Amazon 网络管理员和 Amazon Organizations - Amazon Organizations
服务相关角色服务委托人启用信任访问权限禁用信任访问权限启用委托管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 网络管理员和 Amazon Organizations

Network Manager 使您能够跨 Amazon 账户、区域和本地位置集中管理您的 Amazon Cloud WAN 核心网络和 T Amazon ransit Gateway 网络。借助多账户支持,您可以为任何账户 Amazon 创建单个全球网络,并使用 Network Manager 控制台将多个账户的传输网关注册到全球网络。

在 Network Manager 和 Organizations 之间启用可信访问权限后,注册的委托管理员和管理账户可以利用成员账户中部署的服务相关角色,从而描述附加到该全球网络的资源。在 Network Manager 控制台中,注册的委托管理员和管理账户可以代入成员账户中部署的以下自定义 IAM 角色:CloudWatch-CrossAccountSharingRole(用于多账户监控和事件通知)和 IAMRoleForAWSNetworkManagerCrossAccountResourceAccess(用于查看和管理多账户资源的控制台切换角色访问权限)

重要

  • 我们强烈建议使用 Network Manager 控制台来管理多账户设置(启用/禁用可信访问权限以及注册/取消注册委托管理员)。从控制台管理这些设置时,系统会自动将所有必需的服务相关角色和自定义 IAM 角色部署到多账户访问所需的成员账户,并进行相应的管理。

  • 当您在网络管理器控制台中为网络管理器启用可信访问时,控制台还会启用 Amazon CloudFormation StackSets 服务。Network Manager 用于 StackSets 部署多账户管理所需的自定义 IAM 角色。

有关将 Network Manager 与 Organizations 集成的更多信息,请参阅《Amazon VPC 用户指南》中的在 Network Manager 中使用 Amazon Organizations管理多个账户

使用以下信息来帮助您将 Amazon 网络管理器与集成 Amazon Organizations。

启用集成时,创建了一个服务相关角色

启用可信访问权限时,系统将自动在所列组织账户中创建以下服务相关角色。借助这些角色,Network Manager 将能够在组织中的账户内执行支持的操作。如果禁用可信访问权限,Network Manager 将不会从组织中的账户内删除这些角色。您可以使用 IAM 控制台将其手动删除。

管理账户

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

成员账户

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

将某个成员账户注册为委托管理员时,系统将在该委托管理员账户中自动创建以下附加角色:

  • AWSServiceRoleForCloudWatchCrossAccount

服务相关角色使用的服务委托人

服务相关角色只能由为该角色定义的信任关系授权的服务主体代入。

  • 对于 AWSServiceRoleForNetworkManager service-linked 角色,唯一拥有访问权限的服务主体是 networkmanager.amazonaws.com

  • 对于 AWSServiceRoleForCloudFormationStackSetsOrgMember 服务相关角色,唯一拥有访问权限的服务主体是 member.org.stacksets.cloudformation.amazonaws.com

  • 对于 AWSServiceRoleForCloudFormationStackSetsOrgAdmin 服务相关角色,唯一拥有访问权限的服务主体是 stacksets.cloudformation.amazonaws.com

  • 对于 AWSServiceRoleForCloudWatchCrossAccount 服务相关角色,唯一拥有访问权限的服务主体是 cloudwatch-crossaccount.amazonaws.com

如果删除这些角色,则将影响 Network Manager 的多账户功能。

使用 Network Manager 启用可信访问权限

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

只有 Organizations 管理账户中的管理员才有权启用对其他 Amazon 服务的可信访问。务必要使用 Network Manager 控制台启用可信访问权限,以免出现权限问题。有关更多信息,请参阅《Amazon VPC 用户指南》中的在 Network Manager 中使用 Amazon Organizations管理多个账户

使用 Network Manager 禁用可信访问权限

有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限

只有 Organizations 管理账户中的管理员才有权禁用其他 Amazon 服务的可信访问权限。

重要

我们强烈建议您使用 Network Manager 控制台禁用可信访问权限。如果您以任何其他方式(例如使用 Amazon CLI API 或 Amazon CloudFormation 控制台)禁用可信访问,则可能无法正确清理已部署 Amazon CloudFormation StackSets 和自定义 IAM 角色。要禁用可信服务访问权限,请登录 Network Manager 控制台

为 Network Manager 启用委托管理员账户

将成员账户指定为组织的委托管理员后,该账户中的用户和角色将能够对 Network Manager 执行本来只能由组织管理账户中的用户或角色执行的管理操作。这有利于将组织的管理与 Network Manager 的管理分开。

有关如何将成员账户指定为组织中的 Network Manager 委托管理员的说明,请参阅《Amazon VPC 用户指南》中的注册委托管理员