AWS 資源總管 與 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任存取停用受信任存取啟用 Resource Explorer 的委派管理員帳戶停用 Resource Explorer 的委派管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 資源總管 與 AWS Organizations

AWS 資源總管 是一項資訊搜尋和探索服務。憑藉 Resource Explorer,您可以在類似網際網路搜尋引擎的體驗中探索您的資源,例如 Amazon Elastic Compute Cloud 執行個體、Amazon Kinesis Data Streams 或 Amazon DynamoDB 資料表。您可以使用名稱、標籤和 ID 等資源中繼資料來搜尋資源。Resource Explorer 在帳戶的 AWS 區域之間運作,可簡化您的跨區域工作負載。

當您將 Resource Explorer 與 AWS Organizations 整合時,可以透過在您的評定範圍內包含您組織的多個 AWS 帳戶,從更廣泛的來源收集證據。

使用以下資訊可協助整合 AWS 資源總管 與 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。該角色允許 Resource Explorer 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Resource Explorer 和 Organizations 之間的受信任存取,或者從組織中刪除成員帳戶時,才能移除或修改此角色。

如需有關 Resource Explorer 如何使用此角色的詳細資訊,請參閱《AWS 資源總管 使用者指南》中的使用服務連結角色

  • AWSServiceRoleForResourceExplorer

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。Resource Explorer 使用的服務連結角色會將存取權授予下列服務主體:

  • resource-explorer-2.amazonaws.com

若要啟用 AWS 資源總管 的受信任存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

Resource Explorer 需要對 AWS Organizations 的受信任存取,才能將成員帳戶指定為組織的委派管理員。

您可以使用 Resource Explorer 主控台或 Organizations 主控台來啟用受信任存取。我們強烈建議您盡可能使用 Resource Explorer 主控台或工具來啟用與 Organizations 整合。這可讓 AWS 資源總管 執行其需要的任何組態,例如建立服務所需的資源。

若要使用 Resource Explorer 主控台來啟用受信任存取

如需有關啟用受信任存取的說明,請參閱《AWS 資源總管 使用者指南》中的使用 Resource Explorer 的先決條件

注意

如果您使用 AWS 資源總管 主控台設定委派管理員,則 AWS 資源總管 會自動為您啟用受信任的存取。

您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 AWS 開發套件中的 Organizations API 操作,來啟用受信任的存取

AWS CLI, AWS API
使用 Organizations CLI/SDK 來啟用受信任服務存取

您可以使用以下 AWS CLI 命令或 API 操作,以啟用受信任的服務存取:

  • AWS CLI: enable-aws-service-access

    您可以執行下列命令來啟用 AWS 資源總管 作為 Organizations 受信任的服務。

    $ aws organizations enable-aws-service-access \
    --service-principal resource-explorer-2.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API: EnableAWSServiceAccess

若要停用 Resource Explorer 的受信任存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

只有 AWS Organizations 管理帳戶中的管理員才能使用 AWS 資源總管 停用受信任的存取。

您可以使用 AWS 資源總管 或 AWS Organizations 工具停用受信任存取。

重要

強烈建議您盡可能使用 AWS 資源總管 主控台或工具來停用與 Organizations 整合。這可讓 AWS 資源總管 執行其所需的任何清除,例如刪除服務不再需要的資源或存取角色。只有在您無法使用 AWS 資源總管 提供的工具停用整合成時,才能繼續執行這些步驟。

如果您使用 AWS 資源總管 主控台或工具停用受信任的存取,則不需要完成這些步驟。

您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 AWS SDK 中的 Organizations API 操作,來停用受信任存取。

AWS CLI, AWS API
使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用以下 AWS CLI 命令或 API 操作,以停用信任的服務存取:

  • AWS CLI: disable-aws-service-access

    您可以執行下列命令來停用 AWS 資源總管 作為 Organizations 受信任的服務。

    $ aws organizations disable-aws-service-access \
    --service-principal resource-explorer-2.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:DisableAWSServiceAccess

啟用 Resource Explorer 的委派管理員帳戶

使用您的委派管理員帳戶建立多帳戶資源檢視畫面,然後將範圍調整為組織單位或您的整個組織。您可以建立資源共用,透過 AWS Resource Access Manager 與您組織中的任何帳戶共用多帳戶檢視畫面。

最低許可

只有具有下列許可之 Organizations 管理帳戶中的使用者或角色,才能將成員帳戶設定為組織中 Resource Explorer 的委派管理員:

resource-explorer:RegisterAccount

如需有關啟用 Resource Explorer 委派管理員帳戶的說明,請參閱《AWS 資源總管 使用者指南》中的設定

如果您使用 AWS 資源總管 主控台設定委派管理員,則 Resource Explorer 會自動為您啟用受信任的存取。

AWS CLI, AWS API

如果您想要使用 AWS CLI 或其中一個 AWS SDK,可以使用下列命令︰

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal resource-explorer-2.amazonaws.com

  • AWS SDK:呼叫 Organizations RegisterDelegatedAdministrator 操作和成員帳戶的 ID 號碼,並識別帳戶服務 resource-explorer-2.amazonaws.com 作為參數。

停用 Resource Explorer 的委派管理員

只有 Organizations 管理帳戶或 Resource Explorer 委派管理員帳戶中的管理員可以移除 Resource Explorer 的委派管理員。您可以使用 Organizations DeregisterDelegatedAdministrator CLI 或 SDK 操作停用受信任存取。