View a markdown version of this page

Mehrere AWS Konten verbinden - AWS DevOps Agentin
VoraussetzungenEin AWS sekundäres Konto hinzufügenGrundlegendes zu den erforderlichen RichtlinienVerwaltung sekundärer Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mehrere AWS Konten verbinden

Sekundäre AWS Konten ermöglichen es dem AWS DevOps Agenten, Ressourcen mehrerer AWS Konten in Ihrer Organisation zu untersuchen. Wenn sich Ihre Anwendungen auf mehrere Konten erstrecken, stellt das Hinzufügen von Sekundärkonten sicher, dass der Agent bei der Untersuchung von Vorfällen Einblick in alle relevanten Ressourcen hat. Ein besserer Zugriff auf die Konten und Ressourcen, aus denen sich eine Anwendung zusammensetzt, gewährleistet eine höhere Genauigkeit der Ermittlungen.

Voraussetzungen

Bevor Sie ein sekundäres AWS Konto hinzufügen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Zugriff auf die AWS DevOps Agent-Konsole im primären Konto

  • Administratorzugriff auf das sekundäre AWS Konto

  • IAM-Berechtigungen zum Erstellen von Rollen im sekundären Konto

Ein AWS sekundäres Konto hinzufügen

Zusätzlich zu den unten aufgeführten Schritten können Sie das verwenden, AWS DevOps Leitfaden für das CLI Onboarding von Agenten um programmgesteuert sekundäre Konten hinzuzufügen.

Schritt 1: Starten Sie die Konfiguration des sekundären Kontos

  1. Melden Sie sich bei der AWS Management Console an und navigieren Sie zur AWS DevOps Agent-Konsole

  2. Wählen Sie Ihren Agent Space

  3. Gehen Sie zur Registerkarte Funktionen

  4. Suchen Sie im Bereich Cloud den Unterabschnitt Sekundäre Quellen

  5. Klicken Sie auf Hinzufügen

Schritt 2: Geben Sie den Rollennamen an

  1. Geben Sie im Feld Name Ihrer Rolle einen Namen für die Rolle ein, die Sie im sekundären Konto erstellen werden

  2. Notieren Sie sich diesen Namen — Sie werden ihn erneut verwenden, wenn Sie die Rolle im sekundären Konto erstellen

  3. Kopieren Sie die in der Konsole bereitgestellte Vertrauensrichtlinie und speichern Sie sie in einem Scratch-Bereich

Schritt 3: Erstellen Sie die Rolle im sekundären Konto

  1. Öffnen Sie einen neuen Browser-Tab und melden Sie sich im sekundären AWS Konto bei der IAM-Konsole an

  2. Navigieren Sie zu IAM > Rollen > Rolle erstellen

  3. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie

  4. Fügen Sie die Vertrauensrichtlinie ein, die Sie aus Schritt 2 kopiert haben

  5. Klicken Sie auf Weiter

Schritt 4: Hängen Sie die AWS verwaltete Richtlinie an

  1. Suchen Sie im Abschnitt Berechtigungsrichtlinien nach AIDevOpsAgentAccessPolicy

  2. Aktivieren Sie das Kontrollkästchen neben der AIDevOpsAgentAccessPolicyverwalteten Richtlinie

  3. Klicken Sie auf Weiter

Schritt 5: Benennen und erstellen Sie die Rolle

  1. Geben Sie im Feld Rollenname denselben Rollennamen ein, den Sie in Schritt 2 angegeben haben

  2. (Optional) Fügen Sie eine Beschreibung hinzu, um den Zweck der Rolle besser zu identifizieren

  3. Überprüfen Sie die Vertrauensrichtlinie und die beigefügten Berechtigungen

  4. Klicken Sie auf Rolle erstellen

Schritt 6: Hängen Sie die Inline-Richtlinie an

  1. Suchen Sie in der IAM-Konsole die Rolle, die Sie gerade erstellt haben, und wählen Sie sie aus

  2. Gehen Sie zur Registerkarte „Berechtigungen

  3. Klicken Sie auf Berechtigungen hinzufügen > Inline-Richtlinie erstellen

  4. Wechseln Sie zur Registerkarte JSON

  5. Fügen Sie die Richtlinie ein, die Sie in Schritt 2 gespeichert haben

  6. Fügen Sie die Richtlinie in den JSON-Editor in der IAM-Konsole ein

  7. Klicken Sie auf Weiter

  8. Geben Sie einen Namen für die Inline-Richtlinie ein (z. B. "DevOpsAgentInlinePolicy„)

  9. Klicken Sie auf Richtlinie erstellen

Schritt 7: Schließen Sie die Konfiguration ab

  1. Kehren Sie im Hauptkonto zur AWS DevOps Agentenkonsole zurück

  2. Klicken Sie auf Weiter, um die Konfiguration des sekundären Kontos abzuschließen

  3. Stellen Sie sicher, dass der Verbindungsstatus als Aktiv angezeigt wird

Grundlegendes zu den erforderlichen Richtlinien

AWS DevOps Der Agent benötigt drei Richtlinienkomponenten, um auf Ressourcen in einem sekundären Konto zuzugreifen:

  • Vertrauensrichtlinie — Ermöglicht es dem AWS DevOps Agenten im primären Konto, die Rolle im sekundären Konto zu übernehmen. Dadurch wird das Vertrauensverhältnis zwischen den Konten hergestellt.

  • AIDevOpsAgentAccessPolicy (AWS verwaltete Richtlinie) — Stellt die grundlegenden Leseberechtigungen bereit, die der AWS DevOps Agent benötigt, um Ressourcen im sekundären Konto zu untersuchen. Diese Richtlinie wird von beibehalten AWS und aktualisiert, sobald neue Funktionen hinzugefügt werden.

  • Inline-Richtlinie — Bietet zusätzliche Berechtigungen, die für Ihre Agent Space-Konfiguration spezifisch sind. Diese Richtlinie wird auf der Grundlage Ihrer Agent Space-Einstellungen generiert und kann Berechtigungen für bestimmte Integrationen oder Funktionen beinhalten.

Im primären Konto muss die AWS DevOps Agent-IAM-Rolle die Rolle übernehmen können, die im sekundären Konto erstellt wurde.

Verwaltung sekundärer Konten

  • Verbundene Konten anzeigen — Auf der Registerkarte Funktionen werden im Unterabschnitt Sekundäre Quellen alle verbundenen sekundären Konten mit ihrem Verbindungsstatus aufgeführt.

  • Aktualisierung der IAM-Rolle — Wenn Sie die Berechtigungen ändern müssen, aktualisieren Sie die Inline-Richtlinie, die der Rolle im sekundären Konto zugewiesen ist. Änderungen werden sofort wirksam.

  • Ein sekundäres Konto entfernen — Um die Verbindung zu einem sekundären Konto zu trennen, wählen Sie es in der Liste Sekundäre Quellen aus und klicken Sie auf Entfernen. Dadurch wird die IAM-Rolle im sekundären Konto nicht gelöscht.