Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Gestionnaire de réseau et AWS Organizations
Network Manager vous permet de gérer de manière centralisée votre réseau central AWS Cloud WAN et votre réseau AWS Transit Gateway sur l'ensemble AWS des comptes, des régions et des sites sur site. Grâce à la prise en charge de plusieurs comptes, vous pouvez créer un réseau mondial unique pour n'importe lequel de vos AWS comptes et enregistrer des passerelles de transit entre plusieurs comptes et le réseau mondial à l'aide de la console Network Manager.
Lorsque l'accès sécurisé entre Network Manager et les Organizations est activé, les administrateurs délégués enregistrés et les comptes de gestion peuvent tirer parti du rôle lié au service déployé dans les comptes membres pour décrire les ressources attachées à vos réseaux mondiaux. À partir de la console Network Manager, les administrateurs délégués enregistrés et les comptes de gestion peuvent assumer les rôles IAM personnalisés déployés dans les comptes membres : CloudWatch-CrossAccountSharingRole pour la surveillance et la gestion des événements multi-comptes, et IAMRoleForAWSNetworkManagerCrossAccountResourceAccess pour l'accès au rôle de commutateur de console pour afficher et gérer des ressources multi-comptes)
Important
Nous recommandons fortement d'utiliser la console Network Manager pour gérer les paramètres multi-comptes (activer/désactiver l'accès sécurisé et enregistrer/annuler l'enregistrement des administrateurs délégués). La gestion de ces paramètres à partir de la console déploie et gère automatiquement tous les rôles liés au service requis et les rôles IAM personnalisés vers les comptes membres nécessaires à l'accès multi-comptes.
Lorsque vous activez l'accès sécurisé pour Network Manager dans la console Network Manager, la console active également le AWS CloudFormation StackSets service. Network Manager est utilisé StackSets pour déployer les rôles IAM personnalisés nécessaires à la gestion multi-comptes.
Pour plus d'informations sur l'intégration de Network Manager avec Organizations, consultez Gérer plusieurs comptes dans Network Manager AWS Organizations dans le Guide de l’utilisateur Amazon VPC.
Utilisez les informations suivantes pour vous aider à intégrer AWS Network Manager à AWS Organizations.
Création de rôles liés à un service lors de l'activation de l'intégration
Les rôles liés à un service suivant sont automatiquement créés dans le compte de l’organisation répertorié lorsque vous activez l'accès sécurisé. Ces rôles permettent à Network Manager d'effectuer les opérations prises en charge dans les comptes de votre organisation. Si vous désactivez l'accès sécurisé, Network Manager ne supprimera pas ces rôles des comptes de votre organisation. Vous pouvez les supprimer manuellement à l'aide de la console IAM.
Compte de gestion
-
AWSServiceRoleForNetworkManager -
AWSServiceRoleForCloudFormationStackSetsOrgAdmin -
AWSServiceRoleForCloudWatchCrossAccount
Comptes membres
-
AWSServiceRoleForNetworkManager -
AWSServiceRoleForCloudFormationStackSetsOrgMember
Lorsque vous enregistrez un compte membre en tant qu'administrateur délégué, le rôle supplémentaire suivant est automatiquement créé dans le compte d'administrateur délégué :
-
AWSServiceRoleForCloudWatchCrossAccount
Principaux de service utilisés par les rôles liés à un service
Les rôles liés à un service ne peuvent être assumés que par les principaux de service autorisés par les relations d'approbation définies pour le rôle.
-
Pour le rôle
AWSServiceRoleForNetworkManager service-linked,networkmanager.amazonaws.com.rproxy.goskope.comest le seul principal de service à y avoir accès. -
Pour le rôle lié à un service
AWSServiceRoleForCloudFormationStackSetsOrgMember,member---org---stacksets---cloudformation.amazonaws.com.rproxy.goskope.comest le seul principal de service à y avoir accès. -
Pour le rôle lié à un service
AWSServiceRoleForCloudFormationStackSetsOrgAdmin,stacksets---cloudformation.amazonaws.com.rproxy.goskope.comest le seul principal de service à y avoir accès. -
Pour le rôle lié à un service
AWSServiceRoleForCloudWatchCrossAccount,cloudwatch-crossaccount.amazonaws.com.rproxy.goskope.comest le seul principal de service à y avoir accès.
La suppression de ces rôles compromettra la fonctionnalité multi-comptes pour Network Manager.
Activation de l'accès sécurisé avec Firewall Manager
Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.
Seul un administrateur du compte de gestion des Organisations est autorisé à activer un accès sécurisé avec un autre AWS service. Assurez-vous d'utiliser la console Network Manager pour activer l'accès sécurisé, afin d'éviter les problèmes d'autorisations. Pour de plus amples informations, consultez Gestion de plusieurs comptes dans Network Manager avec AWS Organizations dans le Guide de l'utilisateur Amazon VPC.
Désactivation de l'accès sécurisé avec Network Manager
Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.
Seul un administrateur d'un compte de gestion d'Organizations est autorisé à désactiver l'accès sécurisé à un autre AWS service.
Important
Nous vous recommandons vivement d'utiliser la console Network Manager pour désactiver l'accès sécurisé. Si vous désactivez l'accès sécurisé d'une autre manière, par exemple en utilisant AWS CLI, avec une API ou avec la AWS CloudFormation console, les rôles IAM déployés AWS CloudFormation StackSets et personnalisés risquent de ne pas être correctement nettoyés. Pour désactiver l'accès sécurisé, connectez-vous à la console Network Manager
Activation d'un compte administrateur délégué pour Network Manager
Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Network Manager qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Network Manager.
Pour obtenir des instructions sur la façon de désigner un compte membre en tant qu'administrateur délégué de Network Manager dans l'organisation, consultez Enregistrer un administrateur délégué dans le Guide de l'utilisateur Amazon VPC.
