Amazon VPC Reachability Analyzer e AWS Organizations - AWS Organizations
Funções vinculadas a serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesabilitar acesso confiávelHabilitar uma conta de administrador delegado para o Reachability AnalyzerDesabilitar um administrador delegado para o Reachability Analyzer

Amazon VPC Reachability Analyzer e AWS Organizations

O Reachability Analyzer é uma ferramenta de análise de configuração que possibilita a realização de testes de conectividade entre um recurso de origem e um recurso de destino em suas nuvens privadas virtuais (VPCs).

O uso do AWS Organizations com o Reachability Analyzer permite que você monitore caminhos entre contas em suas organizações.

Para obter mais informações, consulte Manage delegated administrator accounts in Reachability Analyzer no Guia do usuário do Reachability Analyzer.

Use as informações a seguir para ajudar você a integrar o Reachability Analyzer com o AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Esse perfil permite que o Reachability Analyzer execute operações com suporte nas contas da sua organização.

Só será possível excluir ou modificar essa função se você desabilitar o acesso confiável entre o Reachability Analyzer e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForReachabilityAnalyzer

Para obter mais informações, consulte Cross-account analyses for Reachability Analyzer (Análise entre contas para o Reachability Analyzer) no Guia do usuário do Reachability Analyzer.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço usados pelo Reachability Analyzer concedem acesso às entidades principais de serviço a seguir:

  • reachabilityanalyzer.networkinsights.amazonaws.com

Habilitar o acesso confiável com o Reachability Analyzer

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Quando você designa um administrador delegado para o Reachability Analyzer, o acesso confiável para o Reachability Analyzer é habilitado automaticamente na organização.

O Reachability Analyzer requer acesso confiável ao AWS Organizations para que você possa designar uma conta-membro como o administrador delegado desse serviço para sua organização.

Importante

  • É possível habilitar o acesso confiável usando o console do Reachability Analyzer ou o console do Organizations. No entanto, recomendamos fortemente o uso do console do Reachability Analyzer ou da API EnableMultiAccountAnalysisForAwsOrganization para habilitar a integração com o Organizations. Isso permite que o Reachability Analyzer execute qualquer configuração necessária, como a criação de recursos necessários para o serviço.

  • Conceder acesso confiável cria a função vinculada ao serviço AWSServiceRoleForReachabilityAnalyzer na conta de gerenciamento e em todas as contas-membro da organização. O Reachability Analyzer usa o perfil vinculado ao serviço para permitir o gerenciamento, e o administrador delegado para executar análises de conectividade entre quaisquer recursos na organização. O Reachability Analyzer pode tirar snapshots dos elementos de rede das contas em uma organização para responder a consultas de conectividade.

  • Para obter mais informações e instruções sobre como habilitar o acesso confiável por meio do Reachability Analyzer, consulte Cross-account analyses for Reachability Analyzer (Análise entre contas para o Reachability Analyzer) no Guia do usuário do Reachability Analyzer.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console
Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Serviços, localize a linha para o VPC Reachability Analyzer, escolha o nome do serviço e, em seguida, selecione Habilitar acesso confiável.

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for administrador somente do AWS Organizations, informe ao administrador do Reachability Analyzer que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API
Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    É possível executar o comando a seguir para habilitar o Reachability Analyzer como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal reachabilityanalyzer.networkinsights.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável com o Reachability Analyzer

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

É possível desabilitar o acesso confiável usando o console do Reachability Analyzer (recomendado) ou o console do Organizations. Para desabilitar o acesso confiável usando o console do Reachability Analyzer, consulte Cross-account analyses for Reachability Analyzer (Análise entre contas para o Reachability Analyzer) no Guia do usuário do Reachability Analyzer.

Habilitar uma conta de administrador delegado para o Reachability Analyzer

A conta do administrador delegado pode executar análises de conectividade em qualquer um dos recursos da organização. Para obter mais informações, consulte Integrar o Reachability Analyzer ao AWS Organizations no Guia do usuário do Reachability Analyzer.

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado para o Reachability Analyzer.

É possível especificar uma conta do administrador delegado usando o console do Reachability Analyzer ou a API RegisterDelegatedAdministrator. Para obter mais informações, consulte RegisterDelegatedAdministrator em Organizations Command Reference (Referência de comandos do Organizations).

Permissões mínimas

Somente um perfil ou usuário na conta de gerenciamento do Organizations pode configurar uma conta-membro como um administrador delegado para o Reachability Analyzer na organização

Para configurar um administrador delegado usando o console do Reachability Analyzer, consulte Integrar o Reachability Analyzer ao AWS Organizations no Guia do usuário do Reachability Analyzer.

Desabilitar um administrador delegado para o Reachability Analyzer

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado para o Reachability Analyzer.

É possível remover o administrador delegado usando o console ou a API do Reachability Analyzer ou usando a operação DeregisterDelegatedAdministrator da CLI ou do SDK do Organizations.

Para desabilitar a conta do administrador delegado do Reachability Analyzer usando o console do Reachability Analyzer, consulte Cross-account analyses for Reachability Analyzer (Análise entre contas para o Reachability Analyzer) no Guia do usuário do Reachability Analyzer.