Amazon VPC Reachability Analyzer 和 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任存取停用受信任存取啟用 Reachability Analyzer 的委派管理員帳戶停用 Reachability Analyzer 的委派管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC Reachability Analyzer 和 AWS Organizations

可 Reachability Analyzer 是一種組態分析工具,可讓您在虛擬私有雲端 () VPCs 中的來源資源與目標資源之間執行連線測試。

使用 AWS Organizations 透過可 Reachability Analyzer,您可以在組織中跨帳戶追蹤路徑。

如需詳細資訊,請參閱「可達性分析器」使用指南中的「可連線性分析器」中的「管理委派管理員帳戶」。

使用下列資訊來協助您整合 Reachability Analyzer 與 AWS Organizations.

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。該角色允許 Reachability Analyzer 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Reachability Analyzer 和 Organizations 之間的受信任存取,或者從組織中移除成員帳戶時,才能刪除或修改此角色。

  • AWSServiceRoleForReachabilityAnalyzer

如需詳細資訊,請參閱 Reachability Analyzer user guide (《Reachability Analyzer 使用者指南》) 中的 Cross-account analyses for Reachability Analyzer (Reachability Analyzer 的跨帳戶分析)。

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。Reachability Analyzer 使用的服務連結角色會將存取權授予下列服務主體:

  • reachabilityanalyzer.networkinsights.amazonaws.com

啟用 Reachability Analyzer 的受信任存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

當您指定 Reachability Analyzer 的委派管理員時,會自動啟用組織中 Reachability Analyzer 的受信任存取。

Reachability Analyzer 需要受信任的訪問權限 AWS Organizations 您可以將成員帳戶指定為組織此服務的委派管理員之前。

重要

  • 您可以使用 Reachability Analyzer 主控台或 Organizations 主控台來啟用受信任存取。不過,我們強烈建議您使用「連線 Reachability Analyzer」主控台或啟用與「EnableMultiAccountAnalysisForAwsOrganizationAPIOrganizations」的整合。這可讓 Reachability Analyzer 執行其需要的任何組態,例如建立服務所需的資源。

  • 授予受信任存取會在管理帳戶中和組織內所有成員帳戶中建立服務連結角色 AWSServiceRoleForReachabilityAnalyzer。Reachability Analyzer 使用服務連結角色來允許管理,委派管理員則可以在組織中的任何資源之間執行連線分析。Reachability Analyzer 可拍攝組織中帳戶的網路元素快照,以回答連線查詢。

  • 如需詳細資訊,以及有關透過 Reachability Analyzer 啟用受信任存取的指示,請參閱 Reachability Analyzer user guide (《Reachability Analyzer 使用者指南》)中的 Cross-account analyses for Reachability Analyzer (Reachability Analyzer 的跨帳戶分析)。

您可以使用啟用受信任的存取 AWS Organizations 控制台, 通過運行 AWS CLI 命令,或者通過調用其中一個API操作 AWS SDKs.

AWS Management Console
使用 Organizations 主控台來啟用受信任的服務存取

  1. 登入到 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色,或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。

  2. 在 [服務] 頁面上,尋找 [連線 VPCReachability Analyzer] 資料列,選擇服務的名稱,然後選擇 [啟用信任的存取]。

  3. 在確認對話方塊中,啟用顯示啟用受信任存取選項,在方塊中輸入 enable,然後選擇啟用受信任的存取

  4. 如果您是唯一的管理員 AWS Organizations,告訴可 Reachability Analyzer 的管理員,他們現在可以使用其控制台啟用該服務以使用 AWS Organizations.

AWS CLI, AWS API
使用 Organizations 啟用受信任的服務存取CLI/SDK

您可以使用以下內容 AWS CLI 啟用受信任服務存取的命令或API作業:

  • AWS CLI: enable-aws-service-access

    您可以執行下列命令來啟用 Reachability Analyzer,作為受信任服務搭配使用 Organizations。

    $ aws organizations enable-aws-service-access \ 
    --service-principal reachabilityanalyzer.networkinsights.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:電子nableAWSService訪問

停用 Reachability Analyzer 的受信任存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

您可以使用 Reachability Analyzer 主控台 (建議) 或 Organizations 主控台來停用受信任存取。若要使用 Reachability Analyzer 主控台停用受信任存取,請參閱 Reachability Analyzer user guide (《Reachability Analyzer 使用者指南》) 中的 Cross-account analyses for Reachability Analyzer (Reachability Analyzer 的跨帳戶分析)。

啟用 Reachability Analyzer 的委派管理員帳戶

委派管理員帳戶可以在組織中跨任何資源執行連線分析。如需詳細資訊,請參閱整合 Reachability Analyzer 與 AWS OrganizationsReachability Analyzer 用戶指南中。

只有組織管理帳戶中的管理員可以設定 Reachability Analyzer 的委派管理員。

您可以從「可連接 Reachability Analyzer」主控台或使用指定委派的系統管理員帳戶。RegisterDelegatedAdministrator API若要取得更多資訊,請參閱 RegisterDelegatedAdministratorOrgan izations 指令參考中的〈〉。

最低許可

只有 Organizations 管理帳戶中的使用者或角色,才能將成員帳戶設定為組織中 Reachability Analyze 的委派管理員

若要使用「可 Reachability Analyzer」主控台設定委派的系統管理員,請參閱整合可達性分析器與 AWS OrganizationsReachability Analyzer 用戶指南中。

停用 Reachability Analyzer 的委派管理員

只有組織管理帳戶中的管理員可以設定 Reachability Analyzer 的委派管理員。

您可以使用「連線 Reachability Analyzer」主控台或使用「Organizations DeregisterDelegatedAdministratorCLI」或API作業來移除委派的管理員。SDK

若要使用 Reachability Analyzer 主控台停用委派的管理員 Reachability Analyzer 帳戶,請參閱 Reachability Analyzer user guide (《Reachability Analyzer 使用者指南》)中的 Cross-account analyses for Reachability Analyzer (Reachability Analyzer 的跨帳戶分析)。