Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Benennen eines delegierten Administratorkontos für Amazon Inspector
Der delegierte Administrator ist ein Konto, das einen Dienst für eine Organisation verwaltet. In diesem Thema wird beschrieben, wie Sie einen delegierten Administrator für Amazon Inspector bestimmen.
## Überlegungen
Bevor Sie einen delegierten Administrator benennen, beachten Sie Folgendes:
**Der delegierte Administrator kann maximal 10.000 Mitglieder verwalten.**
Wenn Sie mehr als 10.000 Mitgliedskonten haben, erhalten Sie eine Benachrichtigung über das Amazon CloudWatch Personal Health Dashboard und eine E-Mail an das delegierte Administratorkonto.
Wenn Amazon Inspector durch AWS Organizations Richtlinien für Organisationen mit mehr als 10.000 Konten (bis zu 50.000) aktiviert wird, gilt die Richtlinie für alle Konten. Es werden jedoch nur 10.000 Konten mit der Amazon Inspector Inspector-Organisation verknüpft. Das heißt, der delegierte Administrator kann die Ergebnisse und den Kontostatus nur für diese 10.000 Konten in der Amazon Inspector Inspector-Konsole einsehen.
**Der delegierte Administrator ist Regional.**
Amazon Inspector ist ein regionaler Service. Sie müssen die Schritte des Verfahrens überall wiederholen, AWS-Region wo Sie Amazon Inspector verwenden möchten.
**Eine Organisation kann nur einen delegierten Administrator haben.**
Wenn Sie in einem Konto ein Konto als delegierten Administrator festlegen AWS-Region, muss dieses Konto in allen anderen Konten der delegierte Administrator sein. AWS-Regionen
**Durch das Ändern eines delegierten Administrators wird Amazon Inspector für Mitgliedskonten nicht deaktiviert.**
Wenn Sie einen delegierten Administrator entfernen, werden Mitgliedskonten zu eigenständigen Konten, und die Scaneinstellungen sind davon nicht betroffen.
**In Ihrem AWS Unternehmen müssen alle Funktionen aktiviert sein.**
Dies ist die Standardeinstellung für AWS Organizations. Falls sie nicht aktiviert ist, finden Sie weitere Informationen unter [Alle Funktionen in Ihrer Organisation aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
**Unternehmensrichtlinien haben Vorrang vor delegierten Administratoreinstellungen.**
Wenn Ihre Organisation AWS Organizations Richtlinien verwendet, um Amazon Inspector zu aktivieren, bestimmen die Richtlinieneinstellungen, welche Scantypen aktiviert sind. Wir empfehlen, vor der Erstellung von Unternehmensrichtlinien den delegierten Administrator zu benennen, um eine konsistente Verwaltung zu gewährleisten. Weitere Informationen finden Sie unter [Modell zur Steuerung der Unternehmensrichtlinien](admin-member-relationship.md#org-policy-overview).
## Erforderliche Berechtigungen zum designieren eines delegierten Administrators
Sie benötigen die Erlaubnis, Amazon Inspector zu aktivieren und einen delegierten Amazon Inspector-Administrator zu benennen. Fügen Sie am Ende Ihrer IAM-Richtlinie die folgende Erklärung hinzu, um diese Berechtigungen zu gewähren. Weitere Informationen finden Sie unter [Verwaltung von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html).
```
{
"Sid": "PermissionsForInspectorAdmin",
"Effect": "Allow",
"Action": [
"inspector2:EnableDelegatedAdminAccount",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
```
## Benennen eines delegierten Administrators für Ihre Organisation AWS
Im folgenden Verfahren wird beschrieben, wie Sie einen delegierten Administrator für Ihre Organisation bestimmen. Bevor Sie das Verfahren abschließen, stellen Sie sicher, dass Sie sich in derselben Organisation befinden wie die Mitgliedskonten, die der delegierte Administrator verwalten soll.
