Amazon DevOps Guru 和 AWS Organizations - AWS Organizations
服务相关角色服务委托人启用信任访问权限禁用信任访问权限为 DevOps Guru 启用委托管理员账户为 DevOps Guru 禁用委托管理员

Amazon DevOps Guru 和 AWS Organizations

Amazon DevOps Guru 会分析操作数据以及应用程序指标和事件,以识别偏离正常操作模式的行为。当 DevOps Guru 检测到操作问题或风险时,会通知用户。

借助 AWS Organizations 使用 DevOps Guru 启用多账户支持,以便您可以指定成员账户来管理整个组织的见解。此委托管理员随后可以查看、排序和筛选组织内所有账户的见解,以全面了解组织内所有受监控应用程序运行状况,而无需进行任何额外的自定义。

有关更多信息,请参阅《Amazon DevOps Guru 用户指南》中的监控组织中的帐户

使用以下信息帮助您将 Amazon DevOps Guru 与 AWS Organizations 集成。

启用集成时,创建了一个服务相关角色

以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 DevOps Guru 在您组织中的组织账户内执行受支持的操作。

只有在禁用 DevOps Guru 与 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。

  • AWSServiceRoleForDevOpsGuru

服务相关角色使用的服务委托人

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。DevOps Guru 使用的服务相关角色为以下服务委托人授予访问权限:

  • devops-guru.amazonaws.com

有关更多信息,请参阅《Amazon DevOps Guru 用户指南》中的将服务相关角色用于 DevOps Guru

使用 DevOps Guru 启用信任访问权限

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

注意

当您为 Amazon DevOps Guru 指定委托管理员时,DevOps Guru 会自动为您的组织启用 DevOps Guru 信任访问权限。

DevOps Guru 需要拥有对 AWS Organizations 的信任访问权限,然后您才能为您的组织将某个成员账户指定为此服务的委托管理员。

重要

强烈建议您尽可能使用 Amazon DevOps Guru 控制台或工具来实现与 Organizations 的集成。这使 Amazon DevOps Guru 可以任何所需的配置,例如创建服务所需的资源。请仅在您无法使用 Amazon DevOps Guru 提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅此说明

您可以使用 AWS Organizations 控制台或 DevOps Guru 控制台启用信任访问权限。

AWS Management Console
要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Services(服务)页面上,找到 Amazon DevOps Guru 行,选择该服务的名称,然后选择 Enable trusted access(启用信任访问权限)

  3. 在确认对话框中,启用 Show the option to enable trusted access (显示启用信任访问权限的选项),在框中输入 enable,然后选择 Enable trusted access (启用信任访问权限)

  4. 如果您只是 AWS Organizations 的管理员,请告诉 Amazon DevOps Guru 的管理员,他们现在可以使用其控制台启用该服务与 AWS Organizations 配合使用。

DevOps Guru console
使用 DevOps Guru 控制台启用信任访问权限

  1. 以管理账户中的管理员身份登录并打开 DevOps Guru 控制台:Amazon DevOps Guru 控制台

  2. 选择 Enable trusted access (启用可信访问)

使用 DevOps Guru 禁用信任访问权限

有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限

只有 AWS Organizations 管理账户中的管理员可以使用 Amazon DevOps Guru 禁用信任访问权限。

您可以仅使用 Organizations 工具禁用信任访问权限。

您可以使用 AWS Organizations 控制台禁用信任访问权限。

AWS Management Console
使用 Organizations 控制台禁用信任服务访问权限

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 在导航窗格中,选择服务

  3. 在服务列表中选择 Amazon DevOps Guru

  4. 选择 Disable trusted access(禁用信任访问权限)

  5. 为 Amazon DevOps Guru 禁用可信访问对话框中,键入禁用进行确认,然后选择禁用可信访问

  6. 如果您只是 AWS Organizations 的管理员,请告诉 Amazon DevOps Guru 的管理员,他们现在可以使用其控制台或工具禁用该服务,使其无法与 AWS Organizations 配合使用。

为 DevOps Guru 启用委托管理员账户

DevOps Guru 的委托管理员账户可以查看从组织中引导到 DevOps Guru 的所有成员账户的见解数据。有关委托管理员如何管理组织账户的信息,请参阅《Amazon DevOps Guru 用户指南》中的监控组织中的账户

只有组织管理账户中的管理员才能为 DevOps Guru 配置委托管理员。

您可以通过 DevOps Guru 控制台,或者通过使用 Organizations RegisterDelegatedAdministrator CLI 或 SDK 操作,来指定委托管理员账户。

最小权限

只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织中的 DevOps Guru 的委托管理员。

DevOps Guru console
在 DevOps Guru 控制台中配置委托管理员

  1. 以管理账户中的管理员身份登录并打开 DevOps Guru 控制台:Amazon DevOps Guru 控制台

  2. 选择 Register delegated administrator (注册委派管理员)。您可以选择管理账户或任何成员账户作为委托管理员。

AWS CLI, AWS API

如果要使用 AWS CLI 或某个 AWS SDK 配置委托管理员账户,您可以使用以下命令:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal devops-guru.amazonaws.com

  • AWS SDK:调用 Organizations RegisterDelegatedAdministrator 操作和成员账户的 ID 号,并将账户服务主体 account.amazonaws.com 确定为参数。

为 DevOps Guru 禁用委托管理员

您可以使用 DevOps Guru 控制台,或者通过使用 Organizations DeregisterDelegatedAdministrator CLI 或 SDK 操作,来删除委托管理员。有关如何使用 DevOps Guru 控制台删除委托管理员的信息,请参阅《Amazon DevOps Guru 用户指南》中的监控组织中的账户