AWS Manajer Jaringan dan AWS Organizations - AWS Organizations
Peran terkait layananPrinsipal layananAktifkan akses terpercayaNonaktifkan akses terpercayaAktifkan administrator yang didelegasikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Manajer Jaringan dan AWS Organizations

Network Manager memungkinkan Anda mengelola jaringan inti AWS Cloud WAN dan jaringan AWS Transit Gateway secara terpusat di seluruh AWS akun, Wilayah, dan lokasi lokal. Dengan dukungan multi-akun, Anda dapat membuat satu jaringan global untuk AWS akun Anda, dan mendaftarkan gateway transit dari beberapa akun ke jaringan global menggunakan konsol Network Manager.

Dengan akses tepercaya antara Network Manager dan Organizations diaktifkan, administrator yang didelegasikan terdaftar dan akun manajemen dapat memanfaatkan peran terkait layanan yang digunakan di akun anggota untuk menjelaskan sumber daya yang dilampirkan ke jaringan global Anda. Dari konsol Network Manager, administrator yang didelegasikan terdaftar dan akun manajemen dapat mengasumsikan peran IAM kustom yang diterapkan di akun anggota: CloudWatch-CrossAccountSharingRole untuk pemantauan dan eventing multi-akun, dan untuk akses peran peralihan konsol IAMRoleForAWSNetworkManagerCrossAccountResourceAccess untuk melihat dan mengelola sumber daya multi-akun)

penting

  • Kami sangat menyarankan menggunakan konsol Network Manager untuk mengelola pengaturan multi-akun (mengaktifkan/menonaktifkan akses tepercaya dan mendaftarkan/membatalkan pendaftaran administrator yang didelegasikan). Mengelola pengaturan ini dari konsol secara otomatis menyebarkan dan mengelola semua peran terkait layanan yang diperlukan dan peran IAM khusus ke akun anggota yang diperlukan untuk akses multi-akun.

  • Saat Anda mengaktifkan akses tepercaya untuk Network Manager di konsol Network Manager, konsol juga mengaktifkan AWS CloudFormation StackSets layanan. Network Manager menggunakan StackSets untuk menerapkan peran IAM kustom yang diperlukan untuk manajemen multi-akun.

Untuk informasi selengkapnya tentang mengintegrasikan Network Manager dengan Organizations, lihat Mengelola beberapa akun di Network Manager dengan AWS Organizations di Panduan Pengguna Amazon VPC.

Gunakan informasi berikut untuk membantu Anda mengintegrasikan AWS Network Manager dengan AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Saat Anda mengaktifkan akses tepercaya, peran terkait layanan berikut akan dibuat secara otomatis di akun organisasi yang terdaftar. Peran ini memungkinkan Manajer Jaringan untuk melakukan operasi yang didukung dalam akun di organisasi Anda. Jika Anda menonaktifkan akses tepercaya, Manajer Jaringan tidak akan menghapus peran ini dari akun di organisasi Anda. Anda dapat menghapusnya secara manual menggunakan konsol IAM.

Akun manajemen

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

Akun anggota

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

Saat Anda mendaftarkan akun anggota sebagai administrator yang didelegasikan, peran tambahan berikut secara otomatis dibuat di akun administrator yang didelegasikan:

  • AWSServiceRoleForCloudWatchCrossAccount

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran terkait layanan hanya dapat diasumsikan oleh prinsip layanan yang disahkan oleh hubungan kepercayaan yang ditentukan untuk peran tersebut.

  • Untuk AWSServiceRoleForNetworkManager service-linked peran, networkmanager.amazonaws.com adalah satu-satunya prinsip layanan yang memiliki akses.

  • Untuk peran AWSServiceRoleForCloudFormationStackSetsOrgMember terkait layanan, member.org.stacksets.cloudformation.amazonaws.com adalah satu-satunya prinsip layanan yang memiliki akses.

  • Untuk peran AWSServiceRoleForCloudFormationStackSetsOrgAdmin terkait layanan, stacksets.cloudformation.amazonaws.com adalah satu-satunya prinsip layanan yang memiliki akses.

  • Untuk peran AWSServiceRoleForCloudWatchCrossAccount terkait layanan, cloudwatch-crossaccount.amazonaws.com adalah satu-satunya prinsip layanan yang memiliki akses.

Menghapus peran ini akan mengganggu fungsionalitas multi-akun untuk Manajer Jaringan.

Mengaktifkan akses tepercaya dengan Network Manager

Untuk informasi tentang izin yang diperlukan untuk mengaktifkan akses terpercaya, lihat Izin yang diperlukan untuk mengaktifkan akses terpercaya.

Hanya administrator di akun manajemen Organizations yang memiliki izin untuk mengaktifkan akses tepercaya dengan AWS layanan lain. Pastikan untuk menggunakan konsol Network Manager untuk mengaktifkan akses tepercaya, untuk menghindari masalah izin. Untuk informasi selengkapnya, lihat Mengelola beberapa akun di Manajer Jaringan dengan AWS Organizations di Panduan Pengguna Amazon VPC.

Menonaktifkan akses tepercaya dengan Network Manager

Untuk informasi tentang izin yang diperlukan untuk menonaktifkan akses terpercaya, lihat Izin yang diperlukan untuk menonaktifkan akses terpercaya.

Hanya administrator di akun manajemen Organizations yang memiliki izin untuk menonaktifkan akses tepercaya dengan AWS layanan lain.

penting

Kami sangat menyarankan menggunakan konsol Network Manager untuk menonaktifkan akses tepercaya. Jika Anda menonaktifkan akses tepercaya dengan cara lain, seperti menggunakan AWS CLI, dengan API, atau dengan AWS CloudFormation konsol, peran IAM yang digunakan AWS CloudFormation StackSets dan kustom mungkin tidak dibersihkan dengan benar. Untuk menonaktifkan akses layanan tepercaya, masuk ke konsol Network Manager.

Mengaktifkan akun administrator yang didelegasikan untuk Network Manager

Saat Anda menetapkan akun anggota sebagai administrator yang didelegasikan untuk organisasi, pengguna dan peran dari akun tersebut dapat melakukan tindakan administratif untuk Manajer Jaringan yang hanya dapat dilakukan oleh pengguna atau peran dalam akun manajemen organisasi. Ini membantu Anda memisahkan manajemen organisasi dari manajemen Manajer Jaringan.

Untuk petunjuk tentang cara menunjuk akun anggota sebagai administrator Manajer Jaringan yang didelegasikan di organisasi, lihat Mendaftarkan administrator yang didelegasikan di Panduan Pengguna Amazon VPC.