As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Designar uma conta de administrador delegado do Amazon Inspector
<a name="designating-admin"></a>

 O administrador delegado é uma conta que gerencia um serviço para uma organização. Este tópico descreve como designar um administrador delegado do Amazon Inspector. 

## Considerações
<a name="delegated-admin-considerations"></a>

 Antes de designar um administrador delegado, observe o seguinte: 

**O administrador delegado pode gerenciar no máximo 10 mil membros.**  
 Se você ultrapassar 10.000 contas de membros, receberá uma notificação por meio do Amazon CloudWatch Personal Health Dashboard e enviará um e-mail para a conta do administrador delegado.   
 Quando o Amazon Inspector é ativado por meio de AWS Organizations políticas para organizações com mais de 10.000 contas (até 50.000), a política se aplica a todas as contas. No entanto, apenas 10.000 contas serão associadas à organização do Amazon Inspector, ou seja, o administrador delegado pode visualizar as descobertas e o status da conta somente para essas 10.000 contas no console do Amazon Inspector. 

**O administrador delegado é regional.**  
 O Amazon Inspector é um serviço regional. Você deve repetir as etapas do procedimento em todos os Região da AWS lugares em que planeja usar o Amazon Inspector. 

**Uma organização pode ter apenas um administrador delegado.**  
 Se designar uma conta como administrador delegado em uma Região da AWS, essa conta deverá ser a administradora delegada em todas as outras. Regiões da AWS

**Alterar um administrador delegado não desativa o Amazon Inspector para contas de membros.**  
 Se você remover um administrador delegado, as contas de membro se tornarão contas autônomas e as configurações de verificação não serão afetadas. 

**Sua AWS organização deve ter todos os recursos ativados.**  
Essa é a configuração padrão para AWS Organizations. Se não estiver ativado, consulte [Ativação de todos os recursos em sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html). 

**As políticas da organização têm precedência sobre as configurações do administrador delegado.**  
 Se sua organização usa AWS Organizations políticas para habilitar o Amazon Inspector, as configurações da política determinam quais tipos de escaneamento estão habilitados. Recomendamos designar o administrador delegado antes de criar as políticas da organização para garantir uma governança consistente. Para obter mais informações, consulte [Modelo de governança de políticas organizacionais](admin-member-relationship.md#org-policy-overview). 

## Permissões necessárias para designar um administrador delegado
<a name="delegated-admin-permissions"></a>

 Você deve ter permissão para ativar o Amazon Inspector e designar um administrador delegado do Amazon Inspector. Adicione a seguinte declaração ao final de uma política do IAM para conceder estas permissões: Para ter mais informações, consulte [Gerenciar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html). 

```
{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}
```

## Designar um administrador delegado para sua organização AWS
<a name="delegated-admin-proc"></a>

 O procedimento a seguir descreve como designar um administrador delegado para a organização. Antes de concluir o procedimento, verifique se você está na mesma organização das contas de membros que deseja que o administrador delegado gerencie. 

**nota**  
 Você deve usar a conta AWS Organizations de gerenciamento para concluir esse procedimento. Somente a conta AWS Organizations de gerenciamento pode designar um administrador delegado. Podem ser necessárias permissões para designar um administrador delegado. Para obter mais informações, consulte [Permissões necessárias para designar um administrador delegado](#delegated-admin-permissions). 

 Ao ativar o Amazon Inspector pela primeira vez, ele cria o perfil vinculado ao serviço `AWSServiceRoleForAmazonInspector` para a conta. Consulte informações sobre como o Amazon Inspector usa perfis vinculados ao serviço em [Uso de funções vinculadas a serviço para o Amazon Inspector](using-service-linked-roles.md). 

------
#### [ Console ]

**Designar um administrador delegado do Amazon Inspector**

1.  [Faça login na conta AWS Organizations de gerenciamento e, em seguida, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.](https://console.aws.amazon.com/inspector/v2/home) 

1.  Use o Região da AWS seletor para especificar Região da AWS onde você deseja designar o administrador delegado. 

1.  No painel de navegação, selecione **Configurações gerais**. 

1.  Em **Administrador delegado**, insira a ID de 12 dígitos do Conta da AWS que você deseja designar como administrador delegado. 

