Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan akses lintas akun
Akun administrator dan anggota yang didelegasikan dapat mengakses AWS Cost Explorer data seluruh organisasi dari akun manajemen dengan mengonfigurasi peran IAM lintas akun. Konfigurasi ini memungkinkan akun-akun ini untuk melihat data penggunaan aktual tanpa beralih ke akun manajemen.
Prasyarat
Item dan informasi berikut diperlukan sebelum menyiapkan akses lintas akun untuk penaksir biaya:
-
Akun manajemen harus AWS Cost Explorer diaktifkan.
-
Izin IAM untuk membuat peran di akun manajemen.
-
Pengetahuan tentang administrator yang didelegasikan atau ID akun anggota yang akan diberikan akses lintas akun.
Langkah-langkah penyiapan
Penaksir biaya menyediakan instruksi pengaturan terpandu langsung di konsol. Untuk mengakses petunjuk, navigasikan ke halaman estimator biaya di https://console.aws.amazon.com/securityhub/v2/home#/CostEstimator
Konfigurasi peran
Akses lintas akun untuk penaksir biaya memerlukan pengaturan peran IAM dengan kebijakan kepercayaan dan kebijakan izin. Peran lintas akun harus dibuat di akun manajemen dengan konfigurasi berikut:
Nama peran (nama persis diperlukan) - AwsSecurityHubCostEstimatorCrossAccountRole
Kebijakan kepercayaan yang direkomendasikan:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}" }, "Action": "sts:AssumeRole" } ] }
Edit kebijakan dengan mengganti nilai berikut dalam contoh kebijakan:
-
Ganti
{ACCOUNT_ID}dengan administrator yang didelegasikan atau ID akun anggota yang Anda berikan akses lintas akun. -
Ganti
{ROLE_NAME}dengan nama peran IAM di administrator yang didelegasikan atau akun anggota yang Anda berikan akses.
Kebijakan izin yang disarankan:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ce:GetCostAndUsage", "Resource": "*" } ] }
catatan
Kebijakan kepercayaan membatasi akses ke akun dan peran tertentu. Hanya prinsipal IAM yang ditentukan yang dapat mengambil peran ini, mencegah akses yang tidak sah.
Verifikasi
Setelah membuat peran di akun manajemen, gunakan langkah-langkah berikut untuk mengonfirmasi bahwa pengaturan berfungsi.
-
Masuk ke administrator atau akun anggota yang didelegasikan.
-
Halaman harus secara otomatis:
-
Deteksi akun manajemen di organisasi Anda.
-
Asumsikan peran lintas akun.
-
Muat data Cost Explorer dengan penggunaan di seluruh organisasi.
-
Jika berhasil, Anda akan melihat data penggunaan aktual alih-alih bidang entri manual.
Pemecahan masalah
Bagian ini mencakup masalah dan solusi umum yang dapat terjadi saat menyelesaikan akses lintas akun.
Data penggunaan organisasi tidak tersedia untuk akun ini
Peringatan ini menunjukkan peran lintas akun tidak dapat diakses. Kemungkinan yang disebabkan dari peringatan ini adalah:
-
Peran tidak ada: Akun manajemen belum membuat peran.
-
Solusi: Hubungi administrator akun manajemen Anda untuk membuat peran menggunakan panduan penyiapan.
-
-
Ketidakcocokan nama peran: Nama peran tidak sama persis.
-
Solusi: Verifikasi nama peran
AwsSecurityHubCostEstimatorCrossAccountRole.
-
-
Kebijakan kepercayaan salah: Kebijakan kepercayaan tidak mengizinkan akun Anda untuk mengambil peran.
-
Solusi: Verifikasi kebijakan kepercayaan mencakup ID akun dan nama peran Anda.
-
-
AssumeRole Izin hilang: Kepala sekolah IAM Anda tidak memiliki
sts:AssumeRole.-
Solusi: Hubungi administrator Anda untuk menambahkan
sts:AssumeRoleizin.
-
Untuk melihat petunjuk penyiapan terperinci: Klik tautan “Lihat petunjuk” di peringatan untuk membuka modal dengan step-by-step panduan dan templat kebijakan.
Solusi: Anda masih dapat menggunakan Penaksir Biaya dengan memasukkan nilai penggunaan secara manual dalam mode edit.
