View a markdown version of this page

Connexion de plusieurs AWS comptes - AWS DevOps Agent
Conditions préalablesAjouter un AWS compte secondaireComprendre les politiques requisesGestion des comptes secondaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion de plusieurs AWS comptes

AWS Les comptes secondaires permettent à AWS DevOps l'agent d'examiner les ressources de plusieurs AWS comptes de votre organisation. Lorsque vos applications s'étendent sur plusieurs comptes, l'ajout de comptes secondaires garantit à l'agent une visibilité sur toutes les ressources pertinentes lors des enquêtes sur les incidents. Un meilleur accès aux comptes et aux ressources composant une application garantit une plus grande précision des enquêtes.

Conditions préalables

Avant d'ajouter un AWS compte secondaire, assurez-vous d'avoir :

  • Accès à la console de AWS DevOps l'agent dans le compte principal

  • Accès administratif au AWS compte secondaire

  • Autorisations IAM pour créer des rôles dans le compte secondaire

Ajouter un AWS compte secondaire

Outre les étapes ci-dessous, vous pouvez utiliser le AWS DevOps Guide d'intégration de l'Agent CLI pour ajouter des comptes secondaires par programmation.

Étape 1 : démarrer la configuration du compte secondaire

  1. Connectez-vous à la console AWS de gestion et accédez à la console de l' AWS DevOps agent

  2. Sélectionnez votre espace d'agent

  3. Accédez à l'onglet Fonctionnalités

  4. Dans la section Cloud, recherchez la sous-section Sources secondaires

  5. Cliquez sur Ajouter

Étape 2 : Spécifiez le nom du rôle

  1. Dans le champ Nommez votre rôle, saisissez le nom du rôle que vous allez créer dans le compte secondaire

  2. Notez ce nom : vous l'utiliserez à nouveau lors de la création du rôle dans le compte secondaire

  3. Copiez la politique de confiance fournie dans la console et enregistrez-la dans un espace de travail

Étape 3 : créer le rôle dans le compte secondaire

  1. Ouvrez un nouvel onglet de navigateur et connectez-vous à la console IAM dans le compte secondaire AWS

  2. Accédez à IAM > Rôles > Créer un rôle

  3. Sélectionnez une politique de confiance personnalisée

  4. Collez la politique de confiance que vous avez copiée à partir de l'étape 2

  5. Cliquez sur Suivant

Étape 4 : joindre la politique AWS gérée

  1. Dans la section Politiques d'autorisations, recherchez AIDevOpsAgentAccessPolicy

  2. Cochez la case à côté de la politique AIDevOpsAgentAccessPolicygérée

  3. Cliquez sur Suivant

Étape 5 : Nommez et créez le rôle

  1. Dans le champ Nom du rôle, entrez le même nom de rôle que celui que vous avez indiqué à l'étape 2

  2. (Facultatif) Ajoutez une description pour aider à identifier l'objectif du rôle

  3. Passez en revue la politique de confiance et les autorisations associées

  4. Cliquez sur Créer un rôle

Étape 6 : Joindre la politique en ligne

  1. Dans la console IAM, recherchez et sélectionnez le rôle que vous venez de créer

  2. Accédez à l'onglet Autorisations

  3. Cliquez sur Ajouter des autorisations > Créer une politique en ligne

  4. Passez à l'onglet JSON

  5. Collez la politique que vous avez enregistrée à l'étape 2

  6. Collez la politique dans l'éditeur JSON de la console IAM

  7. Cliquez sur Suivant

  8. Donnez un nom à la politique intégrée (par exemple, DevOpsAgentInlinePolicy « »)

  9. Cliquez sur Créer une politique

Étape 7 : terminer la configuration

  1. Retournez à la console de l' AWS DevOps agent dans le compte principal

  2. Cliquez sur Suivant pour terminer la configuration du compte secondaire

  3. Vérifiez que l'état de la connexion est indiqué comme actif

Comprendre les politiques requises

AWS DevOps L'agent a besoin de trois composants de politique pour accéder aux ressources d'un compte secondaire :

  • Politique de confiance — Permet à l' AWS DevOps agent du compte principal d'assumer le rôle du compte secondaire. Cela établit la relation de confiance entre les comptes.

  • AIDevOpsAgentAccessPolicy (politique AWS gérée) — Fournit les autorisations de lecture seule de base dont AWS DevOps l'agent a besoin pour étudier les ressources du compte secondaire. Cette politique est maintenue AWS et mise à jour au fur et à mesure que de nouvelles fonctionnalités sont ajoutées.

  • Politique intégrée : fournit des autorisations supplémentaires spécifiques à la configuration de votre espace agent. Cette politique est générée en fonction des paramètres de votre espace agent et peut inclure des autorisations pour des intégrations ou des fonctionnalités spécifiques.

Dans le compte principal, le rôle d' AWS DevOps agent IAM doit pouvoir assumer le rôle créé dans le compte secondaire.

Gestion des comptes secondaires

  • Affichage des comptes connectés : dans l'onglet Fonctionnalités, la sous-section Sources secondaires répertorie tous les comptes secondaires connectés avec leur état de connexion.

  • Mise à jour du rôle IAM : si vous devez modifier les autorisations, mettez à jour la politique intégrée associée au rôle dans le compte secondaire. Les modifications prennent effet immédiatement.

  • Suppression d'un compte secondaire : pour déconnecter un compte secondaire, sélectionnez-le dans la liste des sources secondaires et cliquez sur Supprimer. Cela ne supprime pas le rôle IAM dans le compte secondaire.