As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões do IAM necessárias para configuração de administrador delegado
As seguintes permissões do IAM são necessárias para cada função na integração do Organizations:
Conta de gerenciamento
A conta de gerenciamento precisa de permissões para:
-
organizations:EnableAWSServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole(para a própria SLR da conta de gerenciamento)
Conta de administrador delegada
A conta DA usa como padrão a próxima geração de permissões da API do Resilience Hub. Cross-account o acesso é gerenciado por SLRs — nenhuma configuração adicional do IAM é necessária para visualizar os dados da conta do membro.
Contas de membros
Proprietários de serviços nas contas dos membros:
-
Crie suas próprias funções de invocador usando o mesmo processo da configuração de conta única. Para obter detalhes, consulte Configurando o Resilience Hub de próxima geração.
-
Pode ver e aplicar políticas em nível organizacional publicadas pelo DA.
-
A SLR gerencia automaticamente a visibilidade entre contas da DA — nenhuma alteração adicional do IAM é necessária nas contas dos membros.
A tabela a seguir resume o que o DA pode e não pode fazer:
| Ação | Compatível |
|---|---|
| Veja os serviços, descobertas e dependências da conta do membro | Sim |
| Crie sistemas em nível organizacional que façam referência aos serviços dos membros | Sim |
| Associe serviços para membros a sistemas em nível organizacional | Sim |
| Crie políticas em nível organizacional | Sim |
| Excluir serviços da conta de membro | Não |
| Inicie avaliações sobre os serviços aos membros | Sim |
| Modificar recursos da conta do membro | Não |
Operações destrutivas nos recursos dos membros não são suportadas pelo acesso entre contas do DA. O DA gerencia sistemas e políticas em nível organizacional e visualiza os dados dos membros.
