設定跨帳戶存取權 - AWS Security Hub
先決條件設定步驟角色組態驗證疑難排解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定跨帳戶存取權

委派管理員和成員帳戶可以透過設定跨帳戶 IAM 角色,從管理帳戶存取整個組織 AWS Cost Explorer 的資料。此組態可讓這些帳戶檢視實際用量資料,而無需切換到 管理帳戶。

先決條件

在設定成本估算器的跨帳戶存取之前,需要下列項目和資訊:

  • 管理帳戶必須 AWS Cost Explorer 已啟用。

  • 在管理帳戶中建立角色的 IAM 許可。

  • 知道將授予跨帳戶存取權的委派管理員或成員帳戶 ID。

設定步驟

成本估算器直接在主控台中提供引導式設定指示。若要存取指示,請前往您組織管理帳戶中位於 https://https://console.aws.amazon.com/securityhub/v2/home#/costEstimator 的成本估算器頁面。找到跨帳戶存取區段,並依照概述的步驟設定跨帳戶角色。

角色組態

成本估算器的跨帳戶存取需要設定具有信任政策和許可政策的 IAM 角色。必須在具有下列組態的管理帳戶中建立跨帳戶角色:

角色名稱 (需要確切名稱) – AwsSecurityHubCostEstimatorCrossAccountRole

建議的信任政策:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

透過取代政策範例中的下列值來編輯政策:

  • {ACCOUNT_ID} 取代為您授予跨帳戶存取權的委派管理員或成員帳戶 ID。

  • {ROLE_NAME} 取代為您授予存取權之委派管理員或成員帳戶中的 IAM 角色名稱。

建議的許可政策:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
注意

信任政策限制對特定帳戶和角色的存取。只有指定的 IAM 主體可以擔任此角色,防止未經授權的存取。

驗證

在管理帳戶中建立角色之後,請使用下列步驟來確認設定是否正常運作。

  1. 登入委派管理員或成員帳戶。

  2. 前往位於 https://https://console.aws.amazon.com/securityhub/v2/home#/costEstimator 的 Security Hub 成本估算器

  3. 頁面應該會自動:

    1. 偵測組織中的管理帳戶。

    2. 擔任跨帳戶角色。

    3. 使用整個組織的用量載入 Cost Explorer 資料。

如果成功,您會看到實際用量資料,而不是手動輸入欄位。

疑難排解

本節涵蓋設定跨帳戶存取時可能發生的常見問題和解決方案。

此帳戶無法使用組織用量資料

此提醒表示無法存取跨帳戶角色。此提醒的可能原因包括:

  1. 角色不存在:管理帳戶尚未建立角色。

    1. 解決方案:請聯絡您的管理帳戶管理員,以使用設定指引建立角色。

  2. 角色名稱不相符:角色名稱不完全相符。

    1. 解決方案:驗證角色名稱為 AwsSecurityHubCostEstimatorCrossAccountRole

  3. 信任政策不正確:信任政策不允許您的帳戶擔任該角色。

    1. 解決方案:驗證信任政策包含您的帳戶 ID 和角色名稱。

  4. 缺少 AssumeRole 許可:您的 IAM 主體缺少 sts:AssumeRole

    1. 解決方案:請聯絡您的管理員以新增sts:AssumeRole許可。

若要檢視詳細設定指示:請按一下提醒中的「檢視指示」連結,以step-by-step指引和政策範本的模態。

解決方法:您仍然可以在編輯模式中手動輸入用量值,以使用成本估算器。