AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對委派管理員和 AWS Organizations 問題進行故障診斷
請參考此頁面提供的資訊來解決 Audit Manager 中常見的委派系統管理員問題。
**Topics**
+ [我無法在 Audit Manager 設定委派系統管理員帳戶](#delegated-admin-setup)
+ [建立評估時,我無法在*範圍內的帳戶*看到組織中的帳戶](#cannot-see-accounts-from-organization)
+ [當我嘗試使用委派系統管理員帳戶產生評估報告時,出現*存取遭拒*的錯誤](#delegated-admin-access-denied-error)
+ [如果我取消成員帳戶與組織的連結,Audit Manager 會發生什麼情況?](#delegated-admin-unlink-account)
+ [如果我將成員帳戶重新連結至組織,會發生什麼情況?](#delegated-admin-relink-account)
+ [如果我將成員帳戶從一個組織移到另一個組織,會發生什麼情況?](#delegated-admin-migrate-account)
## 我無法在 Audit Manager 設定委派系統管理員帳戶
雖然 支援多個委派管理員 AWS Organizations,但 Audit Manager 只允許一個委派管理員。如果您嘗試在 Audit Manager 中指定多個委派系統管理員,您會收到下列錯誤訊息:
+ 主控台:`You have exceeded the allowed number of delegated administrators for the delegated service`
+ CLI:`An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333`
在 Audit Manager 中,選擇一個要擔任委派系統管理員的帳戶。請務必先在組織內註冊此委派系統管理員帳戶,然後在 Audit Manager [新增與委派系統管理員相同的帳戶](https://docs.aws.amazon.com/audit-manager/latest/userguide/add-delegated-admin.html)。
## 建立評估時,我無法在*範圍內的帳戶*看到組織中的帳戶
如果您希望 Audit Manager 評估包含組織中的多個帳戶,則必須指定委派系統管理員。
請確認您已為 Audit Manager 配置委派系統管理員帳戶。如需說明,請參閱[新增委派管理員](add-delegated-admin.md)。
需要謹記的一些事項:
+ 您無法在 Audit Manager 中將 AWS Organizations 管理帳戶用作委派管理員。
+ 如果您想要在多個區域中啟用 Audit Manager AWS 區域,則必須在每個區域中分別指定委派管理員帳戶。在 Audit Manager 設定中,為所有區域指定相同的委派系統管理員帳戶。
+ 當您指定 Audit Manager 的委派系統管理員時,請確保委派系統管理員帳戶具有您設定 Audit Manager 時所提供的 KMS 金鑰的存取權限。若要了解如何檢閱和變更加密設定,請參閱 [設定您的資料加密設定](settings-KMS.md)。
## 當我嘗試使用委派系統管理員帳戶產生評估報告時,出現*存取遭拒*的錯誤
如果您的評估是由委派的系統管理員帳戶建立,並且 Audit Manager 設定中指定的 KMS 金鑰不屬於該帳戶,您將會收到 `access denied` 錯誤訊息。若要避免此錯誤,當您指定 Audit Manager 的委派系統管理員時,請確定委派系統管理員帳戶具有您設定 Audit Manager 時所提供的 KMS 金鑰的存取權限。
如果您沒有用作評估報告目的地的的 S3 儲存貯體的寫入權限,您也可能會收到 `access denied` 錯誤訊息。
若您收到 `access denied` 錯誤訊息,請確定您符合下列要求:
+ 您在 Audit Manager 設定中的 KMS 金鑰將權限授予委派系統管理員。您可以依照 *AWS Key Management Service 開發人員指南*中,[允許其他帳戶中的使用者使用 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)中的指南進行設定。如需如何在 Audit Manager 中檢閱和變更加密設定的指示,請參閱 [設定您的資料加密設定](settings-KMS.md)。
+ 您擁有一個權限策略,該策略可授予您評估報告目的地的寫入存取權限。更具體地說,您的許可政策包含一個 `s3:PutObject` 動作、指定 S3 儲存貯體的 ARN,並包含用於加密評估報告的 KMS 金鑰。如需您可以使用的範例政策,請參閱 [範例 2 (評估報表目的地許可)](security_iam_id-based-policy-examples.md#full-administrator-access-assessment-report-destination)。
**注意**
如果您變更 Audit Manager 資料加密設定,這些變更會套用至您未來建立的新評估。這包括您依據新評估所建立的任何評估報告。
這些變更不會套用至您在變更加密設定之前,已建立的現有評估。出了現有的評估報告之外,這還包括了您根據現有評估建立的新評估報告。現有的評估及其所有評估報告都將繼續使用舊有的 KMS 金鑰。如果產生評估報告的 IAM 身分沒有使用舊有 KMS 金鑰的權限,您可以在金鑰政策層級授予權限。
## 如果我取消成員帳戶與組織的連結,Audit Manager 會發生什麼情況?
當您取消組織成員帳戶的連結時,Audit Manager 會收到有關此事件的通知。然後,Audit Manager 會自動從現有評估*範圍中的帳戶*清單中移除此 AWS 帳戶 。當您指定新評估的範圍後,取消連結的帳戶將不會再出現在符合資格的 AWS 帳戶清單中。
當 Audit Manager 從評估*範圍中的帳戶*中移除取消連結的成員帳戶時,系統不會通知您這項變更。此外,取消連結的成員帳戶也不會收到通知,得知帳戶已不再啟用 Audit Manager。
## 如果我將成員帳戶重新連結至組織,會發生什麼情況?
當您將成員帳戶重新連結至組織時,該帳戶不會自動新增至您現有 Audit Manager 評估的範圍。不過,當您在評估*範圍內*指定帳戶 AWS 帳戶 時,重新連結的成員帳戶現在會顯示為合格帳戶。
+ 對於現有評估,您可以手動編輯評估範圍,以新增重新連結的成員帳戶。如需說明,請參閱[步驟 2: AWS 帳戶 編輯範圍內的](edit-assessment.md#edit-accounts)。
+ 對於新的評估,您可以在評估設定期間新增重新連結的帳戶。如需說明,請參閱[步驟 2: AWS 帳戶 在範圍內指定](create-assessments.md#specify-accounts)。
## 如果我將成員帳戶從一個組織移到另一個組織,會發生什麼情況?
如果成員帳戶已在組織 1 中啟用 Audit Manager 然後移轉至組織 2,不會因此啟用組織 2 的 Audit Manager。