1.  Escolha **Delegar** e **Delegar** novamente. 

 Ao designar um administrador delegado, [todos os tipos de verificação](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html) são ativados para a conta por padrão. Se você quiser ativar o Amazon Inspector para a conta de AWS Organizations gerenciamento, conclua o procedimento a seguir. 

**Para ativar o Amazon Inspector para a conta de gerenciamento AWS Organizations**

1.  [Faça login na conta de administrador delegado e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.](https://console.aws.amazon.com/inspector/v2/home) 

1.  No painel de navegação, escolha **Gerenciamento de contas**. 

1.  Em **Contas**, selecione a conta AWS Organizations de gerenciamento e escolha **Ativar**. 

1.  Selecione quais tipos de escaneamento você deseja ativar para a conta de AWS Organizations gerenciamento e escolha **Enviar**. 

------
#### [ API ]

**Designar um administrador delegado usando a API**
+  Execute a operação [EnableDelegatedAdminAccount](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html)da API usando as credenciais da conta Conta da AWS de gerenciamento da Organizations. Você também pode usar o AWS Command Line Interface para fazer isso executando o seguinte comando CLI:. `aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111` 
**nota**  
 É necessário especificar o ID da conta que você deseja tornar um administrador delegado do Amazon Inspector. 

------

# Habilitar verificações de contas-membro do Amazon Inspector
<a name="adding-member-accounts"></a>

 Você pode ativar o Amazon Inspector para contas de membros em sua organização por meio de vários métodos. O método escolhido depende dos requisitos de governança e da estrutura organizacional. 

**AWS Organizations políticas (recomendadas para governança centralizada)**  
 Use AWS Organizations políticas para habilitar automaticamente o Amazon Inspector em toda a sua organização com controle centralizado. Essa abordagem garante uma cobertura de escaneamento consistente e se aplica automaticamente a novas contas. Para obter instruções detalhadas, consulte a AWS Organizations documentação para criar políticas do Amazon Inspector. 

**Ativação do administrador delegado**  
 Como administrador delegado, você pode ativar manualmente o Amazon Inspector para contas de membros específicas ou para todas as contas de membros por meio do console ou da API do Amazon Inspector. Essa abordagem fornece flexibilidade quando as políticas da organização não estão em uso. 

**Autoativação da conta do membro**  
 As contas dos membros podem ativar o Amazon Inspector para sua própria conta quando não estiverem restritas pelas políticas da organização. Depois de ativada, a conta é associada ao administrador delegado. 

## Ativar verificação para contas-membro
<a name="w2aac45c13c11b7"></a>

 Os procedimentos a seguir descrevem como ativar a verificação de contas de membros usando os métodos de administrador delegado e conta de membro. Para ter informações sobre os tipos de verificação do Amazon Inspector, consulte [Tipos de verificação automatizada no Amazon Inspector](scanning-resources.md). 

**Para ativar automaticamente a verificação de todas as contas de membros**

1.  [Faça login usando as credenciais da conta de administrador delegado e, em seguida, abra o console do Amazon Inspector em v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home) 

1.  Use o seletor de região para escolher Região da AWS onde você deseja ativar o escaneamento para todas as contas de membros. 

1.  No painel de navegação, escolha **Gerenciamento de contas**. A guia **Contas** exibe todas as contas de membros associadas à conta AWS Organizations de gerenciamento. 

1.  Em **Organização**, selecione a caixa ao lado de **Número da conta**. Em seguida, escolha **Ativar** para selecionar quais opções de verificação você deseja aplicar às contas-membro. É possível selecionar os seguintes tipos de verificação: 
   +  Verificação do Amazon EC2 
   +  Escaneamento do Amazon ECR 
   +  Verificação padrão do Lambda 
   +  Escaneamento de código do Lambda 

   1.  Depois de selecionar seus tipos de verificação de preferência, selecione **Salvar**. 
**nota**  
 Se você tiver várias páginas de contas, deverá repetir esta etapa em cada página. Para alterar o número de contas exibidas em cada página, selecione o ícone de engrenagem. 

