本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon DevOps Guru 和 AWS Organizations
<a name="services-that-can-integrate-devops"></a>

Amazon DevOps Guru 分析运营数据和应用程序指标及事件，以识别与正常操作模式不同的行为。当 DevOps Guru 检测到操作问题或风险时，用户会收到通知。

使用 DevOps Guru 可实现多账户支持 AWS Organizations，因此您可以指定一个成员账户来管理整个组织的见解。此委托管理员随后可以查看、排序和筛选组织内所有账户的见解，以全面了解组织内所有受监控应用程序运行状况，而无需进行任何额外的自定义。

有关更多信息，请参阅 *Amazon DevOps Guru 用户指南*中的[监控组织内的账户](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。

使用以下信息来帮助您将 Amazon DevOps Guru 与 AWS Organizations集成。

## 启用集成时，创建了一个服务相关角色
<a name="integrate-enable-slr-devops"></a>

以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 DevOps Guru 在组织中的账户中执行支持的操作。

只有在禁用 DevOps Guru 和 Organizations 之间的可信访问权限或从组织中删除成员帐户后，才能删除或修改此角色。
+ `AWSServiceRoleForDevOpsGuru`

## 服务相关角色使用的服务委托人
<a name="integrate-enable-svcprin-devops"></a>

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。 DevOpsGuru 使用的服务相关角色向以下服务主体授予访问权限：
+ `devops-guru.amazonaws.com` 

有关更多信息，请参阅 A *ma DevOps* zon Guru 用户指南中的[为 DevOps Guru 使用服务相关角色](https://docs.aws.amazon.com//devops-guru/latest/userguide/using-service-linked-roles.html)。

## 通过 DevOps Guru 启用可信访问
<a name="integrate-enable-ta-devops"></a>

有关启用信任访问权限所需权限的信息，请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。

**注意**  
当您为 Amazon DevOps Guru 指定委托管理员时， DevOpsGuru 会自动为您的组织启用 DevOps Guru 的可信访问权限。  
DevOpsGuru 需要获得可信访问权限， AWS Organizations 然后才能指定成员账户作为贵组织此服务的委托管理员。

**重要**  
我们强烈建议您尽可能使用 Amazon DevOps Guru 控制台或工具来启用与 Organizations 的集成。这允许 Amazon DevOps Guru 执行其所需的任何配置，例如创建服务所需的资源。只有当您无法使用 Amazon DevOps Guru 提供的工具启用集成时，才能继续执行这些步骤。有关更多信息，请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。

您可以使用控制台或 DevOps Guru AWS Organizations 控制台启用可信访问。

------
#### [ AWS 管理控制台 ]

**要使用 Organizations 控制台启用信任服务访问权限，请执行以下操作：**

1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在 “**[服务](https://console.aws.amazon.com/organizations/v2/home/services)**” 页面上，找到 **Amazon DevOps Guru** 所在的行，选择该服务的名称，然后选择 “**启用可信访问**”。

1. 在确认对话框中，启用 **Show the option to enable trusted access (显示启用信任访问权限的选项)**，在框中输入 **enable**，然后选择 **Enable trusted access (启用信任访问权限)**。

1. 如果您仅是的管理员 AWS Organizations，请告诉 Amazon DevOps Guru 的管理员，他们现在可以使用其控制台启用该服务。 AWS Organizations

------
#### [ DevOps Guru console ]

**使用 DevOps Guru 控制台启用可信服务访问**

1. 以管理员身份登录管理账户并打开 DevOps Guru 控制台：[Amazon DevOps G](https://console.aws.amazon.com//devops-guru/management-account) uru 控制台 

1. 选择 **Enable trusted access (启用可信访问)**。

------

## 使用 DevOps Guru 禁用可信访问
<a name="integrate-disable-ta-devops"></a>

有关禁用信任访问所需权限的信息，请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理账户中的管理员才能禁用 Amazon DevOps Guru 的可信访问权限。

您只能使用 Organizations 工具禁用可信访问权限。

您可以使用 AWS Organizations 控制台禁用可信访问。

------
#### [ AWS 管理控制台 ]

**使用 Organizations 控制台禁用信任服务访问权限**

1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在导航窗格中，选择**服务**。

1. 在服务列表中选择 **Amazon DevOps Guru**。

1. 选择 **Disable trusted access（禁用信任访问权限）**。

1. 在 “**禁用 Amazon DevOps Guru 的可信访问**” 对话框中，键入 “**禁用**” 进行确认，然后选择 “**禁用可信访问**”。

1. 如果您仅是的管理员 AWS Organizations，请告诉 Amazon DevOps Guru 的管理员，他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务；。

------

## 为 DevOps Guru 启用委托管理员账户
<a name="integrate-enable-da-devops"></a>

 DevOpsGuru 的委托管理员账户可以查看来自组织加入 DevOps Guru 的所有成员账户的见解数据。有关委派管理员如何管理组织账户的信息，请参阅 *Amazon DevOps Guru 用户指南*中的[监控组织中的账户](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。

只有组织管理账户中的管理员才能为 DevOps Guru 配置委派管理员。

您可以从 DevOps Guru 控制台指定委托管理员帐户，也可以使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作来指定委托管理员帐户。

**最小权限**  
只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织中 DevOps Guru 的委托管理员

------
#### [ DevOps Guru console ]

**在 DevOps Guru 控制台中配置委派管理员**

1. 以管理员身份登录管理账户并打开 DevOps Guru 控制台：[Amazon DevOps G](https://console.aws.amazon.com//devops-guru/management-account) uru 控制台 

1. 选择**注册委托管理员**。您可以选择管理账户或任何成员账户作为委托管理员。

------
#### [ AWS CLI, AWS API ]

如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs，则可以使用以下命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal devops-guru.amazonaws.com
  ```
+ AWS SDK：调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号，并将账户服务委托人标识`account.amazonaws.com`为参数。

------

## 禁用 DevOps Guru 的委托管理员
<a name="integrate-disable-da-devops"></a>

 你可以使用 DevOps Guru 控制台，也可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派的管理员。有关如何使用 DevOps Guru 控制台移除委托管理员的信息，请参阅 *Amazon DevOps Guru 用户*指南中的[监控组织中的账户](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。