注册 Amazon Config 的委托管理员
委派管理员是给定 Amazon 组织内被授予指定 Amazon 服务的额外管理权限的账户。有关更多信息,请参阅《Amazon Organizations 用户指南》中的委托管理员。您必须使用 Amazon CLI 注册委托管理员。
注册委托管理员
-
使用管理账户凭证登录。
-
打开命令提示符或终端窗口。
-
输入以下命令,以委派管理员身份为组织启用服务访问权限,以便在整个组织中部署和管理 Amazon Config 规则和合规包:
aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com -
输入以下命令,以委派管理员身份为组织启用服务访问权限,以聚合整个组织中的 Amazon Config 数据:
aws organizations enable-aws-service-access --service-principal=config.amazonaws.com -
要检查启用服务访问权限是否已完成,请输入以下命令并按 Enter 执行此命令。
aws organizations list-aws-service-access-for-organization您应该可以看到类似于如下所示的输出内容:
{ "EnabledServicePrincipals": [ { "ServicePrincipal": [ "config.amazonaws.com", "config-multiaccountsetup.amazonaws.com" ], "DateEnabled": 1607020860.881 } ] } -
接下来,输入以下命令以注册一个成员账户作为 Amazon Config 的委派管理员。
aws organizations register-delegated-administrator --service-principal=config-multiaccountsetup.amazonaws.com --account-idMemberAccountID以及
aws organizations register-delegated-administrator --service-principal=config.amazonaws.com --account-idMemberAccountID -
要检查委派管理员注册是否已完成,请从管理账户中输入以下命令,然后按 Enter 键执行该命令。
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com以及
aws organizations list-delegated-administrators --service-principal=config.amazonaws.com您应该可以看到类似于如下所示的输出内容:
{ "DelegatedAdministrators": [ { "Id": "MemberAccountID", "Arn": "arn:aws:organizations::ManagementAccountID:account/o-c7esubdi38/MemberAccountID", "Email": "name@amazon.com", "Name": "name", "Status": "ACTIVE", "JoinedMethod": "INVITED", "JoinedTimestamp":1604867734.48, "DelegationEnabledDate":1607020986.801} ] }