AWS Netzwerkmanager und AWS Organizations - AWS Organizations
Service-verknüpfte RollenService-PrinzipaleDen vertrauenswürdigen Zugriff aktivierenSo deaktivieren Sie den vertrauenswürdigen ZugriffDelegierten Administrator aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Netzwerkmanager und AWS Organizations

Mit Network Manager können Sie Ihr AWS Cloud WAN-Kernnetzwerk und Ihr AWS Transit Gateway Gateway-Netzwerk über AWS Konten, Regionen und lokale Standorte hinweg zentral verwalten. Mit der Unterstützung mehrerer Konten können Sie ein einziges globales Netzwerk für jedes Ihrer AWS Konten einrichten und mithilfe der Network Manager-Konsole Transit-Gateways von mehreren Konten für das globale Netzwerk registrieren.

Wenn der vertrauenswürdige Zugriff zwischen Network Manager und Organizations aktiviert ist, können die registrierten delegierten Administratoren und die Verwaltungskonten die in den Mitgliedskonten bereitgestellte serviceverknüpfte Rolle nutzen, um Ressourcen zu beschreiben, die mit Ihren globalen Netzwerken verbunden sind. In der Network-Manager-Konsole können die registrierten delegierten Administratoren und die Verwaltungskonten die benutzerdefinierten IAM-Rollen übernehmen, die in den Mitgliedskonten bereitgestellt werden: CloudWatch-CrossAccountSharingRole für die Überwachung und das Eventing von mehreren Konten und IAMRoleForAWSNetworkManagerCrossAccountResourceAccess für den Rollenwechselzugriff der Konsole zum Anzeigen und Verwalten von Ressourcen für mehrere Konten

Wichtig

  • Es wird nachdrücklich empfohlen, die Network-Manager-Konsole zum Verwalten von Einstellungen für mehrere Konten zu verwenden (vertrauenswürdigen Zugriff aktivieren/deaktivieren und delegierte Administratoren registrieren/abmelden). Durch die Verwaltung dieser Einstellungen von der Konsole aus werden alle erforderlichen serviceverknüpften Rollen und benutzerdefinierten IAM-Rollen automatisch auf den Mitgliedskonten bereitgestellt und verwaltet, die für den Zugriff auf mehrere Konten erforderlich sind.

  • Wenn Sie den vertrauenswürdigen Zugriff für Network Manager in der Network Manager-Konsole aktivieren, aktiviert AWS CloudFormation StackSets die Konsole auch den Dienst. Network Manager verwendet StackSets , um benutzerdefinierte IAM-Rollen bereitzustellen, die für die Verwaltung mehrerer Konten erforderlich sind.

Weitere Informationen über die Integration von Network Manager in Organizations finden Sie unter Verwalten von mehreren Konten im Network Manager mit AWS Organizations im Amazon-VPC-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von AWS Network Manager zu helfen. AWS Organizations

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgenden serviceverknüpften Rollen werden automatisch in den gelisteten Organisationskonten erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit diesen Rollen kann Network Manager unterstützte Vorgänge innerhalb der Konten in Ihrer Organisation ausführen. Wenn Sie den vertrauenswürdigen Zugriff deaktivieren, löscht Network Manager diese Rollen nicht aus Konten in Ihrer Organisation. Sie können sie manuell über die IAM-Konsole löschen.

Verwaltungskonto

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

Mitgliedskonten

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

Wenn Sie ein Mitgliedskonto als delegierten Administrator registrieren, wird automatisch die folgende zusätzliche Rolle im delegierten Administratorkonto erstellt:

  • AWSServiceRoleForCloudWatchCrossAccount

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind.

  • Für die AWSServiceRoleForNetworkManager service-linked-Rolle hat networkmanager.amazonaws.com als einziger Service-Prinzipal Zugriff.

  • Für die serviceverknüpfte AWSServiceRoleForCloudFormationStackSetsOrgMember-Rolle hat member.org.stacksets.cloudformation.amazonaws.com als einziger Service-Prinzipal Zugriff.

  • Für die serviceverknüpfte AWSServiceRoleForCloudFormationStackSetsOrgAdmin-Rolle hat stacksets.cloudformation.amazonaws.com als einziger Service-Prinzipal Zugriff.

  • Für die serviceverknüpfte AWSServiceRoleForCloudWatchCrossAccount-Rolle hat cloudwatch-crossaccount.amazonaws.com als einziger Service-Prinzipal Zugriff.

Das Löschen dieser Rollen beeinträchtigt die Multi-Account-Funktionalität von Network Manager.

Aktivieren des vertrauenswürdigen Zugriffs mit Network Manager

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Nur ein Administrator im Organisationsverwaltungskonto hat die Berechtigung, vertrauenswürdigen Zugriff mit einem anderen AWS Dienst zu aktivieren. Verwenden Sie unbedingt die Network-Manager-Konsole, um den vertrauenswürdigen Zugriff zu aktivieren, damit Berechtigungsprobleme vermieden werden. Weitere Informationen finden Sie unter Verwalten mehrerer Konten in Network Manager mit AWS Organizations im Amazon-VPC-Benutzerhandbuch.

Deaktivieren des vertrauenswürdigen Zugriffs mit Network Manager

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Nur ein Administrator in einem Organisationsverwaltungskonto hat die Berechtigung, den vertrauenswürdigen Zugriff mit einem anderen AWS Dienst zu deaktivieren.

Wichtig

Es wird nachdrücklich empfohlen, die Network-Manager-Konsole zu verwenden, um den vertrauenswürdigen Zugriff zu deaktivieren. Wenn Sie den vertrauenswürdigen Zugriff auf andere Weise deaktivieren, z. B. mithilfe AWS CLI einer API oder mit der AWS CloudFormation Konsole, werden bereitgestellte AWS CloudFormation StackSets und benutzerdefinierte IAM-Rollen möglicherweise nicht ordnungsgemäß bereinigt. Um den vertrauenswürdigen Zugriff auf einen Service zu deaktivieren, melden Sie sich in der Network-Manager-Konsole an.

So aktivieren Sie ein delegiertes Administratorkonto für Network Manager

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos administrative Aktionen für Network Manager ausführen, die andernfalls nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung des Network Manager zu trennen.

Anweisungen zum Festlegen eines Mitgliedskontos als delegierter Administrator von Network Manager in der Organisation finden Sie unter Registrieren eines delegierten Administrators im Amazon-VPC-Benutzerhandbuch.