本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
委派管理員設定所需的 IAM 許可
Organizations 整合中每個角色都需要下列 IAM 許可:
管理帳戶
管理帳戶需要許可才能:
-
organizations:EnableAWSServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole(適用於管理帳戶自己的 SLR)
委派管理員帳戶
DA 帳戶使用標準的新一代 Resilience Hub API 許可。跨帳戶存取由 SLRs 處理 – 檢視成員帳戶資料不需要額外的 IAM 組態。
成員帳戶
成員帳戶中的服務擁有者:
-
使用與單一帳戶設定相同的程序建立自己的叫用者角色。如需詳細資訊,請參閱設定新一代彈性中樞。
-
可以查看和套用 DA 發佈的組織層級政策。
-
SLR 會自動處理 DA 跨帳戶可見性 – 成員帳戶中不需要額外的 IAM 變更。
下表摘要說明 DA 可以和不可以執行的動作:
| Action | 支援 |
|---|---|
| 檢視成員帳戶服務、調查結果和相依性 | 是 |
| 建立參考成員服務的組織層級系統 | 是 |
| 將成員服務與組織層級系統建立關聯 | 是 |
| 建立組織層級政策 | 是 |
| 刪除成員帳戶服務 | 否 |
| 開始對成員服務進行評估 | 是 |
| 修改成員帳戶資源 | 否 |
DA 跨帳戶存取不支援對成員資源進行破壞性操作。DA 會管理組織層級系統和政策,並檢視成員資料。