Analyseur d'accessibilité Amazon VPC et AWS Organizations

Reachability Analyzer est un outil d'analyse de configuration qui vous permet d'effectuer des tests de connectivité entre une ressource source et une ressource de destination dans vos clouds privés virtuels (VPC).

L'utilisation de AWS Organizations avec Reachability Analyzer vous permet de suivre les chemins entre les comptes de vos organisations.

Pour plus d'informations, voir Analyses entre comptes pour Reachability Analyzer dans le Guide de l'utilisateur de Reachability Analyzer.

Utilisez les informations suivantes pour vous aider à intégrer Reachability Analyzer à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Reachability Analyzer d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Reachability Analyzer et Organizations, ou si vous supprimez le compte membre de l'organisation.

• AWSServiceRoleForReachabilityAnalyzer

Pour plus d'informations, voir Analyses entre comptes pour Reachability Analyzer dans le Guide de l'utilisateur de Reachability Analyzer.

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Reachability Analyzer autorisent l'accès aux principaux de service suivants :

• reachabilityanalyzer.networkinsights.amazonaws.com

Pour activer l'accès approuvé pour Reachability Analyzer

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Lorsque vous désignez un administrateur délégué pour Reachability Analyzer, il active automatiquement l'accès approuvé pour Reachability Analyzer pour votre organisation.

Reachability Analyzer a besoin d'un accès approuvé à AWS Organizations pour vous autoriser à désigner un compte membre comme administrateur délégué de ce service pour votre organisation.

Important

• Vous pouvez activer l'accès approuvé à l'aide de la console Reachability Analyzer ou de la console Organizations. Nous vous recommandons vivement d'utiliser la console Reachability Analyzer ou l'API EnableMultiAccountAnalysisForAwsOrganization pour activer l'intégration à Organizations. Cela permet à Reachability Analyzer d'effectuer toute configuration nécessaire, par exemple la création des ressources nécessaires au service.

• L'octroi d'un accès approuvé a pour effet de créer le rôle lié à un service AWSServiceRoleForReachabilityAnalyzerdans le compte de gestion et dans tous les comptes membres de l'organisation. Reachability Analyzer utilise le rôle lié au service pour permettre à la direction et à l'administrateur délégué d'exécuter des analyses de connectivité entre toutes les ressources de l'organisation. Reachability Analyzer est capable de prendre des instantanés des éléments réseau des comptes d'une organisation afin de répondre aux demandes de connectivité.

• Pour obtenir plus d'informations et des conseils sur l'activation d'un accès approuvé par Reachability Analyzer, consultez Analyses entre comptes pour Reachability Analyzer dans le Guide de l'utilisateur de Reachability Analyzer.

Vous pouvez activer l'accès approuvé à l'aide de la console AWS Organizations, en exécutant une commande AWS CLI ou en appelant une opération d'API dans l'un des SDK AWS.

AWS Management Console

Pour activer l'accès approuvé à l'aide de la console Organizations

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sur la page Services, recherchez la ligne correspondant à Analyseur d'accessibilité VPC, choisissez le nom du service, puis choisissez Activer l'accès approuvé.

3. Dans la boîte de dialogue de confirmation, activez Show the option to enable trusted access (Afficher l'option pour activer l'accès approuvé), saisissez enable dans la zone, puis choisissez Enable trusted access (Activer l'accès approuvé).

4. Si vous êtes l'administrateur de AWS Organizations uniquement, indiquez à l'administrateur de Reachability Analyzer qu'il peut maintenant activer ce service à l'aide de sa console pour le faire fonctionner avec AWS Organizations.

AWS CLI, AWS API

Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les commandes de AWS CLI ou les opérations d'API suivantes pour activer l'accès aux services approuvés :

• AWS CLI : enable-aws-service-access

  Vous pouvez exécuter la commande suivante pour activer Reachability Analyzer en tant que service approuvé pour Organizations.

  $ aws organizations enable-aws-service-access \ 
      --service-principal reachabilityanalyzer.networkinsights.amazonaws.com

  Cette commande ne produit aucune sortie lorsqu'elle réussit.

• API AWS : EnableAWSServiceAccess

Pour désactiver l'accès approuvé pour Reachability Analyzer

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Vous pouvez désactiver l'accès approuvé à l'aide de la console Reachability Analyzer (recommandé) ou de la console Organizations. Pour désactiver l'accès approuvé à l'aide de la console Reachability Analyzer, consultez la section Analyses entre comptes pour Reachability Analyzer dans le Guide de l'utilisateur de Reachability Analyzer.

Activation d'un compte administrateur délégué pour Reachability Analyzer

Le compte administrateur délégué permet d'exécuter des analyses de connectivité sur toutes les ressources de l'organisation. Pour plus d'informations, voir Intégrer Reachability Analyzer à AWS Organizations dans le Guide de l'utilisateur de Reachability Analyzer.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Reachability Analyzer.

Vous pouvez spécifier un compte d'administrateur délégué à partir de la console Reachability Analyzer ou à l'aide de l'API RegisterDelegatedAdministrator. Pour plus d'informations, consultez RegisterDelegatedAdministrator dans la Référence des commandes Organizations.

Autorisations minimales

Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué de Reachability Analyzer dans l'organisation.

Pour configurer un administrateur délégué à l'aide de la console Reachability Analyzer, consultez Intégrer Reachability Analyzer à AWS Organizations dans le Guide de l'utilisateur de Reachability Analyzer.

Désactiver un administrateur délégué pour Reachability Analyzer

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Reachability Analyzer.

Vous pouvez supprimer l'administrateur délégué en utilisant soit l'API ou la console Reachability Analyzer, soit la CLI DeregisterDelegatedAdministrator Organizations ou l'opération SDK.

Pour désactiver le compte Reachability Analyzer de l'administrateur délégué à l'aide de la console Reachability Analyzer, consultez la section Analyses entre comptes pour Reachability Analyzer dans le Guide de l'utilisateur de Reachability Analyzer.