**Anmerkung**
Sie müssen das AWS Organizations Verwaltungskonto verwenden, um dieses Verfahren abzuschließen. Nur das AWS Organizations Verwaltungskonto kann einen delegierten Administrator benennen. Für die Benennung eines delegierten Administrators sind möglicherweise Berechtigungen erforderlich. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen zum designieren eines delegierten Administrators](#delegated-admin-permissions).
Wenn Sie Amazon Inspector zum ersten Mal aktivieren, erstellt Amazon Inspector die serviceverknüpfte Rolle `AWSServiceRoleForAmazonInspector` für das Konto. Informationen darüber, wie Amazon Inspector serviceverknüpfte Rollen verwendet, finden Sie unter[Verwenden von serviceverknüpften Rollen für Amazon Inspector](using-service-linked-roles.md).
------
#### [ Console ]
**So benennen Sie einen delegierten Administrator für Amazon Inspector**
1. Melden Sie sich beim AWS Organizations Verwaltungskonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. Verwenden Sie den AWS-Region Selektor, um anzugeben, AWS-Region wo Sie den delegierten Administrator benennen möchten.
1. **Wählen Sie im Navigationsbereich Allgemeine Einstellungen aus.**
1. Geben Sie unter **Delegierter Administrator** die 12-stellige ID des Administrators ein, den AWS-Konto Sie als delegierten Administrator festlegen möchten.
1. **Wählen Sie **Delegieren und dann** erneut Delegieren aus.**
Wenn Sie einen delegierten Administrator benennen, sind standardmäßig [alle Scantypen](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html) für das Konto aktiviert. Wenn Sie Amazon Inspector für das AWS Organizations Verwaltungskonto aktivieren möchten, gehen Sie wie folgt vor.
**Um Amazon Inspector für das AWS Organizations Verwaltungskonto zu aktivieren**
1. Melden Sie sich mit dem delegierten Administratorkonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. **Wählen Sie im Navigationsbereich die Option Kontoverwaltung aus.**
1. Wählen Sie unter **Konten** das AWS Organizations Verwaltungskonto aus und wählen Sie dann **Aktivieren** aus.
1. Wählen Sie aus, welche Scantypen Sie für das AWS Organizations Verwaltungskonto aktivieren möchten, und klicken Sie dann auf **Senden**.
------
#### [ API ]
**Benennen Sie einen delegierten Administrator, der die API verwendet**
+ Führen Sie den [EnableDelegatedAdminAccount](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html)API-Vorgang mit den Anmeldeinformationen AWS-Konto des Verwaltungskontos der Organizations. Sie können dazu auch den verwenden AWS Command Line Interface , indem Sie den folgenden CLI-Befehl ausführen:`aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111`.
**Anmerkung**
Stellen Sie sicher, dass Sie die Konto-ID des Kontos angeben, das Sie zu einem von Amazon Inspector delegierten Administrator machen möchten.
------
# Die Aktivierung von Amazon Inspector scannt nach Mitgliedskonten
Sie können Amazon Inspector für Mitgliedskonten in Ihrer Organisation auf verschiedene Arten aktivieren. Welche Methode Sie wählen, hängt von Ihren Governance-Anforderungen und Ihrer Organisationsstruktur ab.
**AWS Organizations Richtlinien (empfohlen für zentralisierte Verwaltung)**
Verwenden Sie AWS Organizations Richtlinien, um Amazon Inspector mit zentraler Steuerung automatisch unternehmensweit zu aktivieren. Dieser Ansatz gewährleistet eine konsistente Scanabdeckung und gilt automatisch für neue Konten. Eine ausführliche Anleitung finden Sie in der AWS Organizations Dokumentation zur Erstellung von Amazon Inspector Inspector-Richtlinien.
**Delegierte Administratoraktivierung**
Als delegierter Administrator können Sie Amazon Inspector manuell für bestimmte Mitgliedskonten oder alle Mitgliedskonten über die Amazon Inspector Inspector-Konsole oder API aktivieren. Dieser Ansatz bietet Flexibilität, wenn Unternehmensrichtlinien nicht verwendet werden.
