注册 AWS Config 的委托管理员
委派管理员是给定 AWS 组织内被授予指定 AWS 服务的额外管理权限的账户。有关更多信息,请参阅《AWS Organizations 用户指南》中的委托管理员。您必须使用 AWS CLI 注册委托管理员。
注册委托管理员
-
使用管理账户凭证登录。
-
打开命令提示符或终端窗口。
-
输入以下命令,以委派管理员身份为组织启用服务访问权限,以便在整个组织中部署和管理 AWS Config 规则和合规包:
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com -
输入以下命令,以委派管理员身份为组织启用服务访问权限,以聚合整个组织中的 AWS Config 数据:
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com -
要检查启用服务访问权限是否已完成,请输入以下命令并按 Enter 执行此命令。
aws organizations list-aws-service-access-for-organization您应该可以看到类似于如下所示的输出内容:
{ "EnabledServicePrincipals": [ { "ServicePrincipal": [ "config.amazonaws.com", "config-multiaccountsetup.amazonaws.com" ], "DateEnabled": 1607020860.881 } ] } -
接下来,输入以下命令以注册一个成员账户作为 AWS Config 的委派管理员。
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-idMemberAccountID以及
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-idMemberAccountID -
要检查委派管理员注册是否已完成,请从管理账户中输入以下命令,然后按 Enter 键执行该命令。
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com以及
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com您应该可以看到类似于如下所示的输出内容:
{ "DelegatedAdministrators": [ { "Id": "MemberAccountID", "Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID", "Email": "name@amazon.com", "Name": "name", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp":1604867734.48, "DelegationEnabledDate":1607020986.801} ] }
