View a markdown version of this page

Conectando várias AWS contas - AWS DevOps Agente
Pré-requisitosAdicionar uma AWS conta secundáriaEntendendo as políticas necessáriasGerenciando contas secundárias

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectando várias AWS contas

AWS As contas secundárias permitem que o AWS DevOps Agente investigue recursos em várias AWS contas em sua organização. Quando seus aplicativos abrangem várias contas, adicionar contas secundárias garante que o agente tenha visibilidade de todos os recursos relevantes durante as investigações de incidentes. O maior acesso às contas e aos recursos que compõem um aplicativo garante maior precisão na investigação.

Pré-requisitos

Antes de adicionar uma AWS conta secundária, verifique se você tem:

  • Acesso ao console do AWS DevOps agente na conta principal

  • Acesso administrativo à AWS conta secundária

  • Permissões do IAM para criar funções na conta secundária

Adicionar uma AWS conta secundária

Além das etapas abaixo, você pode usar o AWS DevOps Guia de integração do Agent CLI para adicionar contas secundárias de forma programática.

Etapa 1: iniciar a configuração da conta secundária

  1. Faça login no console AWS de gerenciamento e navegue até o console do AWS DevOps agente

  2. Selecione seu espaço de agente

  3. Vá para a guia Capacidades

  4. Na seção Nuvem, localize a subseção Fontes secundárias

  5. Clique em Adicionar

Etapa 2: especificar o nome da função

  1. No campo Nome da sua função, insira um nome para a função que você criará na conta secundária

  2. Anote esse nome: você o usará novamente ao criar a função na conta secundária

  3. Copie a política de confiança fornecida no console e salve-a em um espaço rascunho

Etapa 3: criar a função na conta secundária

  1. Abra uma nova guia do navegador e faça login no console do IAM na AWS conta secundária

  2. Navegue até IAM > Funções > Criar função

  3. Selecione Política de confiança personalizada

  4. Cole a política de confiança que você copiou da Etapa 2

  5. Clique em Avançar.

Etapa 4: anexar a política AWS gerenciada

  1. Na seção Políticas de permissões, pesquise AIDevOpsAgentAccessPolicy

  2. Marque a caixa de seleção ao lado da política AIDevOpsAgentAccessPolicygerenciada

  3. Clique em Avançar.

Etapa 5: nomear e criar a função

  1. No campo Nome da função, insira o mesmo nome da função que você forneceu na Etapa 2

  2. (Opcional) Adicione uma descrição para ajudar a identificar a finalidade da função

  3. Revise a política de confiança e as permissões anexadas

  4. Clique em Criar função

Etapa 6: anexar a política em linha

  1. No console do IAM, localize e selecione a função que você acabou de criar

  2. Vá para a guia Permissões

  3. Clique em Adicionar permissões > Criar política em linha

  4. Mudar para a guia JSON

  5. Cole a política que você salvou na Etapa 2

  6. Cole a política no editor JSON no console do IAM

  7. Clique em Avançar.

  8. Forneça um nome para a política em linha (por exemplo, "DevOpsAgentInlinePolicy“)

  9. Clique em Criar política

Etapa 7: Concluir a configuração

  1. Retorne ao console do AWS DevOps agente na conta principal

  2. Clique em Avançar para concluir a configuração da conta secundária

  3. Verifique se o status da conexão é exibido como Ativo

Entendendo as políticas necessárias

AWS DevOps O agente exige três componentes de política para acessar recursos em uma conta secundária:

  • Política de confiança — permite que o AWS DevOps agente na conta principal assuma a função na conta secundária. Isso estabelece a relação de confiança entre as contas.

  • AIDevOpsAgentAccessPolicy (política AWS gerenciada) — Fornece as principais permissões de somente leitura que o AWS DevOps agente precisa para investigar recursos na conta secundária. Essa política é mantida AWS e atualizada à medida que novos recursos são adicionados.

  • Política embutida — fornece permissões adicionais específicas para sua configuração do Agent Space. Essa política é gerada com base nas configurações do seu Espaço do Agente e pode incluir permissões para integrações ou recursos específicos.

Na conta principal, a função do AWS DevOps Agent IAM deve ser capaz de assumir a função criada na conta secundária.

Gerenciando contas secundárias

  • Visualização de contas conectadas — Na guia Capacidades, a subseção Fontes secundárias lista todas as contas secundárias conectadas com seu status de conexão.

  • Atualização da função do IAM — Se você precisar modificar as permissões, atualize a política embutida anexada à função na conta secundária. As alterações terão efeito imediatamente.

  • Removendo uma conta secundária — Para desconectar uma conta secundária, selecione-a na lista Fontes secundárias e clique em Remover. Isso não exclui a função do IAM na conta secundária.