**Selbstaktivierung des Mitgliedskontos**
Mitgliedskonten können Amazon Inspector für ihr eigenes Konto aktivieren, sofern dies nicht durch Unternehmensrichtlinien eingeschränkt ist. Nach der Aktivierung wird das Konto dem delegierten Administrator zugeordnet.
## Aktivieren Sie das Scannen nach Mitgliedskonten
In den folgenden Verfahren wird beschrieben, wie das Scannen nach Mitgliedskonten mithilfe der delegierten Administrator- und Mitgliedskontenmethoden aktiviert wird. Informationen zu den Scantypen von Amazon Inspector finden Sie unter[Automatisierte Scantypen in Amazon Inspector](scanning-resources.md).
**Um das Scannen automatisch für alle Mitgliedskonten zu aktivieren**
1. Melden Sie sich mit den Anmeldeinformationen für das delegierte Administratorkonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. Verwenden Sie die Regionsauswahl, um auszuwählen, AWS-Region wo Sie das Scannen für alle Mitgliedskonten aktivieren möchten.
1. Wählen Sie im Navigationsbereich die Option **Kontoverwaltung** aus. Auf der Registerkarte **Konten** werden alle Mitgliedskonten angezeigt, die dem AWS Organizations Verwaltungskonto zugeordnet sind.
1. Wählen Sie unter **Organisation** das Kästchen neben **Kontonummer** aus. Wählen Sie dann **Aktivieren** aus, um auszuwählen, welche Scanoptionen Sie auf Mitgliedskonten anwenden möchten. Sie können die folgenden Scanarten auswählen:
+ Amazon EC2-Scannen
+ Amazon ECR-Scannen
+ Lambda-Standardscannen
+ Scannen von Lambda-Code
1. Nachdem Sie Ihre bevorzugten Scantypen ausgewählt haben, wählen Sie **Speichern**.
**Anmerkung**
Wenn Sie mehrere Seiten mit Konten haben, müssen Sie diesen Schritt auf jeder Seite wiederholen. Sie können das Zahnradsymbol wählen, um die Anzahl der auf jeder Seite angezeigten Konten zu ändern.
1. **Aktivieren Sie die Einstellung Inspector automatisch für neue Mitgliedskonten** aktivieren und wählen Sie aus, welche Scanoptionen Sie auf neue Mitgliedskonten anwenden möchten, die zu Ihrer Organisation hinzugefügt wurden. Sie können die folgenden Scanarten auswählen:
+ Amazon EC2-Scannen
+ Amazon ECR-Scannen
+ Lambda-Standardscannen
+ Scannen von Lambda-Code
1. Nachdem Sie Ihre bevorzugten Scantypen ausgewählt haben, wählen Sie **Aktivieren**.
**Anmerkung**
Die Einstellung **Inspector automatisch für neue Mitgliedskonten aktivieren** aktiviert Amazon Inspector für alle future Mitglieder Ihrer Organisation.
Wenn die Anzahl der Mitgliedskonten mehr als 5.000 beträgt, wird diese Einstellung automatisch deaktiviert. Wenn die Gesamtzahl der Mitgliedskonten auf weniger als 5.000 sinkt, wird die Einstellung automatisch wieder aktiviert.
1. (Empfohlen) Wiederholen Sie jeden dieser Schritte an allen Stellen AWS-Region , an denen Sie die Suche nach Mitgliedskonten aktivieren möchten.
**Um das Scannen für bestimmte Mitgliedskonten zu aktivieren**
1. Melden Sie sich mit den Anmeldeinformationen für das delegierte Administratorkonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. Verwenden Sie die Regionsauswahl, um auszuwählen, AWS-Region wo Sie das Scannen für alle Mitgliedskonten aktivieren möchten.
1. Wählen Sie im Navigationsbereich die Option **Kontoverwaltung** aus. Auf der Registerkarte **Konten** werden alle Mitgliedskonten angezeigt, die dem AWS Organizations Verwaltungskonto zugeordnet sind.
