AWS Network Manager e AWS Organizations - AWS Organizations
Ruoli collegati ai serviziPrincipali del servizioAbilitazione dell'accesso attendibileDisabilitare l'accesso attendibileAbilitazione dell'amministratore delegato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Network Manager e AWS Organizations

Network Manager ti consente di gestire centralmente la tua rete principale AWS Cloud WAN e la tua rete AWS Transit Gateway tra AWS account, regioni e sedi locali. Con il supporto multiaccount puoi creare un'unica rete globale per tutti AWS i tuoi account e registrare i gateway di transito da più account alla rete globale utilizzando la console Network Manager.

Con l'accesso attendibile tra Network Manager e Organizations abilitato, gli amministratori delegati registrati e gli account di gestione possono sfruttare il ruolo collegato al servizio implementato negli account membri per descrivere le risorse collegate alle reti globali. Dalla console di Network Manager gli amministratori delegati registrati e gli account di gestione possono assumere i ruoli IAM personalizzati distribuiti negli account membri: CloudWatch-CrossAccountSharingRole per il monitoraggio e gli eventi multi-account e IAMRoleForAWSNetworkManagerCrossAccountResourceAccessper l'accesso ai ruoli dello switch della console per la visualizzazione e la gestione di risorse multi-account)

Importante

  • Consigliamo vivamente di utilizzare la console di Network Manager per gestire le impostazioni multi-account (abilitazione/disabilitazione dell'accesso attendibile e registrazione/annullamento della registrazione degli amministratori delegati). La gestione di queste impostazioni dalla console implementa e gestisce automaticamente tutti i ruoli collegati al servizio e i ruoli IAM personalizzati negli account membri necessari per l'accesso a più account.

  • Quando si abilita l'accesso affidabile per Network Manager nella console Network Manager, la console abilita AWS CloudFormation StackSets anche il servizio. Network Manager utilizza StackSets per distribuire i ruoli IAM personalizzati necessari per la gestione di più account.

Per ulteriori informazioni sull'integrazione di Network Manager con Organizations, consulta Gestione di più account in Network Manager con AWS Organizations nella Guida per l'utente di Amazon VPC.

Utilizza le seguenti informazioni per aiutarti a integrare AWS Network Manager con. AWS Organizations

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

I seguenti ruoli collegati ai servizi vengono creati automaticamente negli account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Tale ruolo consente a Network Manager di eseguire le operazioni supportate all'interno degli account nella tua organizzazione. Se si disabilita l'accesso attendibile, Network Manager non eliminerà questi ruoli dagli account dell'organizzazione. Sarà possibile eliminarli manualmente utilizzando la console IAM.

gestione dell'account

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

Account membri

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

Quando registri un account membro come amministratore delegato, viene creato automaticamente il seguente ruolo aggiuntivo nell'account dell'amministratore delegato:

  • AWSServiceRoleForCloudWatchCrossAccount

Principali del servizio utilizzati dai ruoli collegati ai servizi

I ruoli collegati ai servizi possono essere assunti solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo.

  • Per il ruolo AWSServiceRoleForNetworkManager service-linked, networkmanager.amazonaws.com è l'unico principale di servizio che ha accesso.

  • Per il ruolo collegato al servizio AWSServiceRoleForCloudFormationStackSetsOrgMember, member.org.stacksets.cloudformation.amazonaws.com è l'unico principale di servizio che ha accesso.

  • Per il ruolo collegato al servizio AWSServiceRoleForCloudFormationStackSetsOrgAdmin, stacksets.cloudformation.amazonaws.com è l'unico principale di servizio che ha accesso.

  • Per il ruolo collegato al servizio AWSServiceRoleForCloudWatchCrossAccount, cloudwatch-crossaccount.amazonaws.com è l'unico principale di servizio che ha accesso.

L'eliminazione di questi ruoli comprometterà la funzionalità multi-account per Network Manager.

Abilitazione dell'accesso attendibile con Network Manager

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Solo un amministratore dell'account di gestione Organizations dispone delle autorizzazioni per abilitare l'accesso affidabile con un altro AWS servizio. Assicurati di utilizzare la console di Network Manager per abilitare l'accesso attendibile ed evitare problemi di autorizzazioni. Per ulteriori informazioni, consulta Gestione di più account in Network Manager con AWS Organizations nella Guida per l'utente di Amazon VPC.

Disabilitazione dell'accesso attendibile con Network Manager

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

Solo l'amministratore di un account di gestione Organizations dispone delle autorizzazioni per disabilitare l'accesso affidabile con un altro AWS servizio.

Importante

Consigliamo vivamente di utilizzare la console Network Manager per disabilitare l'accesso attendibile. Se disabiliti l'accesso affidabile in qualsiasi altro modo, ad esempio utilizzando AWS CLI, con un'API o con la AWS CloudFormation console, i ruoli IAM distribuiti AWS CloudFormation StackSets e personalizzati potrebbero non essere ripuliti correttamente. Per disabilitare l'accesso al servizio attendibile, accedi alla console di Network Manager.

Abilitazione di un account di amministratore delegato per Network Manager

Quando si designa un account membro come amministratore delegato per l'organizzazione, gli utenti e i ruoli di tale account possono eseguire operazioni amministrative per Network Manager che altrimenti potrebbero essere eseguite solo da utenti o ruoli nell'account di gestione dell'organizzazione. Ciò consente di separare la gestione dell'organizzazione dalla gestione di Network Manager.

Per le istruzioni su come designare un account membro come amministratore delegato di Network Manager nell'organizzazione, consulta Registrazione di un amministratore delegato nella Guida per l'utente di Amazon VPC.