1.  Ative a configuração **Ativar automaticamente o Inspector para novas contas-membro** e selecione os tipos de verificação a serem ativadas para quaisquer novas contas-membro adicionadas à sua organização. É possível selecionar os seguintes tipos de verificação: 
   +  Verificação do Amazon EC2 
   +  Escaneamento do Amazon ECR 
   +  Verificação padrão do Lambda 
   +  Escaneamento de código do Lambda 

   1.  Depois de selecionar seus tipos de verificação de preferência, selecione **Ativar**. 
**nota**  
 A configuração **Ativar automaticamente o Inspetor para novas contas de membros** ativa o Amazon Inspector para todos os futuros membros da sua organização.   
 Se o número de contas-membro exceder o limite de 5 mil, essa configuração será automaticamente desabilitada. Se o número total de contas-membro diminuir para menos de 5 mil, a configuração será reativada automaticamente. 

1.  (Recomendado) Repita cada uma dessas etapas em cada uma Região da AWS em que você deseja ativar a verificação de contas de membros. 

**Como ativar a verificação de contas-membro específicas**

1.  [Faça login usando as credenciais da conta de administrador delegado e, em seguida, abra o console do Amazon Inspector em v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home) 

1.  Use o seletor de região para escolher Região da AWS onde você deseja ativar o escaneamento para todas as contas de membros. 

1.  No painel de navegação, escolha **Gerenciamento de contas**. A guia **Contas** exibe todas as contas de membros associadas à conta AWS Organizations de gerenciamento. 

1.  Em **Organização**, marque a caixa ao lado do número de cada uma das contas-membro para as quais você deseja ativar a verificação. Em seguida, escolha **Ativar** para selecionar quais opções de verificação você deseja aplicar às contas-membro. É possível selecionar os seguintes tipos de verificação: 
   +  Verificação do Amazon EC2 
   +  Escaneamento do Amazon ECR 
   +  Verificação padrão do Lambda 
   +  Escaneamento de código do Lambda 

   1.  Depois de selecionar seus tipos de verificação de preferência, selecione **Salvar**. 
**nota**  
 Se você tiver várias páginas de contas, deverá repetir esta etapa em cada página. Para alterar o número de contas exibidas em cada página, selecione o ícone de engrenagem. 

1.  (Recomendado) Repita cada uma dessas etapas em cada uma Região da AWS em que você deseja ativar o escaneamento para membros específicos. 

**Para ativar o escaneamento como conta de membro**

1.  [Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.](https://console.aws.amazon.com/inspector/v2/home) 

1.  Use o seletor de região para escolher Região da AWS onde você deseja ativar o escaneamento para todas as contas de membros. 

1.  No painel de navegação, escolha **Gerenciamento de contas**. A guia **Contas** exibe todas as contas de membros associadas à conta AWS Organizations de gerenciamento. 

1.  Em **Organização**, selecione a caixa ao lado do número da sua conta. Em seguida, escolha **Ativar** para selecionar quais opções de verificação você deseja aplicar. É possível selecionar os seguintes tipos de verificação: 
   +  Verificação do Amazon EC2 
   +  Escaneamento do Amazon ECR 
   +  Verificação padrão do Lambda 
   +  Escaneamento de código do Lambda 

   1.  Depois de selecionar seus tipos de verificação de preferência, selecione **Salvar**. 

1.  (Recomendado) Repita essas etapas em cada região na qual deseja ativar verificações para sua conta-membro. 
**nota**  
 Se sua conta AWS Organizations de gerenciamento tiver uma conta de administrador delegada para o Amazon Inspector, você pode ativar sua conta como conta membro para ver os detalhes do escaneamento. 

**Importante**  
 Se as políticas da organização estiverem gerenciando a habilitação do Amazon Inspector para suas contas, o administrador delegado e as contas membros não poderão modificar os tipos de escaneamento gerenciados por políticas usando o Amazon Inspector. enablement/disablement APIs As solicitações de API falharão com um erro indicando que o recurso é gerenciado pela política da organização. Você ainda pode ativar outros tipos de escaneamento não gerenciados pela política. 