1. Wählen Sie unter **Organisation** das Kästchen neben jeder Mitgliedskontonummer aus, für die Sie die Suche aktivieren möchten. Wählen Sie dann **Aktivieren** aus, um auszuwählen, welche Scanoptionen Sie auf Mitgliedskonten anwenden möchten. Sie können die folgenden Scanarten auswählen:
+ Amazon EC2-Scannen
+ Amazon ECR-Scannen
+ Lambda-Standardscannen
+ Scannen von Lambda-Code
1. Nachdem Sie Ihre bevorzugten Scantypen ausgewählt haben, wählen Sie **Speichern**.
**Anmerkung**
Wenn Sie mehrere Seiten mit Konten haben, müssen Sie diesen Schritt auf jeder Seite wiederholen. Sie können das Zahnradsymbol wählen, um die Anzahl der auf jeder Seite angezeigten Konten zu ändern.
1. (Empfohlen) Wiederholen Sie jeden dieser Schritte in allen Bereichen AWS-Region , in denen Sie das Scannen für bestimmte Mitglieder aktivieren möchten.
**Um das Scannen als Mitgliedskonto zu aktivieren**
1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. Verwenden Sie die Regionsauswahl, um den Ort auszuwählen, AWS-Region an dem Sie das Scannen für alle Mitgliedskonten aktivieren möchten.
1. Wählen Sie im Navigationsbereich die Option **Kontoverwaltung** aus. Auf der Registerkarte **Konten** werden alle Mitgliedskonten angezeigt, die dem AWS Organizations Verwaltungskonto zugeordnet sind.
1. Wählen Sie unter **Organisation** das Kästchen neben Ihrer Kontonummer aus. Wählen Sie dann **Aktivieren**, um auszuwählen, welche Scanoptionen Sie anwenden möchten. Sie können die folgenden Scantypen auswählen:
+ Amazon EC2-Scannen
+ Amazon ECR-Scannen
+ Lambda-Standardscannen
+ Scannen von Lambda-Code
1. Nachdem Sie Ihre bevorzugten Scantypen ausgewählt haben, wählen Sie **Speichern**.
1. (Empfohlen) Wiederholen Sie diese Schritte in jeder Region, in der Sie das Scannen für Ihr Mitgliedskonto aktivieren möchten.
**Anmerkung**
Wenn Ihr AWS Organizations Verwaltungskonto über ein delegiertes Administratorkonto für Amazon Inspector verfügt, können Sie Ihr Konto als Mitgliedskonto aktivieren, um die Scandetails einzusehen.
**Wichtig**
Wenn Organisationsrichtlinien die Aktivierung von Amazon Inspector für Ihre Konten verwalten, können die delegierten Administrator- und Mitgliedskonten die richtlinienverwalteten Scantypen nicht mit Amazon Inspector ändern. enablement/disablement APIs API-Anfragen schlagen fehl und es wird ein Fehler angezeigt, der darauf hinweist, dass die Ressource gemäß den Unternehmensrichtlinien verwaltet wird. Sie können weiterhin zusätzliche Scantypen aktivieren, die nicht von der Richtlinie verwaltet werden.
# Verknüpfung von Mitgliedskonten in Amazon Inspector aufheben
Als delegierter Administrator müssen Sie möglicherweise ein Mitgliedskonto von Ihrem Konto trennen. Wenn Sie die Verknüpfung mit einem Mitgliedskonto aufheben, ist Amazon Inspector weiterhin für das Konto aktiviert und das Konto wird zu einem eigenständigen Konto. Sie sind auch nicht mehr berechtigt, Amazon Inspector für das Konto zu verwalten. Sie können Ihrem Konto jedoch jederzeit zuvor getrennte Mitgliedskonten zuordnen. In diesem Abschnitt wird beschrieben, wie Sie als delegierter Administrator die Zuordnung von Mitgliedskonten aufheben können.
**Anmerkung**
Um die Zuordnung richtlinienverwalteter Konten zu trennen, sollte diesem Konto für den Scantyp keine Amazon Inspector Inspector-Organisationsrichtlinie zugeordnet sein.
