View a markdown version of this page

委派管理員設定所需的 IAM 許可 - AWS 彈性中樞

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

委派管理員設定所需的 IAM 許可

Organizations 整合中每個角色都需要下列 IAM 許可:

管理帳戶

管理帳戶需要許可才能:

  • organizations:EnableAWSServiceAccess

  • organizations:RegisterDelegatedAdministrator

  • iam:CreateServiceLinkedRole (適用於管理帳戶自己的 SLR)

委派管理員帳戶

DA 帳戶使用標準的新一代 Resilience Hub API 許可。跨帳戶存取由 SLRs 處理 – 檢視成員帳戶資料不需要額外的 IAM 組態。

成員帳戶

成員帳戶中的服務擁有者:

  • 使用與單一帳戶設定相同的程序建立自己的叫用者角色。如需詳細資訊,請參閱設定新一代彈性中樞

  • 可以查看和套用 DA 發佈的組織層級政策。

  • SLR 會自動處理 DA 跨帳戶可見性 – 成員帳戶中不需要額外的 IAM 變更。

下表摘要說明 DA 可以和不可以執行的動作:

Action 支援
檢視成員帳戶服務、調查結果和相依性
建立參考成員服務的組織層級系統
將成員服務與組織層級系統建立關聯
建立組織層級政策
刪除成員帳戶服務
開始對成員服務進行評估
修改成員帳戶資源

DA 跨帳戶存取不支援對成員資源進行破壞性操作。DA 會管理組織層級系統和政策,並檢視成員資料。