AWS Network Manager y AWS Organizations - AWS Organizations

AWS Network Manager y AWS Organizations

Network Manager le permite administrar de forma centralizada su AWS Red central de WAN en la nube y su AWS red de Transit Gateway en AWS cuentas, regiones y ubicaciones en las instalaciones. Con el soporte multicuenta, puede crear una única red global para cualquiera de sus AWS cuentas y registrar las puertas de enlace de tránsito de varias cuentas a la red global desde la consola de Network Manager.

Con el acceso de confianza entre Network Manager y Organizations habilitado, los administradores delegados registrados y las cuentas de administración pueden aprovechar el rol vinculado a servicios implementado en las cuentas de miembro para describir los recursos asociados a sus redes globales. Desde la consola de Network Manager, los administradores delegados registrados y las cuentas de administración pueden asumir los roles de IAM personalizados implementados en las cuentas miembro: CloudWatch-CrossAccountSharingRole para monitoreo y eventos de múltiples cuentas y IAMRoleForAWSNetworkManagerCrossAccountResourceAccess para el acceso del rol de conmutador de consola (para ver y administrar recursos de varias cuentas)

importante
  • Recomendamos encarecidamente utilizar la consola de Network Manager para administrar la configuración multicuentas (habilitar/deshabilitar el acceso de confianza y registrar/anular el registro de administradores delegados). La administración de esta configuración desde la consola implementa y administra automáticamente todas las funciones vinculadas a servicios necesarios y los roles de IAM personalizados en las cuentas de miembro necesarias para el acceso multicuenta.

  • Cuando habilita el acceso seguro para Network Manager en la consola de Network Manager, esta misma también habilita AWS CloudFormation el servicio StackSets. Network Manager utiliza StackSets para implementar roles de IAM personalizados necesarios para la administración multicuenta.

Para obtener más información sobre la integración de Network Manager con las Organizations, consulte Administrar multicuentas en Network Manager con AWS Organizations en la Guía de usuario de Amazon VPC.

Utilice la siguiente información para obtener ayuda al integrar AWS Network Manager con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Estos roles permiten a Network Manager realizar operaciones compatibles en las cuentas de su organización. Si deshabilita el acceso de confianza, Network Manager no eliminará estos roles de las cuentas de su organización. Puede eliminarlos manualmente desde la consola de IAM.

Cuenta de administración

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

Cuentas de miembros

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

Cuando registra una cuenta de miembro como administrador delegado, se crea automáticamente el siguiente rol adicional en la cuenta de administrador delegado:

  • AWSServiceRoleForCloudWatchCrossAccount

Los principales de servicios utilizados por los roles vinculados a servicios

Los roles vinculados a los servicios solo pueden asumirse por las entidades principales de servicio autorizadas por las relaciones de confianza definidas para el rol.

  • Para el AWSServiceRoleForNetworkManager service-linked rol, networkmanager.amazonaws.com es el único servicio principal que tiene acceso.

  • Para el AWSServiceRoleForCloudFormationStackSetsOrgMember rol vinculado al servicio, member.org.stacksets.cloudformation.amazonaws.com es el único servicio principal que tiene acceso.

  • Para el AWSServiceRoleForCloudFormationStackSetsOrgAdmin rol vinculado al servicio, stacksets.cloudformation.amazonaws.com es el único servicio principal que tiene acceso.

  • Para el AWSServiceRoleForCloudWatchCrossAccount rol vinculado al servicio, cloudwatch-crossaccount.amazonaws.com es el único servicio principal que tiene acceso.

La eliminación de estos roles perjudicará la funcionalidad multicuenta de Network Manager.

Habilitar el acceso de confianza con Network Manager

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Solo el administrador de la cuenta de administración de Organizations tiene permisos para habilitar el acceso de confianza con otro servicio AWS. Asegúrese de utilizar la consola de Network Manager para habilitar el acceso de confianza y evitar problemas de permisos. Para obtener más información, consulte Gestionar multicuentas en Network Manager con AWS Organizations en la Guía del usuario de Amazon VPC.

Deshabilitar el acceso de confianza con Network Manager

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo el administrador de la cuenta de gestión de Organizations tiene permisos para deshabilitar el acceso de confianza con otro servicio de AWS.

importante

Le recomendamos encarecidamente que use la consola de Network Manager para deshabilitar el acceso de confianza. Si deshabilita el acceso de confianza de cualquier otro modo como, por ejemplo, usando AWS CLI con una API o con la consola AWS CloudFormation, es posible que los StackSets AWS CloudFormation implementados y los roles de IAM personalizados no se eliminen correctamente. Para deshabilitar el acceso de confianza, inicie sesión en la consola de Network Manager.

Habilitar una cuenta de administrador delegado para Network Manager

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y los roles de esa cuenta pueden realizar acciones administrativas para Network Manager que, de lo contrario, solo podrían realizarlas los usuarios o roles en la cuenta de administración de la organización. Esto le ayuda a separar la gestión de la organización de la de Network Manager.

Para obtener más información sobre cómo designar una cuenta de miembro como administrador delegado de Network Manager en la organización, consulte Registrar un administrador delegador en la Guía del usuario de Amazon VPC.