# Desassociar contas-membro no Amazon Inspector
<a name="disassociating-member-accounts"></a>

 Como administrador delegado, talvez seja necessário desassociar uma conta-membro da sua conta. Quando você desassocia uma conta-membro, o Amazon Inspector ainda está ativado na conta, que se torna uma conta independente. Você também não tem mais permissão para gerenciar o Amazon Inspector para a conta. No entanto, você pode associar contas-membro anteriormente desassociadas à sua conta a qualquer momento. Esta seção descreve como desassociar contas-membro como administrador delegado. 

**nota**  
 Para dissociar contas gerenciadas por políticas, não deve haver nenhuma política organizacional do Amazon Inspector anexada a essa conta para o tipo de escaneamento. 

------
#### [ Console ]

**Para desassociar contas de membro usando o console**

1.  [Faça login usando as credenciais da conta de administrador delegado e, em seguida, abra o console do Amazon Inspector em v2/home https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home) 

1.  Use o seletor de região para escolher Região da AWS onde você deseja desassociar as contas dos membros. 

1.  No painel de navegação, escolha **Gerenciamento de contas**. 

1.  Em **Organização**, selecione a caixa ao lado de cada número de conta que você deseja desassociar. 

1.  Selecione o menu **Ações**, em seguida, escolha **Desassociar conta**. 

------
#### [ API ]

**Para desassociar contas de membro usando a API**

Execute a operação [DisassociateMember](https://docs.aws.amazon.com/inspector/v2/APIReference/API_DisassociateMember.html) da API. Na solicitação, forneça a conta IDs que você está desassociando.

------

# Remover o administrador delegado no Amazon Inspector
<a name="remove-delegated-admin"></a>

 Talvez seja necessário remover a conta de administrador delegado do Amazon Inspector. Você pode fazer isso na conta AWS Organizations de gerenciamento. Quando você remove a conta de administrador delegado do Amazon Inspector, ele ainda permanece ativado na conta e em todas as suas contas-membro. A conta de administrador delegado e todas as contas-membro se tornam contas independentes e retêm suas configurações de verificação originais. 

**nota**  
 Se AWS Organizations as políticas estiverem gerenciando a habilitação do Amazon Inspector, a remoção do administrador delegado não afeta a aplicação da política. As contas permanecerão habilitadas de acordo com as configurações da política da organização, embora as descobertas da conta do membro não sejam mais visíveis em um console central do administrador delegado até que um novo administrador delegado seja designado. 

 Esta seção descreve como remover a conta do administrador delegado. 

## Remover o administrador delegado do Amazon Inspector
<a name="w2aac45c13c15b9"></a>

 Os procedimentos a seguir descrevem como remover o administrador delegado do Amazon Inspector e como associar contas-membro da conta de administrador delegado. 

 Para ter informações sobre como atribuir um administrador delegado do Amazon Inspector, consulte [Designating a delegated administrator account for Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html). 

**nota**  
 Depois de atribuir um administrador delegado para o Amazon Inspector, o administrador delegado do Amazon Inspector deve associar as contas-membro manualmente. 

**Para remover um administrador delegado**

1.  Faça login no Console de gerenciamento da AWS usando a conta AWS Organizations de gerenciamento. 

1.  [Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.](https://console.aws.amazon.com/inspector/v2/home) 

1.  Use o seletor de região para escolher Região da AWS onde você deseja remover o administrador delegado. 

1.  No painel de navegação, selecione **Configurações gerais**. 

1.  Em **Administrador delegado**, escolha **Remover** e confirme sua ação. 

**Para associar membros a um novo administrador delegado**

1.  [Faça login usando as credenciais da conta de administrador delegado e, em seguida, abra o console do Amazon Inspector em v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home) 

1.  Use o seletor de região para escolher Região da AWS onde você deseja associar membros. 

1.  No painel de navegação, escolha **Gerenciamento de contas**. 

1.  Em **Organização**, selecione a caixa ao lado de **Número da conta**. 

1.  Escolha **Ações** e, em seguida, escolha **Adicionar membro**.