本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon VPC Reachability Analyzer 和 AWS Organizations
<a name="services-that-can-integrate-ra"></a>

Reachability Analyzer 是一種組態分析工具，可讓您在虛擬私有雲端 (VPC) 中的來源資源和目的地資源之間執行連線測試。

 AWS Organizations 搭配 Reachability Analyzer 使用 可讓您追蹤組織中帳戶間的路徑。



如需詳細資訊，請參閱 [Reachability Analyzer 使用者指南中的管理 Reachability Analyzer 中的委派管理員帳戶](https://docs.aws.amazon.com/vpc/latest/reachability/manage-delegated-administrators.html)。 **

使用以下資訊來協助您將 Reachability Analyzer 與 整合 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ra"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Reachability Analyzer 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Reachability Analyzer 和 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForReachabilityAnalyzer`

如需詳細資訊，請參閱 *Reachability Analyzer user* guide (《Reachability Analyzer 使用者指南》) 中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ra"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Reachability Analyzer 使用的服務連結角色會將存取權授予下列服務主體：
+ `reachabilityanalyzer.networkinsights.amazonaws.com`

## 啟用 Reachability Analyzer 的受信任存取
<a name="integrate-enable-ta-ra"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

當您指定 Reachability Analyzer 的委派管理員時，會自動啟用組織中 Reachability Analyzer 的受信任存取。

Reachability Analyzer 需要對 的受信任存取權， AWS Organizations 才能將成員帳戶指定為組織的此服務委派管理員。

**重要**  
您可以使用 Reachability Analyzer 主控台或 Organizations 主控台來啟用受信任存取。但是，我們強烈建議您使用 Reachability Analyzer 主控台或 `EnableMultiAccountAnalysisForAwsOrganization` API 來啟用與 Organizations 的整合。這可讓 Reachability Analyzer 執行其需要的任何組態，例如建立服務所需的資源。
授予受信任存取會在管理帳戶中和組織內所有成員帳戶中建立服務連結角色 ` AWSServiceRoleForReachabilityAnalyzer`。Reachability Analyzer 使用服務連結角色來允許管理，委派管理員則可以在組織中的任何資源之間執行連線分析。Reachability Analyzer 可拍攝組織中帳戶的網路元素快照，以回答連線查詢。
如需詳細資訊，以及有關透過 Reachability Analyzer 啟用受信任存取的指示，請參閱 *Reachability Analyzer user guide* (《Reachability Analyzer 使用者指南》)中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在**[服務](https://console.aws.amazon.com/organizations/v2/home/services)**頁面上，尋找 **VPC Reachability Analyzer** 列，選擇服務的名稱，然後選擇**啟用受信任存取**。

1. 在確認對話方塊中，啟用**顯示啟用受信任存取選項**，在方塊中輸入 **enable**，然後選擇**啟用受信任的存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Reachability Analyzer 的管理員，他們現在可以使用其主控台啟用該服務 AWS Organizations。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  您可以執行下列命令來啟用 Reachability Analyzer，作為受信任服務搭配使用 Organizations。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal reachabilityanalyzer.networkinsights.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 停用 Reachability Analyzer 的受信任存取
<a name="integrate-disable-ta-ra"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您可以使用 Reachability Analyzer 主控台 (建議) 或 Organizations 主控台來停用受信任存取。若要使用 Reachability Analyzer 主控台停用受信任存取，請參閱 *Reachability Analyzer user guide* (《Reachability Analyzer 使用者指南》) 中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。

## 啟用 Reachability Analyzer 的委派管理員帳戶
<a name="integrate-enable-da-ra"></a>

委派管理員帳戶可以在組織中跨任何資源執行連線分析。如需詳細資訊，請參閱《Reachability Analyzer 使用者指南》**中的[整合 Reachability Analyzer 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

只有組織管理帳戶中的管理員可以設定 Reachability Analyzer 的委派管理員。

您可以從 Reachability Analyzer 主控台或使用 `RegisterDelegatedAdministrator` API 指定委派管理員帳戶。如需詳細資訊，請參閱 *Organizations Command Reference* (Organizations 命令參考) 中的 [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Reachability Analyze 的委派管理員

若要使用 Reachability Analyzer 主控台設定委派管理員，請參閱《Reachability Analyzer 使用者指南》**中的[整合 Reachability Analyzer 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

## 停用 Reachability Analyzer 的委派管理員
<a name="integrate-disable-da-ra"></a>

只有組織管理帳戶中的管理員可以設定 Reachability Analyzer 的委派管理員。

您可以使用 Reachability Analyzer 主控台或 API，或透過使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，移除委派管理員。

 若要使用 Reachability Analyzer 主控台停用委派的管理員 Reachability Analyzer 帳戶，請參閱 *Reachability Analyzer user guide* (《Reachability Analyzer 使用者指南》)中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。