本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Network Manager 和 AWS Organizations
<a name="services-that-can-integrate-network-manager"></a>

Network Manager 可讓您跨 AWS 帳戶、區域和 AWS 內部部署位置集中管理 AWS Cloud WAN 核心網路和 Transit Gateway 網路。透過多帳戶支援，您可以為任何 AWS 帳戶建立單一全球網路，並使用 Network Manager 主控台註冊從多個帳戶到全球網路的傳輸閘道。

啟用 Network Manager 和 Organizations 之間受信任的存取權後，已註冊的委派管理員和管理帳戶可以利用成員帳戶中部署的服務連結角色來描述連接至全域網路的資源。在 Network Manager 主控台中，註冊的委派管理員和管理帳戶可以承擔在成員帳戶中部署的自訂 IAM 角色：`CloudWatch-CrossAccountSharingRole` 用於多帳戶監控和事件，以及 `IAMRoleForAWSNetworkManagerCrossAccountResourceAccess` 用於主控台交換機角色存取權限，以查看和管理多帳戶資源。

**重要**  
我們強烈建議使用 Network Manager 主控台來管理多帳戶設定 (啟用/停用受信任的存取權，以及註冊/取消註冊委派管理員)。若從主控台管理這些設定，即會自動將所有必需的服務連結角色和自訂 IAM 角色部署和管理至多帳戶存取所需的成員帳戶。
 當您在 Network Manager 主控台中啟用 Network Manager 的受信任存取時，主控台也會啟用 CloudFormation StackSets 服務。Network Manager 使用 StackSets 部署多帳戶管理所需的自訂 IAM 角色。

如需有關將 Network Manager 與組織整合的詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[使用 AWS Organizations管理多個 Network Manager 中的帳戶](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)。

使用以下資訊來協助您整合 AWS Network Manager 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-network-manager"></a>

當您啟用受信任存取時，會在列出的組織帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。這些角色允許 Network Manager 在您組織的帳戶中執行支援的操作。如果停用受信任的存取，Network Manager 將不會從組織中的帳戶刪除這些角色。您可以使用 IAM 主控台手動將其刪除。

管理帳戶
+  `AWSServiceRoleForNetworkManager`
+ `AWSServiceRoleForCloudFormationStackSetsOrgAdmin`
+  `AWSServiceRoleForCloudWatchCrossAccount`

成員帳戶
+  `AWSServiceRoleForNetworkManager`
+ ` AWSServiceRoleForCloudFormationStackSetsOrgMember`

當您將成員帳戶註冊為委派管理員時，將在委派管理員帳戶中自動建立以下附加角色：
+  `AWSServiceRoleForCloudWatchCrossAccount`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-network-manager"></a>

服務連結角色只能由依據角色定義的信任關係所授權的服務主體來假設。
+ 對於 `AWSServiceRoleForNetworkManager service-linked` 角色，`networkmanager.amazonaws.com` 是唯一具有存取權限的服務主體。
+ 對於 `AWSServiceRoleForCloudFormationStackSetsOrgMember` 服務連結角色，`member.org.stacksets.cloudformation.amazonaws.com` 是唯一具有存取權限的服務主體。
+ 對於 `AWSServiceRoleForCloudFormationStackSetsOrgAdmin` 服務連結角色，`stacksets.cloudformation.amazonaws.com` 是唯一具有存取權限的服務主體。
+ 對於 `AWSServiceRoleForCloudWatchCrossAccount` 服務連結角色，`cloudwatch-crossaccount.amazonaws.com` 是唯一具有存取權限的服務主體。

 刪除這些角色將影響 Network Manager 的多帳戶功能。

## 使用 Network Manager 啟用受信任存取
<a name="integrate-enable-ta-network-manager"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務啟用受信任存取的許可 AWS 。請務必使用 Network Manager *主控台*來啟用受信任的存取，以避免權限問題。如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[使用 AWS Organizations管理多個 Network Manager 中的帳戶](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)。

## 使用 Network Manager 來停用受信任存取
<a name="integrate-disable-ta-network-manager"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務停用受信任存取的許可 AWS 。

**重要**  
我們強烈建議您使用 Network Manager 主控台來停用受信任的存取。如果您以任何其他方式停用受信任存取，例如使用 AWS CLI、搭配 API 或主控台 CloudFormation ，則部署的 CloudFormation StackSets 和自訂 IAM 角色可能無法正確清除。若要停用受信任的服務存取，請登入 [Network Manager 主控台](https://console.aws.amazon.com/vpc/home#networkmanager)。

## 為 Network Manager 啟用委派的管理員帳戶
<a name="integrate-enable-da-network-manager"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Network Manager 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Network Manager 的管理分開。

如需如何將成員帳戶指定為組織中 Network Manager 的委派管理員，請參閱 *Amazon VPC 使用者指南*中的[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。