

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Transform MGN (MGN) 和 Amazon Organizations
<a name="services-that-can-integrate-application-migration"></a>

Amazon Transform MGN 简化、加快将应用程序迁移到并降低其成本。 Amazon通过 Organizations 集成，您可以使用全局视图功能来管理跨多个账户的大规模迁移。有关更多信息，请参阅《MGN 用户指南》中的 [设置 Amazon Organizations](https://docs.amazonaws.cn/mgn/latest/ug/setting-up-organizations.html)**。

使用以下信息来帮助您集 Amazon Transform MGN 成 Amazon Organizations。



## Service-linked 启用集成时创建的角色
<a name="integrate-enable-slr-application-migration"></a>

以下[服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 MGN 在您组织中的组织账户内执行支持的操作。

仅在禁用 MGN 和 Organizations 之间的可信访问，或者从组织中移除成员账户时，您才能删除或修改此角色。
+ `AWSServiceRoleForApplicationMigrationService `

## MGN 使用的服务主体
<a name="integrate-enable-svcprin-application-migration"></a>

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。MGN 使用的服务相关角色将为以下服务主体授予访问权限：
+ `mgn.amazonaws.com`

## 启用与 MGN 的可信访问
<a name="integrate-enable-ta-application-migration"></a>

启用与 MGN 的可信访问后，您可以使用全局视图功能，从而管理跨多个账户的大规模迁移。全局视图提供了可见性，并能够在不同 Amazon 账户中的源服务器、应用程序和波浪上执行特定操作。有关更多信息，请参阅*Amazon Transform MGN 用户指南中的[设置 Amazon Organ](https://docs.amazonaws.cn/mgn/latest/ug/setting-up-organizations.html) izations*。

有关启用信任访问权限所需权限的信息，请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 Amazon Transform MGN 控制台或控制台启用可信访问。 Amazon Organizations 

**重要**  
我们强烈建议您尽可能使用 Amazon Transform MGN 控制台或工具来启用与 Organizations 的集成。这允许 Amazon Transform MGN 执行它需要的任何配置，例如创建服务所需的资源。请仅在您无法使用 Amazon Transform MGN提供的工具启用集成时执行这些操作步骤。有关更多信息，请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 Amazon Transform MGN 控制台或工具启用可信访问，则无需完成这些步骤。

您可以使用 Amazon Organizations 控制台、运行 Amazon CLI 命令或在其中一个 Amazon SDK 中调用 API 操作来启用可信访问。

------
#### [ Amazon Web Services 管理控制台 ]

**要使用 Organizations 控制台启用信任服务访问权限，请执行以下操作：**

1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在导航窗格中，选择**服务**。

1. 在服务列表中选择 **Amazon Transform MGN**。

1. 选择 **Enable trusted access (启用可信访问)**。

1. 在**启用 Amazon Transform MGN的可信访问权限**对话框中，键入**启用**进行确认，然后选择**启用可信访问权限**。

1. 如果您仅是的管理员 Amazon Organizations，请告知管理员他们现在可以 Amazon Organizations 从服务控制台启用该服务。 Amazon Transform MGN 

------
#### [ Amazon CLI, Amazon API ]

**要启用可信服务访问，请使用 OrganizationsCLI/SDK**  
使用以下 Amazon CLI 命令或 API 操作启用可信服务访问：
+ Amazon CLI：[enable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/enable-aws-service-access.html)

  运行以下命令以在 Organi Amazon Transform MGN zations 中启用可信服务。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal mgn.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API: [EnableAWSServiceAccess](https://docs.amazonaws.cn/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 禁用与 MGN 的可信访问
<a name="integrate-disable-ta-application-migration"></a>

只有 Organizations 管理账户中的管理员可以禁用与 MGN 的可信访问。

您可以使用 Amazon Transform MGN 或 Amazon Organizations 工具禁用可信访问。

**重要**  
我们强烈建议您尽可能使用 Amazon Transform MGN 控制台或工具来禁用与 Organizations 的集成。这允许 Amazon Transform MGN 执行它需要的任何清理，例如删除服务不再需要的资源或访问角色。仅当您无法使用 Amazon Transform MGN提供的工具禁用集成时，才会使用这些步骤进行处理。  
如果您使用 Amazon Transform MGN 控制台或工具禁用可信访问，则无需完成这些步骤。

您可以使用 Amazon Organizations 控制台、运行 Organizations Amazon CLI 命令或在其中一个 Amazon 软件开发工具包中调用 Organizations API 操作来禁用可信访问。

------
#### [ Amazon Web Services 管理控制台 ]

**使用 Organizations 控制台禁用信任服务访问权限**

1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在导航窗格中，选择**服务**。

1. 在服务列表中选择 **Amazon Transform MGN**。

1. 选择 **Disable trusted access（禁用信任访问权限）**。

1. 在**禁用 Amazon Transform MGN的可信访问权限**对话框中，键入**禁用**进行确认，然后选择**禁用可信访问权限**。

1. 如果您仅是的管理员 Amazon Organizations，请告知管理员他们现在可以使用服务控制台或工具禁止 Amazon Organizations 使用该服务。 Amazon Transform MGN 

------
#### [ Amazon CLI, Amazon API ]

**使用 Organizations 禁用可信服务访问权限 CLI/SDK**  
您可以使用以下 Amazon CLI 命令或 API 操作来禁用可信服务访问权限：
+ Amazon CLI：[disable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/disable-aws-service-access.html)

  运行以下命令在 Organiz Amazon Transform MGN ations 中禁用可信服务。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal mgn.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API: [DisableAWSServiceAccess](https://docs.amazonaws.cn/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 为 MGN 启用委托管理员账户
<a name="integrate-enable-da-application-migration"></a>

将成员账户指定为组织的委托管理员后，该账户中的用户和角色将能够执行本来只能由组织管理账户中的用户或角色执行的 MGN 管理操作。这有利于将组织的管理与 MGN 的管理分开。有关更多信息，请参阅《MGN 用户指南》中的 [设置 Amazon Organizations](https://docs.amazonaws.cn/mgn/latest/ug/setting-up-organizations.html)**。

**最小权限**  
只有 Organizations 管理账户中的用户或角色才能将某个成员账户配置为组织的 MGN 委托管理员。

------
#### [ Amazon CLI, Amazon API ]

如果要使用 Amazon CLI 或其中一个 Amazon SDK 配置委派管理员帐户，则可以使用以下命令：
+ Amazon CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal mgn.amazonaws.com
  ```
+ Amazon SDK：调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号，并将账户服务标识`mgn.amazonaws.com`为参数。

------

## 为 MGN 禁用委托管理员
<a name="integrate-disable-da-application-migration"></a>

 只有 Organizations 管理账户中的管理员才能移除 MGN 的委托管理员。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委托管理员。