AWS 網路管理員和 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任存取停用受信任存取啟用委派的管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 網路管理員和 AWS Organizations

網路管理員可讓您跨 AWS 帳戶、區域和內部部署位置,集中管理 AWS Cloud WAN 核心網路和 AWS Transit Gateway 網路。透過多帳戶支援,您可以為任何 AWS 帳戶建立單一全球網路,並使用 Network Manager 主控台將多個帳戶的傳輸閘道註冊到全球網路。

啟用 Network Manager 和 Organizations 之間受信任的存取權後,已註冊的委派管理員和管理帳戶可以利用成員帳戶中部署的服務連結角色來描述連接至全域網路的資源。在 Network Manager 主控台中,註冊的委派管理員和管理帳戶可以承擔在成員帳戶中部署的自訂 IAM 角色:CloudWatch-CrossAccountSharingRole 用於多帳戶監控和事件,以及 IAMRoleForAWSNetworkManagerCrossAccountResourceAccess 用於主控台交換機角色存取權限,以查看和管理多帳戶資源。

重要

  • 我們強烈建議使用 Network Manager 主控台來管理多帳戶設定 (啟用/停用受信任的存取權,以及註冊/取消註冊委派管理員)。若從主控台管理這些設定,即會自動將所有必需的服務連結角色和自訂 IAM 角色部署和管理至多帳戶存取所需的成員帳戶。

  • 當您在網路管理員主控台中啟用網路管理員的信任存取時,主控台也會啟用 AWS CloudFormation StackSets 服務。網路管理員用 StackSets 於部署多帳戶管理所需的自訂 IAM 角色。

如需有關將 Network Manager 與組織整合的詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 AWS Organizations管理多個 Network Manager 中的帳戶

使用下列資訊可協助您將 AWS 網路管理員與整合 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在列出的組織帳戶中自動建立以下服務連結角色。這些角色允許 Network Manager 在您組織的帳戶中執行支援的操作。如果停用受信任的存取,Network Manager 將不會從組織中的帳戶刪除這些角色。您可以使用 IAM 主控台手動將其刪除。

管理帳戶

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

成員帳戶

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

當您將成員帳戶註冊為委派管理員時,將在委派管理員帳戶中自動建立以下附加角色:

  • AWSServiceRoleForCloudWatchCrossAccount

服務連結角色所使用的服務委託人

服務連結角色只能由依據角色定義的信任關係所授權的服務主體來假設。

  • 對於 AWSServiceRoleForNetworkManager service-linked 角色,networkmanager.amazonaws.com 是唯一具有存取權限的服務主體。

  • 對於 AWSServiceRoleForCloudFormationStackSetsOrgMember 服務連結角色,member.org.stacksets.cloudformation.amazonaws.com 是唯一具有存取權限的服務主體。

  • 對於 AWSServiceRoleForCloudFormationStackSetsOrgAdmin 服務連結角色,stacksets.cloudformation.amazonaws.com 是唯一具有存取權限的服務主體。

  • 對於 AWSServiceRoleForCloudWatchCrossAccount 服務連結角色,cloudwatch-crossaccount.amazonaws.com 是唯一具有存取權限的服務主體。

刪除這些角色將影響 Network Manager 的多帳戶功能。

使用 Network Manager 啟用受信任存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

只有 Organizations 管理帳戶中的系統管理員具有對其他 AWS 服務啟用受信任存取的權限。請務必使用 Network Manager 主控台來啟用受信任的存取,以避免權限問題。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 AWS Organizations管理多個 Network Manager 中的帳戶

使用 Network Manager 來停用受信任存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

只有 Organizations 管理帳戶中的系統管理員具有停用其他 AWS 服務的受信任存取權限的權限。

重要

我們強烈建議您使用 Network Manager 主控台來停用受信任的存取。如果您以任何其他方式停用受信任存取 (例如使用 AWS CLI、搭配 API 或使用 AWS CloudFormation 主控台),則部署 AWS CloudFormation StackSets 和自訂 IAM 角色可能無法正確清理。若要停用受信任的服務存取,請登入 Network Manager 主控台

為 Network Manager 啟用委派的管理員帳戶

當您將成員帳戶指定為組織的委派管理員時,該帳戶的使用者和角色可以對 Network Manager 執行管理動作,否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Network Manager 的管理分開。

如需如何將成員帳戶指定為組織中 Network Manager 的委派管理員,請參閱 Amazon VPC 使用者指南中的註冊委派管理員