Configuração de um administrador delegado para Explorer - AWS Systems Manager
Antes de começar

Configuração de um administrador delegado para Explorer

Se você agregar dados do AWS Systems Manager Explorer de várias contas e Regiões da AWS usando a sincronização de dados de recursos com o AWS Organizations, é recomendável configurar um administrador delegado para o Explorer. Um administrador delegado melhora a segurança do Explorer das seguintes maneiras.

  • Limite o número de administradores do Explorer que podem criar ou excluir sincronizações de dados de recurso de várias contas e de região para uma Conta da AWS individual.

  • Não é mais necessário estar conectado à conta de gerenciamento do AWS Organizations para administrar as sincronizações de dados de recursos no Explorer.

Um administrador delegado pode usar as seguintes APIs de sincronização de dados de recursos do Explorer usando o console, o SDK, a AWS Command Line Interface (AWS CLI) ou o AWS Tools for Windows PowerShell:

Um administrador delegado pode pesquisar, filtrar e agregar dados do Explorer no console ou usando ferramentas programáticas, como o SDK, a AWS CLI ou o AWS Tools for Windows PowerShell. Para pesquisar, filtrar e agregar dados, use a operação de API GetOpsSummary.

Um administrador delegado pode criar, no máximo, cinco sincronizações de dados de recursos para uma organização inteira ou um subconjunto de unidades organizacionais. As sincronizações de dados de recursos criadas por um administrador delegado só estão disponíveis na conta de administrador delegado. Não é possível visualizar as sincronizações ou os dados agregados na conta de gerenciamento do AWS Organizations.

nota

Não é possível usar uma conta de administrador delegado para criar uma sincronização de dados de recursos em Regiões da AWS de adesão. Você deve usar uma conta gerencial do AWS Organizations.

Para obter mais informações sobre a sincronização de dados de recursos, consulte Configurar o Systems Manager Explorer para exibir dados de várias contas e regiões. Para obter mais informações sobre o AWS Organizations, consulte O que é AWS Organizations? no Guia do Usuário doAWS Organizations.

Tópicos

Antes de começar

A lista a seguir inclui informações importantes sobre a administração delegada do Explorer.

  • É possível delegar apenas uma conta para a administração do Explorer.

  • O ID da conta especificada como administrador delegado do Explorer deve ser listado como uma conta-membro no AWS Organizations. Para obter informações, consulte Criar uma Conta da AWS na sua organização no Manual do usuário do AWS Organizations.

  • Um administrador delegado pode usar todas as operações da API de sincronização de dados de recursos do Explorer no console ou usando ferramentas programáticas, como o SDK, a AWS Command Line Interface (AWS CLI) ou o AWS Tools for Windows PowerShell. As operações da API de sincronização de dados de recursos incluem o seguinte: CreateResourceDataSync, DeleteResourceDataSync, ListResourceDataSync e UpdateResourceDataSync.

  • Um administrador delegado pode pesquisar, filtrar e agregar dados do Explorer no console ou usando ferramentas programáticas, como o SDK, a AWS CLI ou o AWS Tools for Windows PowerShell. Para pesquisar, filtrar e agregar dados, use a operação de API GetOpsSummary.

  • As sincronizações de dados de recursos criadas por um administrador delegado só estão disponíveis na conta de administrador delegado. Não é possível visualizar as sincronizações ou os dados agregados na conta de gerenciamento do AWS Organizations.

  • Um administrador delegado pode criar no máximo cinco sincronizações de dados de recursos.

  • Um administrador delegado pode criar uma sincronização de dados de recursos para uma organização inteira no AWS Organizations ou um subconjunto de unidades organizacionais.