Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations IAM requises pour la configuration de l'administrateur délégué
Les autorisations IAM suivantes sont requises pour chaque rôle dans l'intégration des Organizations :
Compte de gestion
Le compte de gestion a besoin d'autorisations pour :
-
organizations:EnableAWSServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole(pour le reflex propre au compte de gestion)
Compte d'administrateur délégué
Le compte DA utilise en standard la prochaine génération d'autorisations API Resilience Hub. Cross-account l'accès est géré par les SLR : aucune configuration IAM supplémentaire n'est nécessaire pour consulter les données des comptes des membres.
Comptes de membres
Propriétaires de services dans les comptes des membres :
-
Créez leurs propres rôles d'invocateur en utilisant le même processus que pour la configuration d'un compte unique. Pour en savoir plus, consultez Configuration d'un hub de résilience de nouvelle génération.
-
Peut voir et appliquer les politiques au niveau de l'organisation publiées par le DA.
-
Le SLR gère automatiquement la visibilité entre comptes DA : aucune modification supplémentaire de l'IAM n'est requise dans les comptes des membres.
Le tableau suivant récapitule ce que le procureur peut et ne peut pas faire :
| Action | Pris en charge |
|---|---|
| Afficher les services, les résultats et les dépendances des comptes des membres | Oui |
| Créez des systèmes au niveau de l'organisation qui font référence aux services aux membres | Oui |
| Associer les services des membres aux systèmes au niveau de l'organisation | Oui |
| Création de politiques au niveau de l'organisation | Oui |
| Supprimer les services du compte membre | Non |
| Commencez à évaluer les services aux membres | Oui |
| Modifier les ressources du compte membre | Non |
Les opérations destructrices sur les ressources des membres ne sont pas prises en charge par le biais d'un accès multicompte DA. Le DA gère les systèmes et les politiques au niveau de l'organisation et consulte les données des membres.