Configurar o acesso entre contas - AWS Security Hub
Pré-requisitosEtapas de configuraçãoConfiguração de perfilVerificaçãoSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o acesso entre contas

As contas delegadas de administrador e membro podem acessar AWS Cost Explorer dados de toda a organização a partir da conta de gerenciamento configurando uma função do IAM entre contas. Essa configuração permite que essas contas visualizem os dados reais de uso sem mudar para a conta de gerenciamento.

Pré-requisitos

Os seguintes itens e informações são necessários antes da configuração do acesso entre contas para o estimador de custos:

  • A conta de gerenciamento deve estar AWS Cost Explorer ativada.

  • Permissões do IAM para criar funções na conta de gerenciamento.

  • Conhecimento do administrador delegado ou do ID da conta do membro que receberá acesso entre contas.

Etapas de configuração

O estimador de custos fornece instruções de configuração guiadas diretamente no console. Para acessar as instruções, navegue até a página do estimador de custos em https://console.aws.amazon.com/securityhub/v2/Home#/CostEstimator na conta de gerenciamento da sua organização. Localize a seção Acesso entre contas e siga as etapas descritas para configurar a função entre contas.

Configuração de perfil

O acesso entre contas para o estimador de custos exige a configuração de uma função do IAM com uma política de confiança e uma política de permissões. A função entre contas deve ser criada na conta de gerenciamento com a seguinte configuração:

Nome da função (nome exato obrigatório) — AwsSecurityHubCostEstimatorCrossAccountRole

Política de confiança recomendada:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Edite a política substituindo os seguintes valores no exemplo de política:

  • {ACCOUNT_ID}Substitua pelo ID delegado da conta do administrador ou membro ao qual você está concedendo acesso entre contas.

  • {ROLE_NAME}Substitua pelo nome da função do IAM na conta delegada de administrador ou membro à qual você está concedendo acesso.

Política de permissões recomendada:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
nota

A política de confiança restringe o acesso a uma conta e função específicas. Somente o principal especificado do IAM pode assumir essa função, impedindo o acesso não autorizado.

Verificação

Depois de criar a função na conta de gerenciamento, use as etapas a seguir para confirmar se a configuração está funcionando.

  1. Faça login na conta delegada de administrador ou membro.

  2. Navegue até o estimador de custos do Security Hub em v2/home#/costEstimator https://console.aws.amazon.com/securityhub/

  3. A página deve automaticamente:

    1. Detecte a conta de gerenciamento em sua organização.

    2. Assuma a função entre contas.

    3. Carregue dados do Cost Explorer com uso em toda a organização.

Se for bem-sucedido, você verá os dados reais de uso em vez dos campos de entrada manual.

Solução de problemas

Esta seção aborda problemas e soluções comuns que podem ocorrer ao configurar o acesso entre contas.

Os dados de uso organizacional não estão disponíveis para esta conta

Esse alerta indica que a função entre contas não está acessível. As possíveis causas desse alerta são:

  1. A função não existe: a conta de gerenciamento ainda não criou a função.

    1. Solução: entre em contato com o administrador da conta de gerenciamento para criar a função usando a orientação de configuração.

  2. Incompatibilidade do nome da função: o nome da função não corresponde exatamente.

    1. Solução: verifique se o nome da função éAwsSecurityHubCostEstimatorCrossAccountRole.

  3. Política de confiança incorreta: a política de confiança não permite que sua conta assuma a função.

    1. Solução: verifique se a política de confiança inclui o ID da conta e o nome da função.

  4. AssumeRole Permissão ausente: seu diretor do IAM não temsts:AssumeRole.

    1. Solução: entre em contato com seu administrador para adicionar sts:AssumeRole permissão.

Para ver instruções detalhadas de configuração: clique no link “Exibir instruções” no alerta para abrir um modal com modelos de step-by-step orientação e política.

Solução alternativa: você ainda pode usar o Estimador de custos inserindo manualmente os valores de uso no modo de edição.