创建主帐户策略和链接帐户策略

您必须为主 Amazon Web Services (AWS) 帐户创建主帐户策略，并为所有链接 AWS 帐户创建链接帐户策略。您可以在 AWS 中使用这些策略管理访问权限。

您可以将 AWS 策略附加到 IAM 身份，例如“用户”或“角色”。有关详细信息，请参见策略和权限。

过程

在 AWS 控制台中，转到 IAM > 策略 > 创建策略。
在创建策略页面中，单击 JSON 选项卡。

在 JSON 文本框中，输入策略

选项	描述
添加主帐户策略注：您必须在主 AWS 帐户中添加主帐户策略。	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe" ], "Resource": "" }, { "Action": [ "logs:Describe", "logs:Get", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "" }, { "Effect": "Allow", "Action": [ "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "<Role ARNs>" } ] }
添加链接帐户注：您必须在主 AWS 帐户中添加的所有链接帐户中添加链接帐户策略。	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe" ], "Resource": "" }, { "Action": [ "logs:Describe", "logs:Get", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "" } ] }

选项

描述

添加主帐户策略

注：您必须在主 AWS 帐户中添加主帐户策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "<Role ARNs>"
        }
    ]
}

添加链接帐户

注：您必须在主 AWS 帐户中添加的所有链接帐户中添加链接帐户策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

单击查看策略。
在查看策略部分中，输入策略名称，然后单击创建策略。

下一步做什么

依次登录所有链接帐户，并添加角色以信任要添加到 vRealize Network Insight 的主 AWS 帐户，然后连接链接帐户策略。要创建角色并附加链接帐户策略，请参见在 AWS 中创建角色。

注：如果在所有链接帐户中创建的角色已包含标准策略权限并信任主帐户，则跳过此步骤。