本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
指定 Amazon Inspector 的委派管理員帳戶
委派管理員是管理組織服務的帳戶。本主題說明如何指定 Amazon Inspector 的委派管理員。
考量事項
指定委派管理員之前,請注意下列事項:
- 委派管理員最多可以管理 10,000 個成員。
-
如果您超過 10,000 個成員帳戶,您會透過 Amazon CloudWatch Personal Health Dashboard 收到通知,並透過電子郵件傳送給委派的管理員帳戶。
注意
透過超過 10,000 個帳戶 (最多 50,000 個) 的組織 AWS Organizations 政策啟用 Amazon Inspector 時,該政策適用於所有帳戶。不過,只有 10,000 個帳戶會與 Amazon Inspector 組織相關聯。也就是說,委派管理員只能在 Amazon Inspector 主控台中檢視這 10,000 個帳戶的調查結果和帳戶狀態。
- 委派管理員是區域管理員。
-
Amazon Inspector 是區域服務。您必須在計劃使用 Amazon Inspector 的每個 AWS 區域 中重複程序中的步驟。
- 組織只能有一個委派管理員。
-
如果將 帳戶指定為其中一個 中的委派管理員 AWS 區域,則該帳戶必須是所有其他 中的委派管理員 AWS 區域。
- 變更委派管理員不會停用成員帳戶的 Amazon Inspector。
-
如果您移除委派管理員,成員帳戶會成為獨立帳戶,且掃描設定不會受到影響。
- 您的 AWS 組織必須啟用所有功能。
-
這是 的預設設定 AWS Organizations。如果未啟用,請參閱啟用組織中的所有功能。
- 組織政策優先於委派的管理員設定。
-
如果您的組織使用 AWS Organizations 政策來啟用 Amazon Inspector,政策設定會決定啟用哪些掃描類型。我們建議您在建立組織政策之前指定委派管理員,以確保一致的控管。如需詳細資訊,請參閱組織政策控管模型。
指定委派管理員所需的許可
您必須擁有啟用 Amazon Inspector 和指定 Amazon Inspector 委派管理員的許可。將下列陳述式新增至 IAM 政策的結尾,以授予這些許可。如需詳細資訊,請參閱管理 IAM 政策。
{ "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
為您的 AWS 組織指定委派管理員
下列程序說明如何為您的組織指定委派管理員。完成程序之前,請確定您在與希望委派管理員管理的成員帳戶相同的組織中。
注意
您必須使用 AWS Organizations 管理帳戶來完成此程序。只有 AWS Organizations 管理帳戶可以指定委派管理員。指定委派管理員可能需要許可。如需詳細資訊,請參閱指定委派管理員所需的許可。
當您第一次啟用 Amazon Inspector 時,Amazon Inspector AWSServiceRoleForAmazonInspector會為帳戶建立服務連結角色。如需 Amazon Inspector 如何使用服務連結角色的資訊,請參閱 使用 Amazon Inspector 的服務連結角色。
