View a markdown version of this page

Autorisations IAM requises pour la configuration de l'administrateur délégué - AWS Centre de résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations IAM requises pour la configuration de l'administrateur délégué

Les autorisations IAM suivantes sont requises pour chaque rôle dans l'intégration des Organizations :

Compte de gestion

Le compte de gestion a besoin d'autorisations pour :

  • organizations:EnableAWSServiceAccess

  • organizations:RegisterDelegatedAdministrator

  • iam:CreateServiceLinkedRole(pour le reflex propre au compte de gestion)

Compte d'administrateur délégué

Le compte DA utilise en standard la prochaine génération d'autorisations API Resilience Hub. Cross-account l'accès est géré par les SLR : aucune configuration IAM supplémentaire n'est nécessaire pour consulter les données des comptes des membres.

Comptes de membres

Propriétaires de services dans les comptes des membres :

  • Créez leurs propres rôles d'invocateur en utilisant le même processus que pour la configuration d'un compte unique. Pour en savoir plus, consultez Configuration d'un hub de résilience de nouvelle génération.

  • Peut voir et appliquer les politiques au niveau de l'organisation publiées par le DA.

  • Le SLR gère automatiquement la visibilité entre comptes DA : aucune modification supplémentaire de l'IAM n'est requise dans les comptes des membres.

Le tableau suivant récapitule ce que le procureur peut et ne peut pas faire :

Action Pris en charge
Afficher les services, les résultats et les dépendances des comptes des membres Oui
Créez des systèmes au niveau de l'organisation qui font référence aux services aux membres Oui
Associer les services des membres aux systèmes au niveau de l'organisation Oui
Création de politiques au niveau de l'organisation Oui
Supprimer les services du compte membre Non
Commencez à évaluer les services aux membres Oui
Modifier les ressources du compte membre Non

Les opérations destructrices sur les ressources des membres ne sont pas prises en charge par le biais d'un accès multicompte DA. Le DA gère les systèmes et les politiques au niveau de l'organisation et consulte les données des membres.