View a markdown version of this page

Conexión de varias AWS cuentas - AWS DevOps Agente
Requisitos previosAñadir una cuenta secundaria AWSComprenda las políticas requeridasAdministrar cuentas secundarias

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión de varias AWS cuentas

AWS Las cuentas secundarias permiten al AWS DevOps agente investigar los recursos de varias AWS cuentas de la organización. Cuando sus aplicaciones abarcan varias cuentas, añadir cuentas secundarias garantiza que el agente tenga visibilidad de todos los recursos relevantes durante la investigación de los incidentes. Un mayor acceso a las cuentas y los recursos que componen una aplicación garantiza una mayor precisión en la investigación.

Requisitos previos

Antes de añadir una AWS cuenta secundaria, asegúrese de tener:

  • Acceso a la consola del AWS DevOps agente desde la cuenta principal

  • Acceso administrativo a la AWS cuenta secundaria

  • Permisos de IAM para crear funciones en la cuenta secundaria

Añadir una cuenta secundaria AWS

Además de los pasos que se indican a continuación, puede utilizarlos AWS DevOps Guía de incorporación de Agent CLI para añadir cuentas secundarias mediante programación.

Paso 1: Inicie la configuración de la cuenta secundaria

  1. Inicie sesión en la consola AWS de administración y navegue hasta la consola del AWS DevOps agente

  2. Seleccione su espacio de agente

  3. Ve a la pestaña Capacidades

  4. En la sección Nube, localice la subsección de fuentes secundarias

  5. Haz clic en Añadir

Paso 2: especifique el nombre del rol

  1. En el campo Asigne un nombre a su función, introduzca un nombre para la función que va a crear en la cuenta secundaria

  2. Anota este nombre: lo volverás a usar al crear el rol en la cuenta secundaria

  3. Copia la política de confianza proporcionada en la consola y guárdala en un espacio temporal

Paso 3: Crea el rol en la cuenta secundaria

  1. Abre una nueva pestaña del navegador e inicia sesión en la consola de IAM en la cuenta secundaria AWS

  2. Vaya a IAM > Funciones > Crear función

  3. Seleccione Política de confianza personalizada

  4. Pegue la política de confianza que copió del paso 2

  5. Haga clic en Siguiente.

Paso 4: Adjunte la política AWS gestionada

  1. En la sección Políticas de permisos, busque AIDevOpsAgentAccessPolicy

  2. Seleccione la casilla de verificación situada junto a la política AIDevOpsAgentAccessPolicygestionada

  3. Haga clic en Siguiente.

Paso 5: Asigne un nombre al rol y créelo

  1. En el campo Nombre del rol, ingresa el mismo nombre del rol que proporcionaste en el paso 2

  2. (Opcional) Agregue una descripción para ayudar a identificar el propósito del rol

  3. Revise la política de confianza y los permisos adjuntos

  4. Haz clic en Crear rol

Paso 6: Adjunte la política en línea

  1. En la consola de IAM, busque y seleccione el rol que acaba de crear

  2. Vaya a la pestaña Permisos

  3. Haga clic en Añadir permisos > Crear política en línea

  4. Cambie a la pestaña JSON

  5. Pegue la política que guardó en el paso 2

  6. Pegue la política en el editor JSON de la consola de IAM

  7. Haga clic en Siguiente.

  8. Proporcione un nombre para la política en línea (por ejemplo, "«DevOpsAgentInlinePolicy)

  9. Haga clic en Crear política

Paso 7: Complete la configuración

  1. Regrese a la consola del AWS DevOps agente en la cuenta principal

  2. Haga clic en Siguiente para completar la configuración de la cuenta secundaria

  3. Compruebe que el estado de la conexión se muestre como Activo

Comprenda las políticas requeridas

AWS DevOps El agente necesita tres componentes de política para acceder a los recursos de una cuenta secundaria:

  • Política de confianza: permite que el AWS DevOps agente de la cuenta principal asuma el rol en la cuenta secundaria. Esto establece la relación de confianza entre las cuentas.

  • AIDevOpsAgentAccessPolicy (política AWS gestionada): proporciona los permisos básicos de solo lectura que el AWS DevOps agente necesita para investigar los recursos de la cuenta secundaria. Esta política se mantiene AWS y actualiza a medida que se añaden nuevas capacidades.

  • Política integrada: proporciona permisos adicionales específicos para la configuración de Agent Space. Esta política se genera en función de la configuración del espacio de agente y puede incluir permisos para integraciones o funciones específicas.

En la cuenta principal, el rol de AWS DevOps agente de IAM debe poder asumir el rol creado en la cuenta secundaria.

Administrar cuentas secundarias

  • Visualización de las cuentas conectadas: en la pestaña Capacidades, la subsección Fuentes secundarias muestra todas las cuentas secundarias conectadas con su estado de conexión.

  • Actualización del rol de IAM: si necesita modificar los permisos, actualice la política interna asociada al rol en la cuenta secundaria. Los cambios surten efecto inmediatamente.

  • Eliminar una cuenta secundaria: para desconectar una cuenta secundaria, selecciónela en la lista de fuentes secundarias y haga clic en Eliminar. Esto no elimina la función de IAM en la cuenta secundaria.