AWS Ressourcen Explorer und AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Ressourcen Explorer und AWS Organizations

AWS Ressourcen Explorer ist ein Dienst zum Suchen und Entdecken von Ressourcen. Mit Resource Explorer können Sie Ihre Ressourcen, wie Amazon Elastic Compute Cloud-Instances, Amazon Kinesis Data Streams oder Amazon DynamoDB-Tabellen mithilfe einer Internet-Suchmaschine erkunden. Sie können mithilfe von Ressourcenmetadaten wie Namen, Tags und nach Ihren Ressourcen suchenIDs. Resource Explorer funktioniert regionsübergreifend AWS in Ihrem Konto, um Ihre regionsübergreifenden Workloads zu vereinfachen.

Wenn Sie Resource Explorer mit integrieren AWS Organizations, können Sie Beweise aus einer breiteren Quelle sammeln, indem Sie mehrere Daten AWS-Konten aus Ihrer Organisation in Ihre Bewertungen einbeziehen.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration AWS Ressourcen Explorer mit zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit dieser Rolle kann Resource Explorer unterstützte Vorgänge innerhalb der Konten Ihrer Organisation in Ihrer Organisation ausführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Resource Explorer und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

Weitere Informationen zur Verwendung dieser Rolle durch Resource Explorer finden Sie unter Verwenden von serviceverknüpften Rollen im AWS Ressourcen Explorer -Benutzerhandbuch.

  • AWSServiceRoleForResourceExplorer

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Resource Explorer verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

  • resource-explorer-2.amazonaws.com

So aktivieren Sie den vertrauenswürdigen Zugriff mit AWS Ressourcen Explorer

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Resource Explorer benötigt vertrauenswürdigen Zugriff auf, AWS Organizations bevor Sie ein Mitgliedskonto als delegierten Administrator für Ihre Organisation festlegen können.

Sie können den vertrauenswürdigen Zugriff entweder über die Resource-Explorer-Konsole oder über die Organizations-Konsole aktivieren. Wir empfehlen dringend, dass Sie nach Möglichkeit die Resource-Explorer-Konsole oder Tools verwenden, um die Integration mit Organisationen zu ermöglichen. Auf diese Weise können AWS Ressourcen Explorer Sie jede Konfiguration vornehmen, die erforderlich ist, z. B. die Erstellung von Ressourcen, die für den Dienst benötigt werden.

So aktivieren Sie den vertrauenswürdigen Zugriff über die Resource-Explorer-Konsole

Anweisungen zur Aktivierung des vertrauenswürdigen Zugriffs finden Sie unter Voraussetzungen für die Verwendung von Resource Explorer im AWS Ressourcen Explorer -Benutzerhandbuch.

Anmerkung

Wenn Sie über die AWS Ressourcen Explorer Konsole einen delegierten Administrator konfigurieren, wird AWS Ressourcen Explorer automatisch der vertrauenswürdige Zugriff für Sie aktiviert.

Sie können vertrauenswürdigen Zugriff aktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder indem Sie einen API Organizations-Vorgang in einem der Befehle aufrufen AWS SDKs.

AWS CLI, AWS API
Um den vertrauenswürdigen Dienstzugriff mithilfe der Organizations zu aktivierenCLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API Operationen, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

  • AWS CLI: enable-aws-service-access

    Führen Sie den folgenden Befehl aus, um ihn AWS Ressourcen Explorer als vertrauenswürdigen Dienst bei Organizations zu aktivieren.

    $ aws organizations enable-aws-service-access \ --service-principal resource-explorer-2.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: E nableAWSService Access

So deaktivieren Sie den vertrauenswürdigen Zugriff mit Resource Explorer

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Nur ein Administrator im AWS Organizations Verwaltungskonto kann den vertrauenswürdigen Zugriff mit deaktivieren AWS Ressourcen Explorer.

Sie können den vertrauenswürdigen Zugriff entweder mit den AWS Ressourcen Explorer oder den AWS Organizations Tools deaktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS Ressourcen Explorer Konsole oder Tools zu verwenden, um die Integration mit Organizations zu deaktivieren. Auf diese Weise können AWS Ressourcen Explorer Sie alle erforderlichen Bereinigungen durchführen, z. B. Ressourcen löschen oder auf Rollen zugreifen, die vom Dienst nicht mehr benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration nicht mit den von AWS Ressourcen Explorer bereitgestellten Tools deaktivieren können.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der AWS Ressourcen Explorer Konsole oder der Tools deaktivieren, müssen Sie diese Schritte nicht ausführen.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder indem Sie einen API Organizations-Vorgang in einem der Befehle aufrufen AWS SDKs.

AWS CLI, AWS API
Um den Zugriff auf vertrauenswürdige Dienste mithilfe der Organizations zu deaktivierenCLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API Operationen, um den Zugriff auf vertrauenswürdige Dienste zu deaktivieren:

  • AWS CLI: disable-aws-service-access

    Führen Sie den folgenden Befehl aus, um ihn AWS Ressourcen Explorer als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \ --service-principal resource-explorer-2.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: D isableAWSService Zugriff

Aktivieren eines delegierten Administratorkontos für Resource Explorer

Verwenden Sie Ihr delegiertes Administratorkonto, um Ressourcenansichten für mehrere Konten zu erstellen und sie auf eine Organisationseinheit oder Ihre gesamte Organisation zu beschränken. Sie können Ansichten mehrerer Konten mit jedem Konto in Ihrer Organisation teilen, AWS Resource Access Manager indem Sie Ressourcenfreigaben erstellen.

Mindestberechtigungen

Nur ein Benutzer oder eine Rolle im Organizations-Verwaltungskonto mit der folgenden Berechtigung kann ein Mitgliedskonto als delegierter Administrator für Resource Explorer in der Organisation konfigurieren:

resource-explorer:RegisterAccount

Anweisungen zum Aktivieren eines delegierten Administratorkontos für Resource Explorer finden Sie unter Einrichten im AWS Ressourcen Explorer -Benutzerhandbuch.

Wenn Sie über die AWS Ressourcen Explorer Konsole einen delegierten Administrator konfigurieren, aktiviert Resource Explorer automatisch den vertrauenswürdigen Zugriff für Sie.

AWS CLI, AWS API

Wenn Sie ein delegiertes Administratorkonto mit dem AWS CLI oder einem der folgenden Befehle konfigurieren möchten AWS SDKs, können Sie die folgenden Befehle verwenden:

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal resource-explorer-2.amazonaws.com
  • AWS SDK: Rufen Sie den RegisterDelegatedAdministrator Betrieb Organizations und die ID-Nummer des Mitgliedskontos auf und identifizieren Sie den Kontoservice resource-explorer-2.amazonaws.com als Parameter.

Deaktivieren eines delegierten Administrators für Resource Explorer

Nur ein Administrator im Verwaltungskonto von Organizations oder im delegierten Administratorkonto von Resource Explorer kann einen delegierten Administrator für Resource Explorer entfernen. Sie können den vertrauenswürdigen Zugriff mithilfe der Organizations DeregisterDelegatedAdministrator CLI oder des SDK Vorgangs deaktivieren.