Designar uma conta de administrador delegado do Amazon Inspector - Amazon Inspector
ConsideraçõesPermissões necessárias para designar um administrador delegadoDesignar um administrador delegado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Designar uma conta de administrador delegado do Amazon Inspector

O administrador delegado é uma conta que gerencia um serviço para uma organização. Este tópico descreve como designar um administrador delegado do Amazon Inspector.

Considerações

Antes de designar um administrador delegado, observe o seguinte:

O administrador delegado pode gerenciar no máximo 10 mil membros.

Se você ultrapassar 10.000 contas de membros, receberá uma notificação por meio do Amazon CloudWatch Personal Health Dashboard e enviará um e-mail para a conta do administrador delegado.

nota

Quando o Amazon Inspector é ativado por meio de AWS Organizations políticas para organizações com mais de 10.000 contas (até 50.000), a política se aplica a todas as contas. No entanto, apenas 10.000 contas serão associadas à organização do Amazon Inspector, ou seja, o administrador delegado pode visualizar as descobertas e o status da conta somente para essas 10.000 contas no console do Amazon Inspector.

O administrador delegado é regional.

O Amazon Inspector é um serviço regional. Você deve repetir as etapas do procedimento em todos os Região da AWS lugares em que planeja usar o Amazon Inspector.

Uma organização pode ter apenas um administrador delegado.

Se designar uma conta como administrador delegado em uma Região da AWS, essa conta deverá ser a administradora delegada em todas as outras. Regiões da AWS

Alterar um administrador delegado não desativa o Amazon Inspector para contas de membros.

Se você remover um administrador delegado, as contas de membro se tornarão contas autônomas e as configurações de verificação não serão afetadas.

Sua AWS organização deve ter todos os recursos ativados.

Essa é a configuração padrão para AWS Organizations. Se não estiver ativado, consulte Ativação de todos os recursos em sua organização.

As políticas da organização têm precedência sobre as configurações do administrador delegado.

Se sua organização usa AWS Organizations políticas para habilitar o Amazon Inspector, as configurações da política determinam quais tipos de escaneamento estão habilitados. Recomendamos designar o administrador delegado antes de criar as políticas da organização para garantir uma governança consistente. Para obter mais informações, consulte Modelo de governança de políticas organizacionais.

Permissões necessárias para designar um administrador delegado

Você deve ter permissão para ativar o Amazon Inspector e designar um administrador delegado do Amazon Inspector. Adicione a seguinte declaração ao final de uma política do IAM para conceder estas permissões: Para ter mais informações, consulte Gerenciar políticas do IAM. 


{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

Designar um administrador delegado para sua organização AWS

O procedimento a seguir descreve como designar um administrador delegado para a organização. Antes de concluir o procedimento, verifique se você está na mesma organização das contas de membros que deseja que o administrador delegado gerencie.

nota

Você deve usar a conta AWS Organizations de gerenciamento para concluir esse procedimento. Somente a conta AWS Organizations de gerenciamento pode designar um administrador delegado. Podem ser necessárias permissões para designar um administrador delegado. Para obter mais informações, consulte Permissões necessárias para designar um administrador delegado.

Ao ativar o Amazon Inspector pela primeira vez, ele cria o perfil vinculado ao serviço AWSServiceRoleForAmazonInspector para a conta. Consulte informações sobre como o Amazon Inspector usa perfis vinculados ao serviço em Uso de funções vinculadas a serviço para o Amazon Inspector.

Console
Designar um administrador delegado do Amazon Inspector

  1. Faça login na conta AWS Organizations de gerenciamento e, em seguida, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.

  2. Use o Região da AWS seletor para especificar Região da AWS onde você deseja designar o administrador delegado.

  3. No painel de navegação, selecione Configurações gerais.

  4. Em Administrador delegado, insira a ID de 12 dígitos do Conta da AWS que você deseja designar como administrador delegado.

  5. Escolha Delegar e Delegar novamente.

Ao designar um administrador delegado, todos os tipos de verificação são ativados para a conta por padrão. Se você quiser ativar o Amazon Inspector para a conta de AWS Organizations gerenciamento, conclua o procedimento a seguir.

Para ativar o Amazon Inspector para a conta de gerenciamento AWS Organizations

  1. Faça login na conta de administrador delegado e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.

  2. No painel de navegação, escolha Gerenciamento de contas.

  3. Em Contas, selecione a conta AWS Organizations de gerenciamento e escolha Ativar.

  4. Selecione quais tipos de escaneamento você deseja ativar para a conta AWS Organizations de gerenciamento e, em seguida, escolha Enviar.

API
Designar um administrador delegado usando a API

  • Execute a operação EnableDelegatedAdminAccountda API usando as credenciais da conta Conta da AWS de gerenciamento da Organizations. Você também pode usar o AWS Command Line Interface para fazer isso executando o seguinte comando CLI:. aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111

    nota

    É necessário especificar o ID da conta que você deseja tornar um administrador delegado do Amazon Inspector.