------
#### [ Console ]
**So trennen Sie die Zuordnung von Mitgliedskonten mithilfe der Konsole**
1. [Melden Sie sich mit den Anmeldeinformationen für das delegierte Administratorkonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter v2/home https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Verwenden Sie die Regionsauswahl, um das Land auszuwählen, für das Sie die Zuordnung von AWS-Region Mitgliedskonten aufheben möchten.
1. Wählen Sie im Navigationsbereich die Option **Kontoverwaltung** aus.
1. Wählen Sie unter **Organisation** das Kästchen neben jeder Kontonummer aus, deren Zuordnung Sie aufheben möchten.
1. Wählen Sie im Menü **Aktionen** die Option Konto **trennen aus.**
------
#### [ API ]
**So trennen Sie die Zuordnung von Mitgliedskonten mithilfe der API**
Führen Sie den [DisassociateMember](https://docs.aws.amazon.com/inspector/v2/APIReference/API_DisassociateMember.html)API-Vorgang aus. Geben Sie in der Anfrage das Konto an, dessen Verknüpfung IDs Sie aufheben möchten.
------
# Den delegierten Administrator in Amazon Inspector entfernen
Möglicherweise müssen Sie das delegierte Administratorkonto von Amazon Inspector entfernen. Sie können dies über das AWS Organizations Verwaltungskonto tun. Wenn Sie das delegierte Administratorkonto von Amazon Inspector entfernen, ist Amazon Inspector weiterhin für das Konto und alle Mitgliedskonten aktiviert. Das delegierte Administratorkonto und alle zugehörigen Mitgliedskonten werden zu eigenständigen Konten und behalten ihre ursprünglichen Scaneinstellungen bei.
**Anmerkung**
Wenn AWS Organizations Richtlinien die Aktivierung von Amazon Inspector verwalten, hat das Entfernen des delegierten Administrators keine Auswirkungen auf die Durchsetzung der Richtlinien. Die Konten bleiben gemäß den Richtlinieneinstellungen der Organisation aktiviert, obwohl die Ergebnisse der Mitgliedskonten nicht mehr in einer zentralen Konsole für delegierte Administratoren sichtbar sind, bis ein neuer delegierter Administrator benannt wurde.
In diesem Abschnitt wird beschrieben, wie das delegierte Administratorkonto entfernt wird.
## Den delegierten Amazon Inspector-Administrator entfernen
Die folgenden Verfahren beschreiben, wie Sie den delegierten Amazon Inspector-Administrator entfernen und Mitgliedskonten mit dem delegierten Administratorkonto verknüpfen.
Informationen zum Zuweisen eines delegierten Amazon Inspector-Administrators finden Sie unter [Benennen eines](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html) delegierten Administratorkontos für Amazon Inspector.
**Anmerkung**
Nachdem Sie einen delegierten Amazon Inspector-Administrator zugewiesen haben, muss der delegierte Amazon Inspector-Administrator die Mitgliedskonten manuell zuordnen.
**Um den delegierten Administrator zu entfernen**
1. Melden Sie sich AWS-Managementkonsole mit dem AWS Organizations Verwaltungskonto an.
1. Öffnen Sie die Amazon Inspector Inspector-Konsole unter [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. Verwenden Sie die Regionsauswahl, um den Ort auszuwählen, aus AWS-Region dem Sie den delegierten Administrator entfernen möchten.
1. Wählen Sie im Navigationsbereich **Allgemeine** Einstellungen aus.
1. Wählen Sie unter **Delegierter Administrator** die Option **Entfernen** aus, und bestätigen Sie dann Ihre Aktion.
**Um Mitglieder einem neuen delegierten Administrator zuzuordnen**
1. Melden Sie sich mit den Anmeldeinformationen für das delegierte Administratorkonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home).
1. Verwenden Sie die Regionsauswahl, um auszuwählen, AWS-Region wo Sie Mitglieder zuordnen möchten.
1. Wählen Sie im Navigationsbereich die Option **Kontoverwaltung** aus.
1. Wählen Sie unter **Organisation** das Kästchen neben **Kontonummer** aus.
1. Wählen Sie **Aktionen** und dann **Mitglied hinzufügen** aus.