Designazione di un account amministratore delegato per Amazon Inspector - Amazon Inspector
ConsiderazioniAutorizzazioni necessarie per designare un amministratore delegatoDesignazione di un amministratore delegato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Designazione di un account amministratore delegato per Amazon Inspector

L'amministratore delegato è un account che gestisce un servizio per un'organizzazione. Questo argomento descrive come designare un amministratore delegato per Amazon Inspector.

Considerazioni

Prima di designare un amministratore delegato, tieni presente quanto segue:

L'amministratore delegato può gestire un massimo di 10.000 membri.

Se superi i 10.000 account membri, ricevi una notifica tramite Amazon CloudWatch Personal Health Dashboard e un'e-mail all'account amministratore delegato.

Nota

Quando Amazon Inspector è abilitato tramite AWS Organizations politiche per organizzazioni con più di 10.000 account (fino a 50.000), la politica si applica a tutti gli account. Tuttavia, solo 10.000 account saranno associati all'organizzazione Amazon Inspector, ovvero l'amministratore delegato può visualizzare i risultati e lo stato dell'account solo per questi 10.000 account nella console Amazon Inspector.

L'amministratore delegato è regionale.

Amazon Inspector è un servizio regionale. È necessario ripetere i passaggi della procedura in ogni Regione AWS luogo in cui si prevede di utilizzare Amazon Inspector.

Un'organizzazione può avere un solo amministratore delegato.

Se si designa un account come amministratore delegato in uno Regione AWS, tale account deve essere l'amministratore delegato di tutti gli altri. Regioni AWS

La modifica di un amministratore delegato non disattiva Amazon Inspector per gli account dei membri.

Se rimuovi un amministratore delegato, gli account dei membri diventano account autonomi e le impostazioni di scansione non vengono modificate.

La tua AWS organizzazione deve avere tutte le funzionalità attivate.

Questa è l'impostazione predefinita per AWS Organizations. Se non è attivata, vedi Attivazione di tutte le funzionalità nell'organizzazione.

Le politiche dell'organizzazione hanno la precedenza sulle impostazioni degli amministratori delegati.

Se la tua organizzazione utilizza AWS Organizations policy per abilitare Amazon Inspector, le impostazioni delle policy determinano quali tipi di scansione sono abilitati. Ti consigliamo di designare l'amministratore delegato prima di creare politiche organizzative per garantire una governance coerente. Per ulteriori informazioni, consulta Modello di governance delle politiche organizzative.

Autorizzazioni necessarie per designare un amministratore delegato

È necessario disporre dell'autorizzazione per attivare Amazon Inspector e designare un amministratore delegato di Amazon Inspector. Aggiungi la seguente dichiarazione alla fine della tua policy IAM per concedere queste autorizzazioni. Per ulteriori informazioni, consulta Gestione delle politiche IAM. 


{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

Designazione di un amministratore delegato per l'organizzazione AWS

La procedura seguente descrive come designare un amministratore delegato per l'organizzazione. Prima di completare la procedura, assicurati di far parte della stessa organizzazione degli account dei membri che desideri siano gestiti dall'amministratore delegato.

Nota

È necessario utilizzare l'account AWS Organizations di gestione per completare questa procedura. Solo l'account AWS Organizations di gestione può designare un amministratore delegato. Potrebbero essere necessarie autorizzazioni per designare un amministratore delegato. Per ulteriori informazioni, consulta Autorizzazioni necessarie per designare un amministratore delegato.

Quando attivi Amazon Inspector per la prima volta, Amazon Inspector crea il AWSServiceRoleForAmazonInspector ruolo collegato al servizio per l'account. Per informazioni su come Amazon Inspector utilizza i ruoli collegati ai servizi, consulta. Utilizzo di ruoli collegati ai servizi per Amazon Inspector

Console
Per designare un amministratore delegato per Amazon Inspector

  1. Accedi all'account di AWS Organizations gestione, quindi apri la console Amazon Inspector su https://console.aws.amazon.com/inspector/ v2/home.

  2. Usa il Regione AWS selettore per specificare Regione AWS dove vuoi designare l'amministratore delegato.

  3. Dal riquadro di navigazione, scegli Impostazioni generali.

  4. In Amministratore delegato, inserisci l'ID a 12 cifre della persona Account AWS che desideri designare come amministratore delegato.

  5. Scegli Delegato, quindi scegli nuovamente Delegato.

Quando si designa un amministratore delegato, per impostazione predefinita vengono attivati tutti i tipi di scansione per l'account. Se desideri attivare Amazon Inspector per l'account di AWS Organizations gestione, completa la seguente procedura.

Per attivare Amazon Inspector per l'account di gestione AWS Organizations

  1. Accedi all'account amministratore delegato, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.

  2. Dal pannello di navigazione, scegli Gestione dell'account.

  3. In Account, seleziona l'account di AWS Organizations gestione, quindi scegli Attiva.

  4. Seleziona i tipi di scansione che desideri attivare per l'account di AWS Organizations gestione, quindi scegli Invia.

API
Designate un amministratore delegato utilizzando l'API

  • Esegui l'operazione EnableDelegatedAdminAccountAPI utilizzando le credenziali dell'account Account AWS di gestione Organizations. Puoi anche usare AWS Command Line Interface per farlo eseguendo il seguente comando CLI:. aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111

    Nota

    Assicurati di specificare l'ID dell'account che desideri rendere amministratore delegato di Amazon Inspector.