本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
指定 Amazon Inspector 的委派管理員帳戶
委派管理員是管理組織服務的帳戶。本主題說明如何指定 Amazon Inspector 的委派管理員。
考量事項
指定委派管理員之前,請注意下列事項:
- 委派管理員最多可以管理 10,000 個成員。
-
如果您超過 10,000 個成員帳戶,您會透過 Amazon CloudWatch Personal Health Dashboard 收到通知,並透過電子郵件傳送給委派的管理員帳戶。
- 委派管理員是區域管理員。
-
Amazon Inspector 是區域服務。您必須在計劃使用 Amazon Inspector 的每個 AWS 區域 中重複程序中的步驟。
- 組織只能有一個委派管理員。
-
如果將 帳戶指定為其中一個 中的委派管理員 AWS 區域,則該帳戶必須是所有其他 中的委派管理員 AWS 區域。
- 變更委派管理員不會停用成員帳戶的 Amazon Inspector。
-
如果您移除委派管理員,成員帳戶會成為獨立帳戶,且掃描設定不會受到影響。
- 您的 AWS 組織必須啟用所有功能。
-
這是 的預設設定 AWS Organizations。如果未啟用,請參閱啟用組織中的所有功能。
指定委派管理員所需的許可
您必須具有啟用 Amazon Inspector 和指定 Amazon Inspector 委派管理員的許可。將下列陳述式新增至 IAM 政策的結尾,以授予這些許可。如需詳細資訊,請參閱管理 IAM 政策。
{ "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
為您的 AWS 組織指定委派管理員
下列程序說明如何為您的組織指定委派管理員。完成程序之前,請確定您和希望委派管理員管理的成員帳戶位於相同的組織中。
注意
您必須使用 AWS Organizations 管理帳戶來完成此程序。只有 AWS Organizations 管理帳戶可以指定委派管理員。指定委派管理員可能需要許可。如需詳細資訊,請參閱指定委派管理員所需的許可。
當您第一次啟用 Amazon Inspector 時,Amazon Inspector AWSServiceRoleForAmazonInspector會為帳戶建立服務連結角色。如需 Amazon Inspector 如何使用服務連結角色的資訊,請參閱 使用 Amazon Inspector 的服務連結角色。
