AWS Network Manager 与 AWS Organizations - AWS Organizations
服务相关角色服务委托人启用信任访问权限禁用信任访问权限启用委托管理员

AWS Network Manager 与 AWS Organizations

借助 Network Manager,您可以跨 AWS 账户、区域和本地位置集中管理 AWS Cloud WAN 核心网络和 AWS Transit Gateway 网络。借助多账户支持,您可以为您的任何 AWS 账户创建单个全球网络,然后使用 Network Manager 控制台将来自多个账户的中转网关注册到该全球网络。

在 Network Manager 和 Organizations 之间启用可信访问权限后,注册的委托管理员和管理账户可以利用成员账户中部署的服务相关角色,从而描述附加到该全球网络的资源。在 Network Manager 控制台中,注册的委托管理员和管理账户可以代入成员账户中部署的以下自定义 IAM 角色:CloudWatch-CrossAccountSharingRole(用于多账户监控和事件通知)和 IAMRoleForAWSNetworkManagerCrossAccountResourceAccess(用于查看和管理多账户资源的控制台切换角色访问权限)

重要

  • 我们强烈建议使用 Network Manager 控制台来管理多账户设置(启用/禁用可信访问权限以及注册/取消注册委托管理员)。从控制台管理这些设置时,系统会自动将所有必需的服务相关角色和自定义 IAM 角色部署到多账户访问所需的成员账户,并进行相应的管理。

  • 在 Network Manager 控制台中为 Network Manager 启用可信访问时,控制台还会启用 AWS CloudFormation StackSets 服务。Network Manager 使用 StackSets 来部署多账户管理所需的自定义 IAM 角色。

有关将 Network Manager 与 Organizations 集成的更多信息,请参阅《Amazon VPC 用户指南》中的在 Network Manager 中使用 AWS Organizations 管理多个账户

以下信息可帮助您将 AWS Network Manager 与 AWS Organizations 集成。

启用集成时,创建了一个服务相关角色

启用可信访问权限时,系统将自动在所列组织账户中创建以下服务相关角色。借助这些角色,Network Manager 将能够在组织中的账户内执行支持的操作。如果禁用可信访问权限,Network Manager 将不会从组织中的账户内删除这些角色。您可以使用 IAM 控制台将其手动删除。

管理账户

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

成员账户

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

将某个成员账户注册为委托管理员时,系统将在该委托管理员账户中自动创建以下附加角色:

  • AWSServiceRoleForCloudWatchCrossAccount

服务相关角色使用的服务委托人

服务相关角色只能由为该角色定义的信任关系授权的服务主体代入。

  • 对于 AWSServiceRoleForNetworkManager service-linked 角色,唯一拥有访问权限的服务主体是 networkmanager.amazonaws.com

  • 对于 AWSServiceRoleForCloudFormationStackSetsOrgMember 服务相关角色,唯一拥有访问权限的服务主体是 member.org.stacksets.cloudformation.amazonaws.com

  • 对于 AWSServiceRoleForCloudFormationStackSetsOrgAdmin 服务相关角色,唯一拥有访问权限的服务主体是 stacksets.cloudformation.amazonaws.com

  • 对于 AWSServiceRoleForCloudWatchCrossAccount 服务相关角色,唯一拥有访问权限的服务主体是 cloudwatch-crossaccount.amazonaws.com

如果删除这些角色,则将影响 Network Manager 的多账户功能。

使用 Network Manager 启用可信访问权限

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

只有 Organizations 管理账户的管理员有权启用对其他AWS服务的可信访问权限。务必要使用 Network Manager 控制台启用可信访问权限,以免出现权限问题。有关更多信息,请参阅《Amazon VPC 用户指南》中的在 Network Manager 中使用 AWS Organizations 管理多个账户

使用 Network Manager 禁用可信访问权限

有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限

只有 Organizations 管理账户的管理员有权禁用对其他AWS服务的可信访问权限。

重要

我们强烈建议您使用 Network Manager 控制台禁用可信访问权限。如果通过任何其他方式(例如使用 AWS CLI、API 或 AWS CloudFormation 控制台)禁用可信访问权限,则可能无法正确清理已部署的 AWS CloudFormation StackSets 和自定义 IAM 角色。要禁用可信服务访问权限,请登录 Network Manager 控制台

为 Network Manager 启用委托管理员账户

将成员账户指定为组织的委托管理员后,该账户中的用户和角色将能够对 Network Manager 执行本来只能由组织管理账户中的用户或角色执行的管理操作。这有利于将组织的管理与 Network Manager 的管理分开。

有关如何将成员账户指定为组织中的 Network Manager 委托管理员的说明,请参阅《Amazon VPC 用户指南》中的注册委托管理员