为 Explorer 配置委派管理员
如果您通过将资源数据同步与 AWS Organizations 结合使用来聚合多个 AWS 区域和账户中的 AWS Systems Manager Explorer 数据,我们建议您为 Explorer 配置一个委派管理员。委派管理员可通过以下方式提高 Explorer 的安全性。
-
将可以创建或删除多账户和区域资源数据同步的 Explorer 管理员数量限制为一个 AWS 账户。
-
您不再需要登录到 AWS Organizations 管理账户即可管理 Explorer 中的资源数据同步。
委派管理员可以使用控制台、SDK、AWS Command Line Interface(AWS CLI)或 AWS Tools for Windows PowerShell,使用以下 Explorer 资源数据同步 API:
委派管理员可以使用控制台或编程工具(如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 GetOpsSummary API 操作。
委派管理员可以为整个组织或组织单位的子集创建最多五个资源数据同步。委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。
注意
您不能使用委派管理员账户在选择加入 AWS 区域中创建资源数据同步。您必须使用 AWS Organizations 管理账户。
有关资源数据同步的更多信息,请参阅 设置 Systems Manager Explorer 以显示来自多个账户和区域的数据。有关 AWS Organizations 的更多信息,请参阅《AWS Organizations 用户指南》中的什么是 AWS Organizations?。
开始前的准备工作
下表包含有关 Explorer 委派管理的重要信息。
-
您只能委派一个账户用于 Explorer 管理。
-
您指定为 Explorer 委派管理员的账户 ID 必须在 AWS Organizations 中列为成员账户。有关更多信息,请参阅 AWS Organizations 用户指南中的在您的组织中创建 AWS 账户。
-
委托管理员可在控制台中使用所有 Explorer 资源数据同步 API 操作,也可通过 SDK、AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 等编程工具来使用这些操作。资源数据同步 API 操作包括:CreateResourceDataSync、DeleteResourceDataSync、ListResourceDataSync 和 UpdateResourceDataSync。
-
委派管理员可以使用控制台或编程工具(如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 GetOpsSummary API 操作。
-
委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。
-
委派管理员最多可以创建五个资源数据同步。
-
委派管理员可以为 AWS Organizations 中的整个组织或组织单位的子集创建资源数据同步。
