本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 連接多個 AWS 帳戶
次要 AWS 帳戶可讓 AWS DevOps 代理程式調查組織中多個 AWS 帳戶的資源。當您的應用程式跨越多個帳戶時,新增次要帳戶可確保客服人員在事件調查期間可查看所有相關資源。對構成應用程式的 帳戶和資源的更多存取可確保更高的調查準確性。
## 先決條件
新增次要 AWS 帳戶之前,請確定您有:
+ 存取主要帳戶中的 AWS DevOps 代理程式主控台
+ 次要 AWS 帳戶的管理存取權
+ 在次要帳戶中建立角色的 IAM 許可
## 新增次要 AWS 帳戶
除了下列步驟之外,您還可以使用 [AWS DevOps Agent CLI 入門指南](getting-started-with-aws-devops-agent-cli-onboarding-guide.md) 以程式設計方式新增次要帳戶。
### 步驟 1:啟動次要帳戶組態
1. 登入 AWS 管理主控台並導覽至 AWS DevOps 代理程式主控台
1. 選取您的客服人員空間
1. 前往**功能**索引標籤
1. 在**雲端**區段中,尋找**次要來源**子區段
1. 按一下**新增**
### 步驟 2:指定角色名稱
1. 在**為您的角色命名**欄位中,輸入您將在次要帳戶中建立的角色名稱
1. 請記下此名稱 - 在次要帳戶中建立角色時,您將再次使用它
1. 複製主控台中提供的信任政策,並將其儲存在暫存空間中
### 步驟 3:在次要帳戶中建立角色
1. 開啟新的瀏覽器索引標籤,並登入次要 AWS 帳戶中的 IAM 主控台
1. 導覽至 **IAM >****角色** > **建立角色**
1. 選取**自訂信任政策**
1. 貼上您從步驟 2 複製的信任政策
1. 按一下**下一步**
### 步驟 4:連接 AWS 受管政策
1. 在**許可政策**區段中,搜尋 **AIDevOpsAgentAccessPolicy**
1. 選取 **AIDevOpsAgentAccessPolicy** 受管政策旁的核取方塊
1. 按一下**下一步**
### 步驟 5:命名並建立角色
1. 在**角色名稱**欄位中,輸入您在步驟 2 中提供的相同角色名稱
1. (選用) 新增描述以協助識別角色的目的
1. 檢閱信任政策和連接的許可
1. 按一下**建立角色**
### 步驟 6:連接內嵌政策
1. 在 IAM 主控台中,尋找並選取您剛建立的角色
1. 前往**許可**索引標籤
1. 按一下**新增許可** > **建立內嵌政策**
1. 切換到 **JSON** 索引標籤
1. 貼上您在步驟 2 中儲存的政策
1. 將政策貼到 IAM 主控台的 JSON 編輯器
1. 按一下**下一步**
1. 提供內嵌政策的名稱 (例如「DevOpsAgentInlinePolicy」)
1. 按一下**建立政策**
### 步驟 7:完成組態
1. 返回主要帳戶中的 AWS DevOps 代理程式主控台
1. 按一下**下一步**以完成次要帳戶組態
1. 確認連線狀態顯示為**作用中**
## 了解必要的政策
AWS DevOps Agent 需要三個政策元件,才能存取次要帳戶中的資源:
+ **信任政策** – 允許主要帳戶中的 AWS DevOps 代理程式擔任次要帳戶中的角色。這會建立帳戶之間的信任關係。
+ **AIDevOpsAgentAccessPolicy (AWS 受管政策)** – 提供 AWS DevOps 代理程式調查次要帳戶中資源所需的核心唯讀許可。此政策由 維護, AWS 並在新增新功能時更新。
+ **內嵌政策** – 為您的 Agent Space 組態提供額外的許可。此政策會根據您的客服人員空間設定產生,並可能包含特定整合或功能的許可。
在主要帳戶中, AWS DevOps 代理程式 IAM 角色必須能夠擔任在次要帳戶中建立的角色。
## 管理次要帳戶
+ **檢視連線帳戶** – 在**功能**索引標籤中,**次要來源**子區段會列出所有連線的次要帳戶及其連線狀態。
+ **更新 IAM 角色** – 如果您需要修改許可,請更新連接到次要帳戶中角色的內嵌政策。變更會立即生效。
+ **移除次要帳戶** – 若要中斷連接次要帳戶,請在**次要來源**清單中選取該帳戶,然後按一下**移除**。這不會刪除次要帳戶中的 IAM 角色。