWS Organizations gestion peut désactiver l'accès sécurisé avec IPAM à l'aide de l' AWS Organizations `disable-aws-service-access`API. 

 Pour en savoir plus sur la désactivation des autorisations de compte IPAM et sur la suppression du rôle lié à un service, consultez [Rôles lié à un service pour IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam-slr.html) dans le *Guide de l'utilisateur Amazon VPC IPAM*. 

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver Amazon VPC IP Address Manager (IPAM) en tant que service fiable auprès des Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ipam.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte administrateur délégué pour IPAM
<a name="integrate-enable-da-ipam"></a>

Le compte administrateur délégué pour IPAM est responsable de la création des groupes d'adresses IP et IPAM, de la gestion et du contrôle de l'utilisation des adresses IP dans l'organisation et du partage des groupes d'adresses IP entre les comptes membres. Pour plus d'informations, consultez [Intégration d'IPAM à AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html) dans le *Guide de l'utilisateur Amazon VPC IPAM*.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour IPAM.

Vous pouvez spécifier un compte d'administrateur délégué à partir de la console IPAM ou à l'aide de l'API `enable-ipam-organization-admin-account`. Pour plus d'informations, consultez [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) dans le manuel de *référence des AWS AWS CLI commandes*. 

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué d'IPAM dans l'organisation.

Pour configurer un administrateur délégué à l’aide de la console IPAM, consultez [Intégrer IPAM à AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html) dans le *Guide de l'utilisateur Amazon VPC IPAM*.

## Désactivation d'un administrateur délégué pour IPAM
<a name="integrate-disable-da-ipam"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour IPAM.

 Pour supprimer un administrateur délégué à l'aide de AWS AWS CLI, consultez [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html) dans le manuel de *référence des AWS AWS CLI commandes*.

 Pour désactiver le compte IPAM d'administrateur délégué à l’aide de la console IPAM, consultez [Intégrer PAM à AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html) dans le *Guide de l'utilisateur Amazon VPC IPAM*.

# Analyseur de reachabilité Amazon VPC et AWS Organizations
<a name="services-that-can-integrate-ra"></a>

Reachability Analyzer est un outil d'analyse de configuration qui vous permet d'effectuer des tests de connectivité entre une ressource source et une ressource de destination dans vos clouds privés virtuels (). VPCs

L'utilisation AWS Organizations de Reachability Analyzer vous permet de suivre les parcours entre les comptes de votre organisation.



*Pour plus d'informations, consultez la section [Gérer les comptes d'administrateurs délégués dans Reachability Analyzer dans le guide de l'utilisateur de Reachability](https://docs.aws.amazon.com/vpc/latest/reachability/manage-delegated-administrators.html) Analyzer.* 

Utilisez les informations suivantes pour vous aider à intégrer Reachability Analyzer à. AWS Organizations

## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-ra"></a>

Le [rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Reachability Analyzer d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Reachability Analyzer et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForReachabilityAnalyzer`

Pour plus d'informations, voir [Analyses entre comptes pour Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) dans le *Guide de l'utilisateur de Reachability Analyzer*. 

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-ra"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Reachability Analyzer autorisent l'accès aux principaux de service suivants :
+ `reachabilityanalyzer.networkinsights.amazonaws.com`

## Pour activer l'accès approuvé pour Reachability Analyzer
<a name="integrate-enable-ta-ra"></a>

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Lorsque vous désignez un administrateur délégué pour Reachability Analyzer, il active automatiquement l'accès approuvé pour Reachability Analyzer pour votre organisation.

Reachability Analyzer nécessite un accès sécurisé AWS Organizations pour que vous puissiez désigner un compte de membre en tant qu'administrateur délégué de ce service pour votre organisation.

**Important**  
Vous pouvez activer l'accès approuvé à l'aide de la console Reachability Analyzer ou de la console Organizations. Nous vous recommandons vivement d'utiliser la console Reachability Analyzer ou l'API `EnableMultiAccountAnalysisForAwsOrganization` pour activer l'intégration à Organizations. Cela permet à Reachability Analyzer d'effectuer toute configuration nécessaire, par exemple la création des ressources nécessaires au service. 
L'octroi d'un accès approuvé a pour effet de créer le rôle lié à un service ` AWSServiceRoleForReachabilityAnalyzer`dans le compte de gestion et dans tous les comptes membres de l'organisation. Reachability Analyzer utilise le rôle lié au service pour permettre à la direction et à l'administrateur délégué d'exécuter des analyses de connectivité entre toutes les ressources de l'organisation. Reachability Analyzer est capable de prendre des instantanés des éléments réseau des comptes d'une organisation afin de répondre aux demandes de connectivité. 
Pour obtenir plus d'informations et des conseils sur l'activation d'un accès approuvé par Reachability Analyzer, consultez [Analyses entre comptes pour Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) dans le *Guide de l'utilisateur de Reachability Analyzer*. 

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Sur la page **[Services](https://console.aws.amazon.com/organizations/v2/home/services)**, recherchez la ligne correspondant à **Analyseur d'accessibilité VPC**, choisissez le nom du service, puis choisissez **Activer l'accès approuvé**.

