Configurer l'accès intercompte - AWS Security Hub
Conditions préalablesÉtapes de configurationConfiguration du rôleVérificationRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer l'accès intercompte

Les comptes d'administrateur et de membre délégués peuvent accéder aux AWS Cost Explorer données de l'organisation à partir du compte de gestion en configurant un rôle IAM entre comptes. Cette configuration permet à ces comptes de consulter les données d'utilisation réelles sans passer au compte de gestion.

Conditions préalables

Les éléments et informations suivants sont nécessaires avant de configurer l'accès entre comptes pour l'estimateur de coûts :

  • Le compte de gestion doit avoir été AWS Cost Explorer activé.

  • Autorisations IAM pour créer des rôles dans le compte de gestion.

  • Connaissance de l'administrateur délégué ou de l'identifiant du compte membre qui sera autorisé à accéder à plusieurs comptes.

Étapes de configuration

L'estimateur de coûts fournit des instructions de configuration guidées directement dans la console. Pour accéder aux instructions, rendez-vous sur la page de l'estimateur de coûts à l'adresse https://console.aws.amazon.com/securityhub/v2/home#/CostEstimator dans le compte de gestion de votre organisation. Localisez la section Accès multicompte et suivez les étapes décrites pour configurer le rôle multicompte.

Configuration du rôle

L'accès entre comptes pour l'estimateur de coûts nécessite la configuration d'un rôle IAM doté d'une politique de confiance et d'une politique d'autorisations. Le rôle multi-comptes doit être créé dans le compte de gestion avec la configuration suivante :

Nom du rôle (nom exact requis) — AwsSecurityHubCostEstimatorCrossAccountRole

Politique de confiance recommandée :

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Modifiez la politique en remplaçant les valeurs suivantes dans l'exemple de stratégie :

  • {ACCOUNT_ID}Remplacez-le par l'identifiant de compte administrateur ou membre délégué auquel vous accordez un accès multicompte.

  • {ROLE_NAME}Remplacez-le par le nom du rôle IAM dans le compte d'administrateur délégué ou de membre auquel vous accordez l'accès.

Politique d'autorisation recommandée :

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
Note

La politique de confiance restreint l'accès à un compte et à un rôle spécifiques. Seul le principal IAM spécifié peut assumer ce rôle, empêchant ainsi tout accès non autorisé.

Vérification

Après avoir créé le rôle dans le compte de gestion, suivez les étapes suivantes pour vérifier que la configuration fonctionne.

  1. Connectez-vous à l'administrateur délégué ou au compte membre.

  2. Accédez à l'estimateur de coûts du Security Hub à l'adresse v2/home#/CostEstimator https://console.aws.amazon.com/securityhub/

  3. La page doit automatiquement :

    1. Détectez le compte de gestion de votre organisation.

    2. Assumez le rôle multi-comptes.

    3. Chargez les données Cost Explorer pour une utilisation à l'échelle de l'organisation.

En cas de succès, vous verrez les données d'utilisation réelles au lieu des champs de saisie manuelle.

Résolution des problèmes

Cette section couvre les problèmes courants et les solutions qui peuvent survenir lors de la configuration de l'accès entre comptes.

Les données d'utilisation de l'organisation ne sont pas disponibles pour ce compte

Cette alerte indique que le rôle multi-comptes n'est pas accessible. Les causes possibles de cette alerte sont les suivantes :

  1. Le rôle n'existe pas : le compte de gestion n'a pas encore créé le rôle.

    1. Solution : contactez l'administrateur de votre compte de gestion pour créer le rôle en suivant les instructions de configuration.

  2. Incompatibilité du nom du rôle : le nom du rôle ne correspond pas exactement.

    1. Solution : vérifiez que le nom du rôle estAwsSecurityHubCostEstimatorCrossAccountRole.

  3. Politique de confiance incorrecte : la politique de confiance n'autorise pas votre compte à assumer ce rôle.

    1. Solution : Vérifiez que la politique de confiance inclut votre identifiant de compte et le nom de votre rôle.

  4. AssumeRole Autorisation manquante : votre principal IAM n'sts:AssumeRoleen a pas.

    1. Solution : contactez votre administrateur pour ajouter une sts:AssumeRole autorisation.

Pour consulter les instructions de configuration détaillées : cliquez sur le lien « Afficher les instructions » dans l'alerte pour ouvrir un modal contenant step-by-step des directives et des modèles de politiques.

Solution : vous pouvez toujours utiliser l'estimateur de coûts en saisissant manuellement les valeurs d'utilisation en mode édition.