本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 資源總管 是一項資源搜尋和探索服務。憑藉 Resource Explorer,您可以在類似網際網路搜尋引擎的體驗中探索您的資源,例如 Amazon Elastic Compute Cloud 執行個體、Amazon Kinesis Data Streams 或 Amazon DynamoDB 資料表。您可以使用名稱、標籤和 等資源中繼資料來搜尋資源IDs。Resource Explorer 可在您帳戶中的跨 AWS 區域運作,以簡化跨區域工作負載。
當您將 Resource Explorer 與 整合時 AWS Organizations,您可以在評估範圍內包含 AWS 帳戶 來自組織的多個 ,以從更廣泛的來源收集證據。
使用下列資訊協助您 AWS 資源總管 與 整合 AWS Organizations。
當您啟用整合時,即會建立服務連結角色。
當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。該角色允許 Resource Explorer 在您組織的組織帳戶中執行支援的操作。
只有在您停用 Resource Explorer 和 Organizations 之間的受信任存取,或者從組織中刪除成員帳戶時,才能移除或修改此角色。
如需有關 Resource Explorer 如何使用此角色的詳細資訊,請參閱《AWS 資源總管 使用者指南》中的使用服務連結角色。
-
AWSServiceRoleForResourceExplorer
服務連結角色所使用的服務委託人
上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。Resource Explorer 使用的服務連結角色會將存取權授予下列服務主體:
-
resource-explorer-2.amazonaws.com
若要啟用 AWS 資源總管的受信任存取
如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可。
Resource Explorer 需要信任的 存取權 AWS Organizations ,才能將成員帳戶指定為組織的委派管理員。
您可以使用 Resource Explorer 主控台或 Organizations 主控台來啟用受信任存取。我們強烈建議您盡可能使用 Resource Explorer 主控台或工具來啟用與 Organizations 整合。這可讓 AWS 資源總管 執行其所需的任何組態,例如建立服務所需的資源。
若要使用 Resource Explorer 主控台來啟用受信任存取
如需有關啟用受信任存取的說明,請參閱《AWS 資源總管 使用者指南》中的使用 Resource Explorer 的先決條件。
注意
如果您使用 AWS 資源總管 主控台設定委派管理員, AWS 資源總管 會自動為您啟用信任的存取。
您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 中的 Organizations API操作,以啟用受信任的存取 AWS SDKs。
使用 Organizations CLI/ 啟用信任的服務存取SDK
使用以下 AWS CLI 命令或API操作來啟用信任的服務存取:
-
AWS CLI: enable-aws-service-access
執行下列命令,以使用 Organizations 將 啟用 AWS 資源總管 為信任的服務。
$aws organizations enable-aws-service-access \ --service-principal resource-explorer-2.amazonaws.com此命令成功後就不會產生輸出。
-
AWS API:E nableAWSServiceAccess
若要停用 Resource Explorer 的受信任存取
如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可。
只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS 資源總管。
您可以使用 AWS 資源總管 或 AWS Organizations 工具來停用受信任的存取。
重要
我們強烈建議您盡可能使用 AWS 資源總管 主控台或工具來停用與 Organizations 的整合。這可讓 AWS 資源總管 執行其所需的任何清除,例如刪除資源或服務不再需要的存取角色。只有在您無法使用 AWS 資源總管提供的工具停用整合成時,才能繼續執行這些步驟。
如果您使用 AWS 資源總管 主控台或工具停用受信任存取,則不需要完成這些步驟。
您可以執行 Organizations AWS CLI 命令,或在其中一個 中呼叫 Organizations API操作,以停用受信任的存取 AWS SDKs。
使用 Organizations CLI/ 停用信任的服務存取SDK
使用以下 AWS CLI 命令或API操作來停用信任的服務存取:
-
AWS CLI: disable-aws-service-access
執行下列命令,以使用 Organizations 將 停用 AWS 資源總管 為信任的服務。
$aws organizations disable-aws-service-access \ --service-principal resource-explorer-2.amazonaws.com此命令成功後就不會產生輸出。
-
AWS API:D isableAWSService存取
啟用 Resource Explorer 的委派管理員帳戶
使用您的委派管理員帳戶建立多帳戶資源檢視畫面,然後將範圍調整為組織單位或您的整個組織。您可以透過 AWS Resource Access Manager 建立資源共用,與組織中的任何帳戶共用多帳戶檢視。
最低許可
只有具有下列許可之 Organizations 管理帳戶中的使用者或角色,才能將成員帳戶設定為組織中 Resource Explorer 的委派管理員:
resource-explorer:RegisterAccount
如需有關啟用 Resource Explorer 委派管理員帳戶的說明,請參閱《AWS 資源總管 使用者指南》中的設定。
如果您使用 AWS 資源總管 主控台設定委派管理員,Resource Explorer 會自動為您啟用信任的存取。
如果您想要使用 CLI或其中一個 AWS 設定委派管理員帳戶 AWS SDKs,您可以使用下列命令:
-
AWS CLI:
$aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal resource-explorer-2.amazonaws.com -
AWS SDK:呼叫 Organizations
RegisterDelegatedAdministrator操作和成員帳戶的 ID 號碼,並將帳戶服務識別resource-explorer-2.amazonaws.com為參數。
停用 Resource Explorer 的委派管理員
只有 Organizations 管理帳戶或 Resource Explorer 委派管理員帳戶中的管理員可以移除 Resource Explorer 的委派管理員。您可以使用 Organizations DeregisterDelegatedAdministratorCLI或 SDK操作來停用受信任的存取。