1. Dans la boîte de dialogue de confirmation, activez **Show the option to enable trusted access (Afficher l'option pour activer l'accès approuvé)**, saisissez **enable** dans la zone, puis choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur de Reachability Analyzer qu'il peut désormais activer ce service à l'aide de sa console. AWS Organizations

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour activer un accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Vous pouvez exécuter la commande suivante pour activer Reachability Analyzer en tant que service approuvé pour Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal reachabilityanalyzer.networkinsights.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Pour désactiver l'accès approuvé pour Reachability Analyzer
<a name="integrate-disable-ta-ra"></a>

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez [Autorisations requises pour désactiver l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Vous pouvez désactiver l'accès approuvé à l'aide de la console Reachability Analyzer (recommandé) ou de la console Organizations. Pour désactiver l'accès approuvé à l'aide de la console Reachability Analyzer, consultez la section [Analyses entre comptes pour Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) dans le *Guide de l'utilisateur de Reachability Analyzer*. 

## Activation d'un compte administrateur délégué pour Reachability Analyzer
<a name="integrate-enable-da-ra"></a>

Le compte administrateur délégué permet d'exécuter des analyses de connectivité sur toutes les ressources de l'organisation. Pour plus d'informations, voir [Intégrer Reachability Analyzer à AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html) dans le *Guide de l'utilisateur de Reachability Analyzer*.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Reachability Analyzer.

Vous pouvez spécifier un compte d'administrateur délégué à partir de la console Reachability Analyzer ou à l'aide de l'API `RegisterDelegatedAdministrator`. Pour plus d'informations, reportez-vous [ RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)à la section *Organizations Command Reference*. 

**Autorisations minimales**  
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué de Reachability Analyzer dans l'organisation.

Pour configurer un administrateur délégué à l'aide de la console Reachability Analyzer, consultez [Intégrer Reachability Analyzer à AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html) dans le *Guide de l'utilisateur de Reachability Analyzer*.

## Désactiver un administrateur délégué pour Reachability Analyzer
<a name="integrate-disable-da-ra"></a>

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Reachability Analyzer.

Vous pouvez supprimer l'administrateur délégué en utilisant soit l'API ou la console Reachability Analyzer, soit la CLI `DeregisterDelegatedAdministrator` Organizations ou l'opération SDK.

 Pour désactiver le compte Reachability Analyzer de l'administrateur délégué à l'aide de la console Reachability Analyzer, consultez la section [Analyses entre comptes pour Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) dans le *Guide de l'utilisateur de Reachability Analyzer*.

# Administrateur délégué pour Services AWS ce travail avec les Organizations
<a name="orgs_integrate_delegated_admin"></a>

Nous vous recommandons d'utiliser le compte AWS Organizations de gestion, ses utilisateurs et ses rôles uniquement pour les tâches qui doivent être effectuées par ce compte. Nous vous recommandons également de stocker vos AWS ressources dans d'autres comptes membres de l'organisation et de les garder hors du compte de gestion. Cela est dû au fait que les fonctionnalités de sécurité telles que les politiques de contrôle des services des Organisations (SCPs) ne limitent pas les utilisateurs ou les rôles dans le compte de gestion. Le fait de séparer vos ressources de votre compte de gestion peut également vous aider à comprendre les frais figurant sur vos factures.

Beaucoup de Services AWS ceux qui s'intègrent à Organizations vous permettent de réduire l'utilisation du compte de gestion. Ces services vous permettent d'enregistrer un ou plusieurs comptes membres en tant qu'administrateurs pouvant gérer tous les comptes de l'organisation utilisés dans le service. Ces comptes sont appelés *administrateurs délégués* pour ce service spécifique. En enregistrant un compte membre en tant qu'administrateur délégué pour un service AWS , vous permettez à ce compte de disposer de certaines autorisations administratives pour ce service, ainsi que d'autorisations pour les actions en lecture seule d'Organizations.

Avant d'enregistrer un compte en tant qu'administrateur délégué pour un service :
+ Vérifiez que le service prend en charge les administrateurs délégués. Consultez le tableau dans [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md) pour savoir quels services prennent en charge les administrateurs délégués.
+ Activez l'accès approuvé pour ce service.

**Note**  
Pour savoir comment activer un administrateur délégué pour un service, consultez le tableau dans [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md) et sélectionnez le lien **En savoir plus** dans la colonne **Prend en charge l'administrateur délégué** pour ce service. 

## Autorisations accordées aux comptes d'administrateur délégué
<a name="integrate_delegated_admin-permissions"></a>

Chaque compte d'administrateur délégué spécifique à un service dispose d'autorisations accordées par ce service. Pour savoir plus, consultez le tableau dans [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md) et sélectionnez le lien **En savoir** plus dans la colonne **Prend en charge l'administrateur délégué** pour ce service. 

Un compte d'administrateur délégué dispose également des autorisations en lecture seule :
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`

Ces autorisations vous permettent d'afficher, mais pas de modifier ces éléments de la console :
+ Structure de l'organisation, tous les comptes et OUs politiques de l'organisation
+ Membres
+ Tous les comptes et OUs.
+ Politiques organisationnelles