View a markdown version of this page

連接多個 AWS 帳戶 - AWS DevOps 代理程式
先決條件新增次要 AWS 帳戶了解必要的政策管理次要帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連接多個 AWS 帳戶

次要 AWS 帳戶可讓 AWS DevOps 代理程式調查組織中多個 AWS 帳戶的資源。當您的應用程式跨越多個帳戶時,新增次要帳戶可確保客服人員在事件調查期間可查看所有相關資源。對構成應用程式的 帳戶和資源的更多存取可確保更高的調查準確性。

先決條件

新增次要 AWS 帳戶之前,請確定您有:

  • 存取主要帳戶中的 AWS DevOps 代理程式主控台

  • 次要 AWS 帳戶的管理存取權

  • 在次要帳戶中建立角色的 IAM 許可

新增次要 AWS 帳戶

除了下列步驟之外,您還可以使用 AWS DevOps Agent CLI 入門指南 以程式設計方式新增次要帳戶。

步驟 1:啟動次要帳戶組態

  1. 登入 AWS 管理主控台並導覽至 AWS DevOps 代理程式主控台

  2. 選取您的客服人員空間

  3. 前往功能索引標籤

  4. 雲端區段中,尋找次要來源子區段

  5. 按一下新增

步驟 2:指定角色名稱

  1. 為您的角色命名欄位中,輸入您將在次要帳戶中建立的角色名稱

  2. 請記下此名稱 - 在次要帳戶中建立角色時,您將再次使用它

  3. 複製主控台中提供的信任政策,並將其儲存在暫存空間中

步驟 3:在次要帳戶中建立角色

  1. 開啟新的瀏覽器索引標籤,並登入次要 AWS 帳戶中的 IAM 主控台

  2. 導覽至 IAM >角色 > 建立角色

  3. 選取自訂信任政策

  4. 貼上您從步驟 2 複製的信任政策

  5. 按一下下一步

步驟 4:連接 AWS 受管政策

  1. 許可政策區段中,搜尋 AIDevOpsAgentAccessPolicy

  2. 選取 AIDevOpsAgentAccessPolicy 受管政策旁的核取方塊

  3. 按一下下一步

步驟 5:命名並建立角色

  1. 角色名稱欄位中,輸入您在步驟 2 中提供的相同角色名稱

  2. (選用) 新增描述以協助識別角色的目的

  3. 檢閱信任政策和連接的許可

  4. 按一下建立角色

步驟 6:連接內嵌政策

  1. 在 IAM 主控台中,尋找並選取您剛建立的角色

  2. 前往許可索引標籤

  3. 按一下新增許可 > 建立內嵌政策

  4. 切換到 JSON 索引標籤

  5. 貼上您在步驟 2 中儲存的政策

  6. 將政策貼到 IAM 主控台的 JSON 編輯器

  7. 按一下下一步

  8. 提供內嵌政策的名稱 (例如「DevOpsAgentInlinePolicy」)

  9. 按一下建立政策

步驟 7:完成組態

  1. 返回主要帳戶中的 AWS DevOps 代理程式主控台

  2. 按一下下一步以完成次要帳戶組態

  3. 確認連線狀態顯示為作用中

了解必要的政策

AWS DevOps Agent 需要三個政策元件,才能存取次要帳戶中的資源:

  • 信任政策 – 允許主要帳戶中的 AWS DevOps 代理程式擔任次要帳戶中的角色。這會建立帳戶之間的信任關係。

  • AIDevOpsAgentAccessPolicy (AWS 受管政策) – 提供 AWS DevOps 代理程式調查次要帳戶中資源所需的核心唯讀許可。此政策由 維護, AWS 並在新增新功能時更新。

  • 內嵌政策 – 為您的 Agent Space 組態提供額外的許可。此政策會根據您的客服人員空間設定產生,並可能包含特定整合或功能的許可。

在主要帳戶中, AWS DevOps 代理程式 IAM 角色必須能夠擔任在次要帳戶中建立的角色。

管理次要帳戶

  • 檢視連線帳戶 – 在功能索引標籤中,次要來源子區段會列出所有連線的次要帳戶及其連線狀態。

  • 更新 IAM 角色 – 如果您需要修改許可,請更新連接到次要帳戶中角色的內嵌政策。變更會立即生效。

  • 移除次要帳戶 – 若要中斷連接次要帳戶,請在次要來源清單中選取該帳戶,然後按一下移除。這不會刪除次要帳戶中的 IAM 角色。