本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
指定 Amazon Inspector 的委派管理员账户
委派管理员是一个为组织管理服务的账户。本主题介绍了如何指定 Amazon Inspector 的委派管理员。
注意事项
在指定委派管理员之前,请注意以下事项:
- 委派管理员最多可以管理 1 万个成员。
-
如果您的成员账户超过 10,000 个,您将通过 Amazon Person CloudWatch al Health Dashboard 收到通知,并通过电子邮件发送至委托管理员账户。
注意
当通过针对拥有超过 10,000 个账户(最多 50,000 个)的组织的 AWS Organizations 策略启用 Amazon Inspector 时,该政策将适用于所有账户。但是,只有 10,000 个账户将与 Amazon Inspector 组织关联。也就是说,授权的管理员只能在 Amazon Inspector 控制台中查看这 10,000 个账户的调查结果和账户状态。
- 委派管理员是区域性的。
-
Amazon Inspector 是一项区域服务。在计划使用 Amazon Inspector 的每个 AWS 区域 地方,您都必须重复该过程中的步骤。
- 一个组织只能有一名委托管理员。
-
如果将一个账户指定为其中一个账户的委托管理员 AWS 区域,则该账户必须是所有其他账户中的委托管理员 AWS 区域。
- 更改委托管理员不会停用成员账户的 Amazon Inspector。
-
如果您移除委派管理员,则成员账户将变为独立账户,扫描设置不受影响。
- 您的 AWS 组织必须激活所有功能。
-
这是的默认设置 AWS Organizations。如果未激活所有特征,请参阅激活组织中的所有特征。
- 组织策略优先于委派的管理员设置。
-
如果您的组织使用 AWS Organizations 策略来启用 Amazon Inspector,则策略设置将决定启用哪些扫描类型。我们建议在创建组织策略之前指定委派的管理员,以确保一致的管理。有关更多信息,请参阅 组织政策治理模型。
指定委托管理员所需的权限
您必须拥有激活 Amazon Inspector 和指定 Amazon Inspector 委托管理员的权限。将以下语句添加到 IAM 策略的末尾以授予这些权限。有关更多信息,请参阅管理 IAM 策略。
{ "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
为您的 AWS 组织指定委派管理员
以下过程介绍了如何为您的组织指定委派管理员。在完成该过程之前,请确保您与想要委派管理员管理的成员账户均在同一个组织中。
注意
您必须使用 AWS Organizations 管理账户才能完成此过程。只有 AWS Organizations 管理账号才能指定委派管理员。可能需要权限才能指定委派管理员。有关更多信息,请参阅 指定委托管理员所需的权限。
当您首次激活 Amazon Inspector 时,Amazon Inspector 会为账户创建服务相关角色 AWSServiceRoleForAmazonInspector。有关 Amazon Inspector 如何使用服务相关角色的信息,请参阅对 Amazon Inspector 使用服务相关角色。
