Configurazione dell'accesso multi-account - AWS Security Hub
PrerequisitiPassaggi di impostazioneConfigurazione del ruoloVerificaRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso multi-account

Gli account amministratore e membro delegati possono accedere ai AWS Cost Explorer dati di tutta l'organizzazione dall'account di gestione configurando un ruolo IAM tra più account. Questa configurazione consente a questi account di visualizzare i dati di utilizzo effettivi senza passare all'account di gestione.

Prerequisiti

I seguenti elementi e informazioni sono necessari prima di configurare l'accesso tra più account per lo strumento di stima dei costi:

  • L'account di gestione deve essere abilitato AWS Cost Explorer .

  • Autorizzazioni IAM per creare ruoli nell'account di gestione.

  • Conoscenza dell'ID dell'amministratore delegato o dell'account membro a cui verrà concesso l'accesso su più account.

Passaggi di impostazione

Lo strumento di stima dei costi fornisce istruzioni di configurazione guidate direttamente nella console. Per accedere alle istruzioni, accedi alla pagina dello strumento di stima dei costi all'indirizzo https://console.aws.amazon.com/securityhub/v2/home#/CostEstimator nell'account di gestione dell'organizzazione. Individua la sezione Accesso su più account e segui i passaggi descritti per configurare il ruolo tra account.

Configurazione del ruolo

L'accesso da più account per lo strumento di stima dei costi richiede la configurazione di un ruolo IAM con una politica di fiducia e una politica di autorizzazioni. Il ruolo tra account diversi deve essere creato nell'account di gestione con la seguente configurazione:

Nome del ruolo (è richiesto il nome esatto) — AwsSecurityHubCostEstimatorCrossAccountRole

Politica di fiducia consigliata:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Modifica la politica sostituendo i seguenti valori nell'esempio della politica:

  • Sostituiscilo {ACCOUNT_ID} con l'ID dell'account amministratore delegato o membro a cui concedi l'accesso su più account.

  • Sostituiscilo {ROLE_NAME} con il nome del ruolo IAM nell'account amministratore delegato o membro a cui concedi l'accesso.

Politica di autorizzazione consigliata:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
Nota

La politica di fiducia limita l'accesso a un account e a un ruolo specifici. Solo il principale IAM specificato può assumere questo ruolo, impedendo l'accesso non autorizzato.

Verifica

Dopo aver creato il ruolo nell'account di gestione, segui i passaggi seguenti per confermare che la configurazione funzioni.

  1. Accedi all'account amministratore o membro delegato.

  2. Passa allo strumento di stima dei costi di Security Hub su https://console.aws.amazon.com/securityhub/ v2/home#/CostEstimator

  3. La pagina dovrebbe automaticamente:

    1. Rileva l'account di gestione nella tua organizzazione.

    2. Assumi il ruolo interaccount.

    3. Carica i dati di Cost Explorer utilizzandoli a livello di organizzazione.

In caso di successo, verranno visualizzati i dati di utilizzo effettivi anziché i campi di immissione manuale.

Risoluzione dei problemi

Questa sezione descrive i problemi e le soluzioni comuni che possono verificarsi durante la configurazione dell'accesso tra account.

I dati sull'utilizzo organizzativo non sono disponibili per questo account

Questo avviso indica che il ruolo tra account diversi non è accessibile. Le possibili cause di questo avviso sono:

  1. Il ruolo non esiste: l'account di gestione non ha ancora creato il ruolo.

    1. Soluzione: contatta l'amministratore dell'account di gestione per creare il ruolo utilizzando la guida alla configurazione.

  2. Mancata corrispondenza del nome del ruolo: il nome del ruolo non corrisponde esattamente.

    1. Soluzione: verifica che il nome del ruolo siaAwsSecurityHubCostEstimatorCrossAccountRole.

  3. La politica di fiducia non è corretta: la politica di fiducia non consente al tuo account di assumere il ruolo.

    1. Soluzione: la politica di fiducia di Verify include l'ID dell'account e il nome del ruolo.

  4. AssumeRole Autorizzazione mancante: manca il tuo responsabile IAMsts:AssumeRole.

    1. Soluzione: contatta l'amministratore per aggiungere sts:AssumeRole l'autorizzazione.

Per visualizzare istruzioni di configurazione dettagliate: fai clic sul link «Visualizza istruzioni» nell'avviso per aprire una finestra modale con step-by-step linee guida e modelli di policy.

Soluzione alternativa: è comunque possibile utilizzare il Cost Estimator inserendo manualmente i valori di utilizzo in modalità di modifica.