View a markdown version of this page

关联多个 AWS 账户 - AWS DevOps 代理人
先决条件添加辅助 AWS 账户了解必需的策略管理辅助账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关联多个 AWS 账户

辅助 AWS 账户允许 AWS DevOps 代理调查组织中多个 AWS 账户的资源。当您的应用程序跨多个账户时,添加辅助账户可确保代理在事件调查期间可以看到所有相关资源。对构成应用程序的账户和资源的更大访问权限可确保更高的调查准确性。

先决条件

在添加辅助 AWS 账户之前,请确保您已经:

  • 使用主账户访问 AWS DevOps 代理控制台

  • 对辅助 AWS 账户的管理权限

  • 在辅助账户中创建角色的 IAM 权限

添加辅助 AWS 账户

除了以下步骤外,您还可以使用AWS DevOps 代理 CLI 入门指南以编程方式添加辅助帐户。

步骤 1:启动辅助账户配置

  1. 登录 AWS 管理控制台并导航到 AWS DevOps 代理控制台

  2. 选择您的代理空间

  3. 前往 “功能” 选项卡

  4. 在 “” 部分中,找到 “次要来源” 子部分

  5. 单击 “添加

步骤 2:指定角色名称

  1. 在 “为你的角色命名” 字段中,输入你将在辅助账户中创建的角色的名称

  2. 请注意此名称——在辅助账户中创建角色时,您将再次使用该名称

  3. 复制控制台中提供的信任策略并将其保存在暂存空间中

步骤 3:在辅助账户中创建角色

  1. 打开新的浏览器选项卡,然后使用辅助 AWS 账户登录 IAM 控制台

  2. 导航到 IAM > 角色 > 创建角色

  3. 选择 “自定义信任策略

  4. 粘贴您在步骤 2 中复制的信任策略

  5. 单击下一步

步骤 4:附加 AWS 托管策略

  1. 在 “权限策略” 部分中,搜索 AIDevOpsAgentAccessPolicy

  2. 选中AIDevOpsAgentAccessPolicy托管策略旁边的复选框

  3. 单击下一步

步骤 5:命名并创建角色

  1. 在 “角色名称” 字段中,输入您在步骤 2 中提供的相同角色名称

  2. (可选)添加描述以帮助确定角色的用途

  3. 查看信任策略和附加权限

  4. 单击 “创建角色

步骤 6:附加内联策略

  1. 在 IAM 控制台中,找到并选择您刚刚创建的角色

  2. 前往 “权限” 选项卡

  3. 单击 “添加权限” > “创建内联策略

  4. 切换到 JSON 选项卡

  5. 粘贴您在步骤 2 中保存的策略

  6. 将策略粘贴到 IAM 控制台的 JSON 编辑器中

  7. 单击下一步

  8. 为内联策略提供名称(例如,DevOpsAgentInlinePolicy“”)

  9. 点击创建策略

步骤 7:完成配置

  1. 使用主账号返回 AWS DevOps 代理控制台

  2. 单击 “下一步” 完成辅助账户配置

  3. 验证连接状态是否显示为 “活动

了解必需的策略

AWS DevOps 代理需要三个策略组件才能访问辅助账户中的资源:

  • 信任策略-允许主账户中的 AWS DevOps 代理在辅助账户中扮演该角色。这就建立了账户之间的信任关系。

  • AIDevOpsAgentAccessPolicy (AWS 托管策略)— 提供 AWS DevOps 代理调查辅助账户资源所需的核心只读权限。此政策由新增功能维护 AWS 和更新。

  • 内联策略-提供特定于您的 Agent Space 配置的其他权限。此策略是根据您的 Agent Space 设置生成的,可能包括特定集成或功能的权限。

在主账户中,A AWS DevOps gent IAM 角色必须能够代入在辅助账户中创建的角色。

管理辅助账户

  • 查看已连接的帐户-在 “功能” 选项卡中,“次要来源” 子部分列出了所有已连接的次要帐户及其连接状态。

  • 更新 IAM 角色-如果您需要修改权限,请更新辅助账户中附加到该角色的内联策略。更改将立即生效。

  • 删除次要帐户-要断开次要帐户的连接,请在次要来源列表中将其选中,然后单击 “删除”。这不会删除辅助账户中的 IAM 角色。