Explorador de recursos da AWS e AWS Organizations

Explorador de recursos da AWS é um serviço de pesquisa e descoberta de recursos. Com o Explorador de Recursos, você pode descobrir seus recursos, como instâncias do Amazon Elastic Compute Cloud, o Amazon Kinesis Data Streams ou tabelas do Amazon DynamoDB, por meio de uma experiência semelhante ao uso de um mecanismo de busca na Internet. Você pode pesquisar seus recursos usando metadados de recursos, como nomes, tags e. IDs O Resource Explorer funciona em todas AWS as regiões da sua conta para simplificar suas cargas de trabalho entre regiões.

Ao integrar o Resource Explorer com AWS Organizations, você pode coletar evidências de uma fonte mais ampla incluindo várias Contas da AWS da sua organização no escopo de suas avaliações.

Use as informações a seguir para ajudá-lo a se integrar Explorador de recursos da AWS com AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Esse perfil permite que o Explorador de Recursos realize operações compatíveis nas contas da sua organização.

Você pode excluir ou modificar essa função apenas se desabilitar o acesso confiável entre o Explorador de Recursos e o Organizations, ou se remover a conta-membro da organização.

Para obter mais informações sobre como o Explorador de Recursos utiliza esse perfil, consulte Using service-linked roles no Guia do usuário do Explorador de recursos da AWS .

• AWSServiceRoleForResourceExplorer

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço utilizados pelo Explorador de Recursos concedem acesso às seguintes entidades principais de serviço:

• resource-explorer-2.amazonaws.com

Para habilitar o acesso confiável no Explorador de recursos da AWS

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

O Resource Explorer exige acesso confiável AWS Organizations antes que você possa designar uma conta de membro para ser o administrador delegado da sua organização.

Você pode habilitar o acesso confiável usando o console do Explorador de Recursos ou o console do Organizations. É altamente recomendável, sempre que possível, que você use o console ou as ferramentas do Explorador de Recursos para habilitar a integração com o Organizations. Isso permite Explorador de recursos da AWS realizar qualquer configuração necessária, como criar os recursos necessários ao serviço.

Para habilitar o acesso confiável usando o console do Explorador de Recursos

Para obter instruções sobre como habilitar o acesso confiável, consulte Prerequisites to using Resource Explorer no Guia do usuário do Explorador de recursos da AWS .

nota

Se você configurar um administrador delegado usando o Explorador de recursos da AWS console, habilitará Explorador de recursos da AWS automaticamente o acesso confiável para você.

Você pode habilitar o acesso confiável executando um AWS CLI comando do Organizations ou chamando uma API operação do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para habilitar o acesso a serviços confiáveis usando o OrganizationsCLI/SDK

Use os seguintes AWS CLI comandos ou API operações para habilitar o acesso confiável ao serviço:

• AWS CLI: enable-aws-service-access

  Execute o comando a seguir para habilitá-lo Explorador de recursos da AWS como um serviço confiável com Organizations.

  $ aws organizations enable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: E nableAWSService Access

Para desabilitar o acesso confiável com o Explorador de Recursos

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Somente um administrador na conta AWS Organizations de gerenciamento pode desativar o acesso confiável com Explorador de recursos da AWS.

Você pode desativar o acesso confiável usando as ferramentas Explorador de recursos da AWS ou as AWS Organizations ferramentas.

Importante

É altamente recomendável que, sempre que possível, você use o Explorador de recursos da AWS console ou as ferramentas para desativar a integração com o Organizations. Isso permite Explorador de recursos da AWS realizar qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessários para o serviço. Continue com estas etapas apenas se você não puder desabilitar a integração usando as ferramentas fornecidas pelo Explorador de recursos da AWS.

Se você desabilitar o acesso confiável usando o Explorador de recursos da AWS console ou as ferramentas, não precisará concluir essas etapas.

Você pode desativar o acesso confiável executando um AWS CLI comando do Organizations ou chamando uma API operação do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desativar o acesso a serviços confiáveis usando o OrganizationsCLI/SDK

Use os seguintes AWS CLI comandos ou API operações para desativar o acesso a serviços confiáveis:

• AWS CLI: disable-aws-service-access

  Execute o comando a seguir para desabilitar Explorador de recursos da AWS como um serviço confiável com Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: isableAWSServiceAcesso D

Como habilitar uma conta de administrador delegado para o Explorador de Recursos

Use sua conta de administrador delegado para criar visualizações de recursos de várias contas e direcioná-las para uma unidade organizacional ou para toda a organização. Você pode compartilhar visualizações de várias contas com qualquer conta da sua organização AWS Resource Access Manager criando compartilhamentos de recursos.

Permissões mínimas

Apenas um usuário ou perfil na conta de gerenciamento do Organizations com a seguinte permissão pode configurar uma conta-membro como administrador delegado para o Explorador de Recursos na organização:

resource-explorer:RegisterAccount

Para obter instruções sobre como habilitar uma conta de administrador delegado para o Explorador de Recursos, consulte Configuração no Guia do usuário do Explorador de recursos da AWS .

Se você configurar um administrador delegado usando o Explorador de recursos da AWS console, o Resource Explorer habilitará automaticamente o acesso confiável para você.

AWS CLI, AWS API

Se você quiser configurar uma conta de administrador delegado usando o AWS CLI ou um dos AWS SDKs, você pode usar os seguintes comandos:

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal resource-explorer-2.amazonaws.com

• AWS SDK: Ligue para a RegisterDelegatedAdministrator operação da Organizations e para o número de identificação da conta do membro e identifique o serviço da conta resource-explorer-2.amazonaws.com como parâmetros.

Como desabilitar um administrador delegado para o Explorador de Recursos

Somente um administrador na conta de gerenciamento do Organizations ou na conta de administrador delegado do Explorador de Recursos podem remover um administrador delegado para o Explorador de Recursos. Você pode desativar o acesso confiável usando a SDK operação Organizations DeregisterDelegatedAdministrator CLI ou.