建立主要和連結帳戶原則

您必須為主要 Amazon Web Services (AWS) 帳戶建立主要帳戶原則，並為所有連結的 AWS 帳戶建立連結帳戶原則。您可以使用這些原則來管理 AWS 中的存取。

您可以將 AWS 原則附加到 IAM 身分識別，例如使用者或角色。如需詳細資訊，請參閱〈原則和權限〉。

程序

在 AWS 主控台中，移至 IAM > 原則 > 建立原則。
在建立原則頁面中，按一下 JSON 索引標籤。

在 JSON 文字方塊中，輸入原則。

選項	敘述
新增主要帳戶原則備註：您必須在主要 AWS 帳戶中新增主要帳戶原則。	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe" ], "Resource": "" }, { "Action": [ "logs:Describe", "logs:Get", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "" }, { "Effect": "Allow", "Action": [ "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "<Role ARNs>" } ] }
新增連結帳戶備註：您必須在主要 AWS 帳戶中新增的所有連結帳戶中新增連結帳戶原則。	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe" ], "Resource": "" }, { "Action": [ "logs:Describe", "logs:Get", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "" } ] }

選項

敘述

新增主要帳戶原則

備註：您必須在主要 AWS 帳戶中新增主要帳戶原則。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "<Role ARNs>"
        }
    ]
}

新增連結帳戶

備註：您必須在主要 AWS 帳戶中新增的所有連結帳戶中新增連結帳戶原則。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

按一下檢閱原則。
在檢閱原則區段下，輸入原則名稱並按一下建立原則。

後續步驟

逐一登入所有連結帳戶，並新增一個角色以信任您要新增至 vRealize Network Insight 的主要 AWS 帳戶，並附加連結帳戶原則。若要建立角色並附加已連結帳戶原則，請參閱在 AWS 中建立角色。

備註：如果在所有連結帳戶中建立的角色已包含標準原則權限並信任主要帳戶，請略過此步驟。