Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin IAM yang diperlukan untuk penyiapan administrator yang didelegasikan
Izin IAM berikut diperlukan untuk setiap peran dalam integrasi Organizations:
Akun manajemen
Akun manajemen memerlukan izin untuk:
-
organizations:EnableAWSServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole(untuk SLR akun manajemen sendiri)
Akun administrator yang didelegasikan
Akun DA menggunakan standar izin API Resilience Hub generasi berikutnya. Cross-account akses ditangani oleh SLR — tidak ada konfigurasi IAM tambahan yang diperlukan untuk melihat data akun anggota.
Akun anggota
Pemilik layanan di akun anggota:
-
Buat peran invoker mereka sendiri menggunakan proses yang sama dengan pengaturan akun tunggal. Lihat perinciannya di Menyiapkan Hub Ketahanan Generasi Berikutnya.
-
Dapat melihat dan menerapkan kebijakan tingkat organ yang diterbitkan oleh DA.
-
SLR menangani visibilitas lintas akun DA secara otomatis — tidak ada perubahan IAM tambahan yang diperlukan di akun anggota.
Tabel berikut merangkum apa yang DA bisa dan tidak bisa lakukan:
| Tindakan | Didukung |
|---|---|
| Lihat layanan akun anggota, temuan, dan dependensi | Ya |
| Buat sistem tingkat organ yang mereferensikan layanan anggota | Ya |
| Mengaitkan layanan anggota ke sistem tingkat organ | Ya |
| Buat kebijakan tingkat organ | Ya |
| Hapus layanan akun anggota | Tidak |
| Mulai penilaian pada layanan anggota | Ya |
| Ubah sumber daya akun anggota | Tidak |
Operasi destruktif pada sumber daya anggota tidak didukung melalui akses lintas akun DA. DA mengelola sistem dan kebijakan tingkat organ dan melihat data anggota.
