Vous devez créer une stratégie de compte principal pour le compte AWS (Amazon Web Services) principal et une stratégie de compte lié pour tous les comptes AWS liés. Vous pouvez utiliser ces stratégies pour gérer l'accès dans AWS.

Vous pouvez attacher la stratégie AWS à une identité IAM (utilisateurs ou rôles, par exemple). Pour plus d'informations, reportez-vous à la page Stratégies et autorisations.

Procédure

  1. Dans la console AWS, accédez à IAM > Stratégies > Créer une stratégie.
  2. Sur la page Créer une stratégie, cliquez sur l'onglet JSON.
  3. Dans la zone de texte JSON, entrez une stratégie.
    Option Description
    Ajouter une stratégie de compte principal
    Note : Vous devez ajouter la stratégie de compte principal dans le compte AWS principal.
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "iam:ListAccountAliases"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:Describe*"
                ],
                "Resource": "*"
            },
            {
                "Action": [
                    "logs:Describe*",
                    "logs:Get*",
                    "logs:TestMetricFilter",
                    "logs:FilterLogEvents"
                ],
                "Effect": "Allow",
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "organizations:ListAccounts"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "sts:AssumeRole",
                "Resource": "<Role ARNs>"
            }
        ]
    }
    Ajouter un compte lié
    Note : Vous devez ajouter la stratégie de compte lié dans tous les comptes liés qui sont ajoutés au compte AWS principal.
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "iam:ListAccountAliases"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:Describe*"
                ],
                "Resource": "*"
            },
            {
                "Action": [
                    "logs:Describe*",
                    "logs:Get*",
                    "logs:TestMetricFilter",
                    "logs:FilterLogEvents"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  4. Cliquez sur Consulter la stratégie.
  5. Dans la section Consulter la stratégie, entrez un nom de stratégie et cliquez sur Créer une stratégie.

Que faire ensuite

Connectez-vous à chacun des comptes liés, un par un, ajoutez-y un rôle pour approuver le compte AWS principal que vous souhaitez ajouter à vRealize Network Insight, puis attachez la stratégie de compte lié. Pour créer un rôle et attacher la stratégie de compte lié, reportez-vous à la section Créer un rôle dans AWS.
Note : Si un rôle créé dans tous les comptes liés inclut déjà les autorisations de stratégie standard et approuve le compte principal, ignorez cette étape.