AWS Network Manager e AWS Organizations - AWS Organizations

AWS Network Manager e AWS Organizations

O Network Manager permite que você gerencie de forma centralizada a sua principal rede do WAN da Nuvem AWS e a sua rede do AWS Transit Gateway entre contas, regiões e locais on-premises da AWS. Com o suporte a várias contas, você pode criar uma única rede global para qualquer uma de suas contas da AWS; além de registrar gateways de trânsito de várias contas para a rede global usando o console do Network Manager.

Com o acesso confiável habilitado entre o Network Manager e o Organizations, os administradores delegados registrados e as contas de gerenciamento podem utilizar a função vinculada ao serviço implantada nas contas membros para descrever os recursos anexados às suas redes globais. No console do Network Manager, os administradores delegados registrados e as contas de gerenciamento podem assumir os perfis do IAM personalizados implantados nas contas de membro: CloudWatch-CrossAccountSharingRole para monitoramento e eventos em várias contas, e IAMRoleForAWSNetworkManagerCrossAccountResourceAccess para o acesso à função de switch do console para visualizar e gerenciar recursos de várias contas)

Importante
  • É altamente recomendável usar o console do Network Manager para gerenciar configurações de várias contas (habilitar/desabilitar o acesso confiável e registrar/cancelar o registro de administradores delegados). O gerenciamento dessas configurações no console implanta e gerencia automaticamente todas as funções vinculadas ao serviço necessárias e perfis do IAM personalizados para as contas de membros necessárias para o acesso a várias contas.

  • Quando você habilita o acesso confiável ao Network Manager no console do Network Manager, ele também habilita o serviço do AWS CloudFormation StackSets. O Network Manager usa o StackSets para implantar perfis do IAM personalizados necessários para o gerenciamento de várias contas.

Para obter mais informações sobre como integrar o Network Manager ao Organizations, consulte Manage multiple accounts in Network Manager with AWS Organizations (Gerenciar várias contas no Network Manager com o AWS Organizations) no Guia do usuário da Amazon VPC.

Use as informações a seguir para facilitar a integração do AWS Network Manager com o AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

Ao habilitar o acesso confiável, as seguintes funções vinculadas a serviços serão automaticamente criadas nas contas listadas da organização. Tais funções permitem que o Network Manager realize as operações compatíveis nas contas da sua organização. Se você desabilitar o acesso confiável, o Network Manager não excluirá tais perfis de contas na sua organização. Você pode excluí-los manualmente usando o console do IAM.

Conta de gerenciamento

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

Contas-membro

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

Quando você registra uma conta de membro como um administrador delegado, a função adicional a seguir será criada automaticamente na conta de administrador delegado:

  • AWSServiceRoleForCloudWatchCrossAccount

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

As funções vinculadas a serviços só podem ser assumidas pelas entidades principais de serviço autorizadas pelas relações de confiança definidas para a função.

  • Para a função AWSServiceRoleForNetworkManager service-linked, networkmanager.amazon.aws.com é a única entidade principal de serviço com acesso.

  • Para a função vinculada ao serviço AWSServiceRoleForCloudFormationStackSetsOrgMember, member.org.stacksets.cloudformation.amazonaws.com é a única entidade principal de serviço com acesso.

  • Para a função vinculada ao serviço AWSServiceRoleForCloudFormationStackSetsOrgAdmin, stacksets.cloudformation.amazonaws.com é a única entidade principal de serviço com acesso.

  • Para a função vinculada ao serviço AWSServiceRoleForCloudWatchCrossAccount, cloudwatch-crossaccount.amazonaws.com é a única entidade principal de serviço com acesso.

A exclusão dessas funções prejudicará a funcionalidade de várias contas para o Network Manager.

Como habilitar o acesso confiável com o Network Manager

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Somente um administrador da conta de gerenciamento da organização tem permissões para habilitar o acesso confiável com outro serviço da AWS. Certifique-se de usar o console do Network Manager para habilitar o acesso confiável a fim de evitar problemas de permissões. Para obter mais informações, consulte Manage multiple accounts in Network Manager with AWS Organizations (Gerenciar várias contas no Network Manager com o AWS Organizations) no Guia do usuário da Amazon VPC.

Como desabilitar o acesso confiável no Network Manager

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Apenas um administrador em uma conta de gerenciamento da organização tem permissões para desabilitar o acesso confiável com outro serviço da AWS.

Importante

Recomendamos que você use o console do Network Manager para desabilitar o acesso confiável. Se você desabilitar o acesso confiável de qualquer outra maneira como, por exemplo, usando a AWS CLI, com uma API ou com o console do AWS CloudFormation, pode ser que o AWS CloudFormation StackSets implantado e os perfis do IAM personalizados não sejam adequadamente limpos. Para desabilitar o acesso confiável, faça login no console do Network Manager.

Como habilitar uma conta de administrador delegado para o Network Manager

Quando você designa uma conta de membro como um administrador delegado para a organização, os usuários e as funções dessa conta podem executar ações administrativas para o Network Manager que, de outra forma, só poderiam ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Network Manager.

Para obter instruções sobre como designar uma conta de membro como administrador delegado do Network Manager na organização, consulte Registro de um administrador delegado no Guia do usuário da Amazon VPC.