本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 資源總管 而且 AWS Organizations
<a name="services-that-can-integrate-resource-explorer"></a>

AWS 資源總管 是一項資源搜尋和探索服務。憑藉 Resource Explorer，您可以在類似網際網路搜尋引擎的體驗中探索您的資源，例如 Amazon Elastic Compute Cloud 執行個體、Amazon Kinesis Data Streams 或 Amazon DynamoDB 資料表。您可以使用名稱、標籤和 ID 等資源中繼資料來搜尋資源。Resource Explorer 可跨您帳戶中 AWS 的區域運作，以簡化您的跨區域工作負載。

當您將 Resource Explorer 與 整合時 AWS Organizations，您可以在評估範圍內包含 AWS 帳戶 來自組織的多個 ，以從更廣泛的來源收集證據。

使用下列資訊來協助您 AWS 資源總管 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-resource-explorer"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Resource Explorer 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Resource Explorer 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。

如需有關 Resource Explorer 如何使用此角色的詳細資訊，請參閱《AWS 資源總管 使用者指南》**中的[使用服務連結角色](https://docs.aws.amazon.com/resource-explorer/latest/userguide/security_iam_service-linked-roles.html)。
+ `AWSServiceRoleForResourceExplorer`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-resource-explorer"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Resource Explorer 使用的服務連結角色會將存取權授予下列服務主體：
+ `resource-explorer-2.amazonaws.com`

## 使用 啟用受信任存取 AWS 資源總管
<a name="integrate-enable-ta-resource-explorer"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

Resource Explorer 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的委派管理員。

 您可以使用 Resource Explorer 主控台或 Organizations 主控台來啟用受信任存取。我們強烈建議您盡可能使用 Resource Explorer 主控台或工具來啟用與 Organizations 整合。這可讓 AWS 資源總管 執行其所需的任何組態，例如建立服務所需的資源。

**若要使用 Resource Explorer 主控台來啟用受信任存取**  
如需有關啟用受信任存取的說明，請參閱《AWS 資源總管 使用者指南》**中的[使用 Resource Explorer 的先決條件](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html)。

**注意**  
如果您使用 AWS 資源總管 主控台設定委派管理員，則 AWS 資源總管 會自動為您啟用受信任的存取。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS 資源總管 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 若要停用 Resource Explorer 的受信任存取
<a name="integrate-disable-ta-resource-explorer"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS 資源總管。

您可以使用 AWS 資源總管 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS 資源總管 主控台或工具來停用與 Organizations 的整合。這可讓 AWS 資源總管 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS 資源總管提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS 資源總管 主控台或工具停用受信任存取，則不需要完成這些步驟。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS 資源總管 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Resource Explorer 的委派管理員帳戶
<a name="integrate-enable-da-resource-explorer"></a>

使用您的委派管理員帳戶建立多帳戶資源檢視畫面，然後將範圍調整為組織單位或您的整個組織。您可以透過 AWS Resource Access Manager 建立資源共用，與組織中的任何帳戶共用多帳戶檢視。

**最低許可**  
只有具有下列許可之 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Resource Explorer 的委派管理員：  
`resource-explorer:RegisterAccount`

如需有關啟用 Resource Explorer 委派管理員帳戶的說明，請參閱《AWS 資源總管 使用者指南》**中的[設定](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html)。

如果您使用 AWS 資源總管 主控台設定委派管理員，Resource Explorer 會自動為您啟用受信任的存取。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal resource-explorer-2.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務識別`resource-explorer-2.amazonaws.com`為參數。

------

## 停用 Resource Explorer 的委派管理員
<a name="integrate-disable-da-resource-explorer"></a>

 只有 Organizations 管理帳戶或 Resource Explorer 委派管理員帳戶中的管理員可以移除 Resource Explorer 的委派管理員。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作停用受信任存取。