Amazon DevOps Guru et AWS Organizations

Amazon DevOps Guru analyse les données opérationnelles ainsi que les indicateurs et événements liés aux applications afin d'identifier les comportements qui s'écartent des modèles de fonctionnement normaux. Les utilisateurs sont avertis lorsque DevOps Guru détecte un problème ou un risque opérationnel.

L'utilisation de DevOps Guru permet une assistance multi-comptes AWS Organizations, ce qui vous permet de désigner un compte membre pour gérer les informations sur l'ensemble de votre organisation. Cet administrateur délégué peut ensuite afficher, trier et filtrer les informations de tous les comptes de votre organisation afin de développer une vue globale de l'état de toutes les applications contrôlées dans votre organisation sans avoir besoin d’une personnalisation supplémentaire.

Pour plus d'informations, consultez la section Surveiller les comptes au sein de votre organisation dans le guide de l'utilisateur Amazon DevOps Guru.

Utilisez les informations suivantes pour vous aider à intégrer Amazon DevOps Guru à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à DevOps Guru d'effectuer des opérations prises en charge sur les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre DevOps Guru et Organizations, ou si vous supprimez le compte membre de l'organisation.

• AWSServiceRoleForDevOpsGuru

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par DevOps Guru donnent accès aux principaux de service suivants :

• devops-guru.amazonaws.com

Pour plus d'informations, consultez la section Utilisation de rôles liés à un service pour DevOps Guru dans le guide de l'utilisateur Amazon DevOps Guru.

Pour permettre un accès sécurisé avec DevOps Guru

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Note

Lorsque vous désignez un administrateur délégué pour Amazon DevOps Guru, DevOps Guru autorise automatiquement un accès sécurisé à DevOps Guru pour votre organisation.

DevOpsGuru a besoin d' AWS Organizations un accès sécurisé pour que vous puissiez désigner un compte membre comme administrateur délégué de ce service pour votre organisation.

Important

Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils Amazon DevOps Guru pour permettre l'intégration avec Organizations. Cela permet à Amazon DevOps Guru d'effectuer toutes les configurations nécessaires, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Amazon DevOps Guru. Pour plus d'informations, consultez cette note.

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Organizations console ou de la console DevOps Guru.

AWS Management Console

Pour activer l'accès approuvé aux services à l'aide de la console Organizations

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sur la page Services, recherchez la ligne correspondant à Amazon DevOps Guru, choisissez le nom du service, puis sélectionnez Activer l'accès sécurisé.

3. Dans la boîte de dialogue de confirmation, activez Show the option to enable trusted access (Afficher l'option pour activer l'accès approuvé), saisissez enable dans la zone, puis choisissez Enable trusted access (Activer l'accès approuvé).

4. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon DevOps Guru qu'il peut désormais activer ce service à l'aide de sa console AWS Organizations.

DevOps Guru console

Pour activer un accès fiable aux services à l'aide de la console DevOps Guru

1. Connectez-vous en tant qu'administrateur sur le compte de gestion et ouvrez la console DevOps Guru : console Amazon DevOps Guru

2. Choisissez Enable trusted access (Activer l'accès approuvé).

Pour désactiver l'accès sécurisé avec DevOps Guru

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé à Amazon DevOps Guru.

Vous pouvez désactiver l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez désactiver l'accès sécurisé à l'aide de la AWS Organizations console.

AWS Management Console

Pour désactiver l'accès approuvé à l'aide de la console Organizations

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans le panneau de navigation, choisissez Services.

3. Choisissez Amazon DevOps Guru dans la liste des services.

4. Choisissez Disable trusted access (Désactiver l'accès approuvé).

5. Dans la boîte de dialogue Désactiver l'accès sécurisé pour Amazon DevOps Guru, tapez désactiver pour le confirmer, puis choisissez Désactiver l'accès sécurisé.

6. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon DevOps Guru qu'il peut désormais désactiver ce service à l'aide de sa console ou de ses outils AWS Organizations.

Activation d'un compte d'administrateur délégué pour DevOps Guru

Le compte administrateur délégué de DevOps Guru peut consulter les données d'information de tous les comptes membres intégrés à DevOps Guru par l'organisation. Pour plus d'informations sur la façon dont un administrateur délégué gère les comptes de l'organisation, consultez la section Surveiller les comptes au sein de votre organisation dans le guide de l'utilisateur Amazon DevOps Guru.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour DevOps Guru.

Vous pouvez spécifier un compte d'administrateur délégué depuis la console DevOps Guru, ou en utilisant la RegisterDelegatedAdministrator CLI ou le SDK Organizations.

Autorisations minimales

Seul un utilisateur ou un rôle dans le compte de gestion de l'organisation peut configurer un compte membre en tant qu'administrateur délégué de DevOps Guru au sein de l'organisation.

DevOps Guru console

Pour configurer un administrateur délégué dans la console DevOps Guru

1. Connectez-vous en tant qu'administrateur sur le compte de gestion et ouvrez la console DevOps Guru : console Amazon DevOps Guru

2. Choisissez Register delegated administrator (Enregistrer l'administrateur délégué). Vous pouvez choisir un compte de gestion ou n’importe compte membre comme administrateur délégué.

AWS CLI, AWS API

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'un AWS des SDK, vous pouvez utiliser les commandes suivantes :

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal devops-guru.amazonaws.com

• AWS SDK : appelez le RegisterDelegatedAdministrator service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte account.amazonaws.com sous forme de paramètres.

Désactiver un administrateur délégué pour Guru DevOps

Vous pouvez supprimer l'administrateur délégué à l'aide de la console DevOps Guru, de la DeregisterDelegatedAdministrator CLI ou du SDK Organizations. Pour savoir comment supprimer un administrateur délégué à l'aide de la console DevOps Guru, consultez la section Surveiller les comptes au sein de votre organisation dans le guide de l'utilisateur Amazon DevOps Guru.