View a markdown version of this page

Connessione di più AWS account - AWS DevOps Agente
PrerequisitiAggiungere un account secondario AWSComprensione delle politiche richiesteGestione degli account secondari

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione di più AWS account

AWS Gli account secondari consentono all' AWS DevOps agente di esaminare le risorse di più AWS account dell'organizzazione. Quando le applicazioni si estendono su più account, l'aggiunta di account secondari garantisce all'agente la visibilità di tutte le risorse pertinenti durante le indagini sugli incidenti. Un maggiore accesso agli account e alle risorse che compongono un'applicazione garantisce una maggiore precisione delle indagini.

Prerequisiti

Prima di aggiungere un AWS account secondario, assicurati di avere:

  • Accesso alla console AWS DevOps dell'agente nell'account principale

  • Accesso amministrativo all' AWS account secondario

  • Autorizzazioni IAM per creare ruoli nell'account secondario

Aggiungere un account secondario AWS

Oltre ai passaggi seguenti, puoi utilizzare il AWS DevOps Guida all'onboarding CLI per agenti per aggiungere account secondari a livello di codice.

Passaggio 1: avviare la configurazione dell'account secondario

  1. Accedi alla console di AWS gestione e vai alla console dell' AWS DevOps agente

  2. Seleziona il tuo Agent Space

  3. Vai alla scheda Funzionalità

  4. Nella sezione Cloud, individua la sottosezione Fonti secondarie

  5. Fai clic su Aggiungi

Fase 2: Specificare il nome del ruolo

  1. Nel campo Dai un nome al tuo ruolo, inserisci un nome per il ruolo che creerai nell'account secondario

  2. Nota questo nome: lo utilizzerai nuovamente quando creerai il ruolo nell'account secondario

  3. Copia la policy di attendibilità fornita nella console e salvala in uno spazio virtuale

Fase 3: Creare il ruolo nell'account secondario

  1. Apri una nuova scheda del browser e accedi alla console IAM nell' AWS account secondario

  2. Vai a IAM > Ruoli > Crea ruolo

  3. Seleziona Politica di fiducia personalizzata

  4. Incolla la politica di fiducia che hai copiato dal passaggio 2

  5. Fai clic su Avanti

Fase 4: Allega la policy AWS gestita

  1. Nella sezione Politiche di autorizzazione, cerca AIDevOpsAgentAccessPolicy

  2. Seleziona la casella di controllo accanto alla politica gestita AIDevOpsAgentAccessPolicy

  3. Fai clic su Avanti

Fase 5: Assegna un nome e crea il ruolo

  1. Nel campo Nome ruolo, inserisci lo stesso nome di ruolo fornito nel passaggio 2

  2. (Facoltativo) Aggiungi una descrizione per identificare lo scopo del ruolo

  3. Rivedi la politica di attendibilità e le autorizzazioni allegate

  4. Fai clic su Crea ruolo

Passaggio 6: allega la politica in linea

  1. Nella console IAM, individua e seleziona il ruolo che hai appena creato

  2. Vai alla scheda Autorizzazioni

  3. Fai clic su Aggiungi autorizzazioni > Crea politica in linea

  4. Passa alla scheda JSON

  5. Incolla la politica che hai salvato nel passaggio 2

  6. Incolla la policy nell'editor JSON nella console IAM

  7. Fai clic su Avanti

  8. Fornisci un nome per la politica in linea (ad esempio, "DevOpsAgentInlinePolicy«)

  9. Fai clic su Crea politica

Fase 7: Completare la configurazione

  1. Torna alla console AWS DevOps dell'agente nell'account principale

  2. Fai clic su Avanti per completare la configurazione dell'account secondario

  3. Verifica che lo stato della connessione sia impostato su Attivo

Comprensione delle politiche richieste

AWS DevOps L'agente richiede tre componenti di policy per accedere alle risorse in un account secondario:

  • Politica di fiducia: consente all' AWS DevOps agente dell'account principale di assumere il ruolo nell'account secondario. Ciò stabilisce la relazione di fiducia tra gli account.

  • AIDevOpsAgentAccessPolicy (policy AWS gestita): fornisce le autorizzazioni di base di sola lettura necessarie all' AWS DevOps agente per esaminare le risorse nell'account secondario. Questa politica viene gestita AWS e aggiornata man mano che vengono aggiunte nuove funzionalità.

  • Policy in linea: fornisce autorizzazioni aggiuntive specifiche per la configurazione di Agent Space. Questa policy viene generata in base alle impostazioni di Agent Space e può includere autorizzazioni per integrazioni o funzionalità specifiche.

Nell'account primario, il ruolo AWS DevOps Agent IAM deve essere in grado di assumere il ruolo creato nell'account secondario.

Gestione degli account secondari

  • Visualizzazione degli account connessi: nella scheda Funzionalità, la sottosezione Fonti secondarie elenca tutti gli account secondari collegati con il relativo stato di connessione.

  • Aggiornamento del ruolo IAM: se devi modificare le autorizzazioni, aggiorna la policy in linea allegata al ruolo nell'account secondario. Le modifiche diventano effettive immediatamente.

  • Rimuovere un account secondario: per disconnettere un account secondario, selezionalo nell'elenco Fonti secondarie e fai clic su Rimuovi. Ciò non elimina il ruolo IAM nell'account secondario.