Designación de una cuenta de administrador delegado para Amazon Inspector - Amazon Inspector
ConsideracionesPermisos necesarios para designar un administrador delegadoDesignación de un administrador delegado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Designación de una cuenta de administrador delegado para Amazon Inspector

El administrador delegado es una cuenta que administra un servicio para una organización. En este tema se describe cómo designar a un administrador delegado para Amazon Inspector.

Consideraciones

Antes de designar a un administrador delegado, tenga en cuenta lo siguiente:

El administrador delegado puede administrar un máximo de 10 000 miembros.

Si superas las 10 000 cuentas de miembro, recibirás una notificación a través del Amazon CloudWatch Personal Health Dashboard y un correo electrónico a la cuenta del administrador delegado.

nota

Cuando Amazon Inspector se habilita mediante AWS Organizations políticas para organizaciones con más de 10 000 cuentas (hasta 50 000), la política se aplica a todas las cuentas. Sin embargo, solo se asociarán 10 000 cuentas a la organización de Amazon Inspector, es decir, el administrador delegado solo podrá ver los resultados y el estado de las cuentas de estas 10 000 cuentas en la consola de Amazon Inspector.

Un administrador delegado es regional.

Amazon Inspector es un servicio regional. Debe repetir los pasos del procedimiento en todos los Región de AWS lugares en los que vaya a utilizar Amazon Inspector.

Una organización solo puede tener un administrador delegado.

Si designa una cuenta como administradora delegada en una Región de AWS, esa cuenta debe ser la administradora delegada en todas las demás. Regiones de AWS

Cambiar de administrador delegado no desactivará Amazon Inspector para las cuentas de miembros.

Si elimina un administrador delegado, las cuentas de miembro pasan a ser cuentas independientes y la configuración de análisis no se ve afectada.

Su AWS organización debe tener todas las funciones activadas.

Esta es la configuración predeterminada de AWS Organizations. Si no está activada, consulte Activación de todas las características en la organización.

Las políticas de la organización tienen prioridad sobre la configuración de administrador delegado.

Si su organización usa AWS Organizations políticas para habilitar Amazon Inspector, la configuración de la política determina qué tipos de escaneo están habilitados. Recomendamos designar al administrador delegado antes de crear las políticas de la organización para garantizar una gobernanza coherente. Para obtener más información, consulte Modelo de gobierno de la política de la organización.

Permisos necesarios para designar un administrador delegado

Debe tener permiso para activar Amazon Inspector y designar un administrador delegado de Amazon Inspector. Agregue la siguiente instrucción al final de la política de IAM para conceder estos permisos. Para obtener más información, consulte Administración de políticas de IAM. 


{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

Designar un administrador delegado para su organización AWS

En el siguiente procedimiento, se describe cómo designar a un administrador delegado para la organización. Antes de completar el procedimiento, asegúrese de estar en la misma organización que las cuentas de miembros que desea que administre el administrador delegado.

nota

Debe usar la cuenta de AWS Organizations administración para completar este procedimiento. Solo la cuenta AWS Organizations de administración puede designar un administrador delegado. Es posible que se necesiten permisos para designar un administrador delegado. Para obtener más información, consulte Permisos necesarios para designar un administrador delegado.

Al activar Amazon Inspector por primera vez, Amazon Inspector crea el rol vinculado al servicio AWSServiceRoleForAmazonInspector para la cuenta. Para obtener información sobre cómo utiliza Amazon Inspector los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para Amazon Inspector.

Console
Designación de un administrador delegado para Amazon Inspector

  1. Inicia sesión en la cuenta AWS Organizations de administración y, a continuación, abre la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

  2. Utilice el Región de AWS selector para especificar Región de AWS dónde desea designar al administrador delegado.

  3. Del panel de navegación, elija Configuración general.

  4. En Administrador delegado, introduzca el identificador de 12 dígitos del Cuenta de AWS que desee designar como administrador delegado.

  5. Elija Delegado y, a continuación, vuelva a elegir Delegado.

Al designar un administrador delegado, todos los tipos de análisis se activan de forma predeterminada para la cuenta. Si desea activar Amazon Inspector para la cuenta AWS Organizations de administración, complete el siguiente procedimiento.

Para activar Amazon Inspector para la cuenta AWS Organizations de administración

  1. Inicie sesión en la cuenta de administrador delegado y, a continuación, abra la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

  2. Del panel de navegación, elija Administración de cuentas.

  3. En Cuentas, selecciona la cuenta de AWS Organizations administración y, a continuación, selecciona Activar.

  4. Seleccione los tipos de digitalización que desee activar para la cuenta AWS Organizations de administración y, a continuación, seleccione Enviar.

API
Designación de un administrador delegado con la API

  • Ejecute la operación de la EnableDelegatedAdminAccountAPI con las credenciales de la cuenta Cuenta de AWS de administración de Organizations. También puede usar el AWS Command Line Interface para hacer esto ejecutando el siguiente comando CLI:aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111.

    nota

    Debe especificar el ID de la cuenta que desea convertir en administrador delegado de Amazon Inspector.