指定 Amazon Inspector 的委派管理員帳戶 - Amazon Inspector

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

指定 Amazon Inspector 的委派管理員帳戶

委派管理員是管理組織服務的帳戶。本主題說明如何指定 Amazon Inspector 的委派管理員。

考量事項

指定委派管理員之前,請注意下列事項:

委派管理員最多可以管理 10,000 個成員。

如果您超過 10,000 個成員帳戶,您會透過 Amazon CloudWatch Personal Health Dashboard 收到通知,並透過電子郵件傳送給委派的管理員帳戶。

委派管理員是區域管理員。

Amazon Inspector 是區域服務。您必須在計劃使用 Amazon Inspector 的每個 AWS 區域 中重複程序中的步驟。

組織只能有一個委派管理員。

如果將 帳戶指定為其中一個 中的委派管理員 AWS 區域,則該帳戶必須是所有其他 中的委派管理員 AWS 區域。

變更委派管理員不會停用成員帳戶的 Amazon Inspector。

如果您移除委派管理員,成員帳戶會成為獨立帳戶,且掃描設定不會受到影響。

您的 AWS 組織必須啟用所有功能。

這是 的預設設定 AWS Organizations。如果未啟用,請參閱啟用組織中的所有功能

指定委派管理員所需的許可

您必須具有啟用 Amazon Inspector 和指定 Amazon Inspector 委派管理員的許可。將下列陳述式新增至 IAM 政策的結尾,以授予這些許可。如需詳細資訊,請參閱管理 IAM 政策

{ "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }

為您的 AWS 組織指定委派管理員

下列程序說明如何為您的組織指定委派管理員。完成程序之前,請確定您和希望委派管理員管理的成員帳戶位於相同的組織中。

注意

您必須使用 AWS Organizations 管理帳戶來完成此程序。只有 AWS Organizations 管理帳戶可以指定委派管理員。指定委派管理員可能需要許可。如需詳細資訊,請參閱指定委派管理員所需的許可

當您第一次啟用 Amazon Inspector 時,Amazon Inspector AWSServiceRoleForAmazonInspector會為帳戶建立服務連結角色。如需 Amazon Inspector 如何使用服務連結角色的資訊,請參閱 使用 Amazon Inspector 的服務連結角色

Console
為 Amazon Inspector 指定委派管理員
  1. 登入 AWS Organizations 管理帳戶,然後開啟位於 https://https://console.aws.amazon.com/inspector/v2/home 的 Amazon Inspector 主控台。

  2. 使用 AWS 區域 選擇器來指定您要指定委派管理員的 AWS 區域 。

  3. 從導覽窗格中,選擇一般設定

  4. 委派管理員下,輸入 AWS 帳戶 您要指定為委派管理員之 的 12 位數 ID。

  5. 選擇委派,然後再次選擇委派

當您指定委派管理員時,預設會為帳戶啟用所有掃描類型。如果您想要為 AWS Organizations 管理帳戶啟用 Amazon Inspector,請完成下列程序。

為 AWS Organizations 管理帳戶啟用 Amazon Inspector
  1. 登入委派的管理員帳戶,然後開啟位於 https://https://console.aws.amazon.com/inspector/v2/home 的 Amazon Inspector 主控台。

  2. 從導覽窗格中,選擇帳戶管理

  3. 帳戶下,選取 AWS Organizations 管理帳戶,然後選擇啟用

  4. 選取您要為 AWS Organizations 管理帳戶啟用的掃描類型,然後選擇提交

API
使用 API 指定委派管理員
  • 使用 Organizations 管理帳戶的 登入資料來執行 EnableDelegatedAdminAccount API AWS 帳戶 操作。您也可以執行下列 CLI 命令 AWS Command Line Interface ,使用 來執行此操作:aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111

    注意

    請務必指定您要成為 Amazon Inspector 委派管理員之帳戶的帳戶 ID。