Amazon Managed Services (AMS) 自助报告 (SSR) 和 Amazon Organizations - Amazon Organizations
服务相关角色服务委托人启用信任访问权限禁用信任访问权限启用委托管理员账户禁用 AMS 的委派管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Managed Services (AMS) 自助报告 (SSR) 和 Amazon Organizations

Amazon Managed Services (AMS) 自助报告 (SSR) 从各种本地 Amazon 服务收集数据,并提供对主要 AMS 产品报告的访问权限。SSR 提供的信息可用于支持运营、配置管理、资产管理、安全管理和合规性。

与集成后 Amazon Organizations,您可以启用聚合自助服务报告 (SSR)。这是一项 AMS 功能,它允许 Advanced 和 Accelerate 客户查看在组织层面、跨账户汇总的现有自助服务报告。这使您可以了解关键运营指标,例如补丁合规性、备份覆盖范围以及其中的所有 AMS 管理的账户的事件。 Amazon Organizations

使用以下信息来帮助您集成 Amazon Managed Services (AMS) 自助报告 (SSR)。 Amazon Organizations

启用集成时,创建了一个服务相关角色

以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 AMS 在组织中的账户中执行支持的操作。

只有在禁用 AMS 和 Organizations 之间的可信访问权限或从组织中删除成员账户时,才能删除或修改此角色。

  • AWSServiceRoleForManagedServices_SelfServiceReporting

服务相关角色使用的服务委托人

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。AMS 使用的服务相关角色向以下服务主体授予访问权限:

  • selfservicereporting.managedservices.amazonaws.com

通过 AMS 启用可信访问

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 Amazon SDKs。

Amazon CLI, Amazon API
使用 Organizations CLI/SDK 启用信任服务访问权限

使用以下 Amazon CLI 命令或 API 操作启用可信服务访问权限:

  • Amazon CLI: enable-aws-service-access

    运行以下命令将 Amazon Managed Services (AMS) 自助报告 (SSR) 作为可信服务启用 Organizations。

    $ aws organizations enable-aws-service-access \
    --service-principal selfservicereporting.managedservices.amazonaws.com

    如果成功,此命令不会产生任何输出。

  • Amazon API:启用AWSService访问权限

使用 AMS 禁用可信访问

有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限

您只能使用 Organizations 工具禁用可信访问。

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 Amazon SDKs。

Amazon CLI, Amazon API
使用 Organizations CLI/SDK 禁用信任服务访问权限

使用以下 Amazon CLI 命令或 API 操作禁用可信服务访问权限:

  • Amazon CLI: disable-aws-service-access

    运行以下命令将 Amazon Managed Services (AMS) 自助报告 (SSR) 禁用 Organizations 的可信服务。

    $ aws organizations disable-aws-service-access \
    --service-principal selfservicereporting.managedservices.amazonaws.com

    如果成功,此命令不会产生任何输出。

  • Amazon API:禁用AWSService访问权限

为 AMS 启用委托管理员账户

委派的管理员账户可以在 AMS 控制台的单个聚合视图中查看所有账户的 AMS 报告(例如补丁和备份)。

您可以使用 AMS 控制台或 API,也可以使用 Organizations RegisterDelegatedAdministrator CLI 或 SDK 操作来添加委派管理员。

禁用 AMS 的委派管理员

只有组织管理账户中的管理员才能为 AMS 配置委派管理员。

您可以使用 AMS 控制台或 API,也可以使用 Organizations DeregisterDelegatedAdministrator CLI 或 SDK 操作来移除委派的管理员。