AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Explorer 的委派管理員
如果您透過使用資源資料同步搭配 AWS Organizations 彙總來自多個 AWS 區域 和帳戶的 AWS Systems Manager Explorer 資料,則我們建議您為 Explorer 設定委派管理員。委派系統管理員可透過下列方式改善 Explorer 安全性。
-
限制 Explorer 管理員數目,這些管理員可建立或刪除多帳戶以及同步到個別 AWS 帳戶 的區域資源資料。
-
您不再需要登入 AWS Organizations 管理帳戶,即可管理 Explorer 中的資源資料同步。
受委派的管理員可以透過主控台、SDK、AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 使用下列 Explorer 資源資料同步 API:
委派管理員可以從主控台或使用程式設計工具 (例如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell) 搜尋、篩選和彙總 Explorer 資料。搜尋、篩選和資料彙總會使用 GetOpsSummary API 操作。
委派管理員可以為整個組織或組織單位的子集建立最多五個資源資料同步。委派管理員所建立的資源資料同步只能在委派管理員帳戶中使用。您無法在 AWS Organizations 管理帳戶中檢視同步或彙總的資料。
注意
您無法使用委派管理員帳戶在選擇加入 AWS 區域中建立資源資料同步。您必須使用 AWS Organizations 管理帳戶。
如需資源資料同步的相關資訊,請參閱 設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料。如需 AWS Organizations 的詳細資訊,請參閱《AWS Organizations 使用者指南》中的什麼是 AWS Organizations?。
開始之前
下列清單包含有關 Explorer 委派管理的重要資訊。
-
您只能委派一個帳戶進行 Explorer 管理。
-
您指定為 Explorer 委派管理員的帳戶 ID 必須列為 AWS Organizations 中的成員帳戶。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的建立組織中的 AWS 帳戶。
-
委派管理員可以使用主控台中的所有 Explorer 資源資料同步 API 操作,或使用程式設計工具 (例如開發套件、AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell)。資源資料同步 API 操作包括下列項目:CreateResourceDataSync、DeleteResourceDataSync、ListResourceDataSync 和 UpdateResourceDataSync。
-
委派管理員可以在主控台中搜尋、篩選和彙總 Explorer 資料,或使用程式設計工具 (例如 SDK、AWS CLI 或 AWS Tools for Windows PowerShell)。搜尋、篩選和資料彙總會使用 GetOpsSummary API 操作。
-
委派管理員所建立的資源資料同步只能在委派管理員帳戶中使用。您無法在 AWS Organizations 管理帳戶中檢視同步或彙總的資料。
-
委派管理員最多可建立五個資源資料同步。
-
委派管理員可以為 AWS Organizations 中的整個組織或組織單位的子集建立資源資料同步。
