AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对委派管理员和 AWS Organizations 问题进行故障排除
您可以使用此页面上的信息来解决 Audit Manager 中常见的委托管理员问题。
**Topics**
+ [我无法使用我的委派管理员账户设置 Audit Manager](#delegated-admin-setup)
+ [当我创建评测时,我无法在*范围内的账户*下看到我所在组织的账户](#cannot-see-accounts-from-organization)
+ [当我尝试使用我的委托管理员账户生成评测报告时,出现*拒绝访问*的错误](#delegated-admin-access-denied-error)
+ [如果我取消成员账户与我的组织的关联,在 Audit Manager 中会发生什么?](#delegated-admin-unlink-account)
+ [我将成员账户重新关联到我的组织后会发生什么?](#delegated-admin-relink-account)
+ [我将成员账户从一个组织迁移到另一个组织后会发生什么?](#delegated-admin-migrate-account)
## 我无法使用我的委派管理员账户设置 Audit Manager
尽管中支持多个委派管理员 AWS Organizations,但 Audit Manager 只允许一个委派管理员。如果您尝试在 Audit Manager 中指定多个委托管理员,则会收到以下错误消息:
+ 控制台:`You have exceeded the allowed number of delegated administrators for the delegated service`
+ CLI:`An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333`
在 Audit Manager 中选择一个要用作委托管理员的个人账户。请务必先在 Organizations 中注册委托管理员账户,然后在 Audit Manager 中[将该账户添加为委托管理员](https://docs.aws.amazon.com/audit-manager/latest/userguide/add-delegated-admin.html)。
## 当我创建评测时,我无法在*范围内的账户*下看到我所在组织的账户
如果您希望 Audit Manager 评测包含您所在组织的多个账户,则必须指定委托管理员。
请确保为 Audit Manager 配置了委托管理员账户。有关说明,请参阅[添加委派管理员](add-delegated-admin.md)。
请记住以下事项:
+ 您不能在 Audit Manager 中以委托管理员的身份使用您的 AWS Organizations 管理帐户。
+ 如果要在多个区域中启用 Audit Manager AWS 区域,则必须在每个区域中分别指定一个委派管理员帐户。在您的 Audit Manager 设置中,您应该在所有区域指定同一委托管理员账户。
+ 在指定委托管理员时,请确保委托管理员账户有权访问您在设置 Audit Manager 时提供的 KMS 密钥。如需了解如何查看和更改加密设置,请参阅[配置数据加密设置](settings-KMS.md)。
## 当我尝试使用我的委托管理员账户生成评测报告时,出现*拒绝访问*的错误
如果您的评测由委托管理员账户创建,且您 Audit Manager 设置中指定的 KMS 密钥不属于该账户,则会收到 `access denied` 错误消息。为避免此错误,在为 Audit Manager 指定委托管理员时,请确保委托的管理员账户有权访问您在设置 Audit Manager 时提供的 KMS 密钥。
如果您对用作评测报告目的地的 S3 桶没有写入权限,也可能会收到 `access denied` 错误消息。
如果您遇到 `access denied` 错误,确保您满足以下要求:
+ 您的 Audit Manager 设置中的 KMS 密钥向委托的管理员授予权限。您可以按照*AWS Key Management Service 开发人员指南*中[允许其他账户中的用户使用 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)中的说明进行配置。有关如何在 Audit Manager 中审核和更改加密设置的说明,请参阅[配置数据加密设置](settings-KMS.md)。
+ 您的权限策略授予您对评测报告目的地的写入权限。具体而言,您的权限策略包含一项 `s3:PutObject` 操作,指定 S3 桶的 ARN,并包括用于加密评测报告的 KMS 密钥。有关您可以使用的示例策略,请参阅[示例 2(评测报告目标权限)](security_iam_id-based-policy-examples.md#full-administrator-access-assessment-report-destination)。
**注意**
如果您更改了 Audit Manager 数据加密设置,则这些更改将应用于您今后创建的新评测。这包括您根据新评测创建的任何评测报告。
这些更改不适用于您在更改加密设置之前已创建的评测。除现有评测报告外,这还包括您根据现有评测创建的新评测报告。现有评测及其评测报告继续使用旧的 KMS 密钥。如果生成评测报告的 IAM 身份无权使用旧 KMS 密钥,您可以授予密钥政策级权限。
## 如果我取消成员账户与我的组织的关联,在 Audit Manager 中会发生什么?
当您取消成员账户与组织的关联时,Audit Manager 会收到相关通知。然后,Audit Manager 会自动将该 AWS 账户 从现有评测的*范围内的账户*列表中移除。当您指定之后新评测的范围时,未关联的账户将不再出现在符合条件的 AWS 账户列表中。
当 Audit Manager 从您评测的*范围内账户*列表中移除未关联的成员账户时,您不会收到有关此更改的通知。此外,未关联的成员账户不会收到告知其账户已不再启用 Audit Manager 的通知。
## 我将成员账户重新关联到我的组织后会发生什么?
当您将成员账户重新关联到您的组织时,该账户不会自动添加到您的现有 Audit Manager 评测范围中。但是,当您指定评估*范围内的账户 AWS 账户 时,重新关联的成员账户*现在显示为符合条件的账户。
+ 对于现有评测,您可以手动编辑评测范围,从而添加重新关联的成员账户。有关说明,请参阅[步骤 2: AWS 账户 在作用域内编辑](edit-assessment.md#edit-accounts)。
+ 对于新的评测,您可以在评测设置期间添加重新关联的账户。有关说明,请参阅[步骤 2: AWS 账户 在作用域中指定](create-assessments.md#specify-accounts)。
## 我将成员账户从一个组织迁移到另一个组织后会发生什么?
如果成员账户在组织 1 中启用了 Audit Manager,然后迁移到组织 2,则无法为组织 2 启用 Audit Manager。