指定 Amazon Inspector 委托管理员 - Amazon Inspector
委托管理员的重要注意事项指定委托管理员所需的权限指定委托管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

指定 Amazon Inspector 委托管理员

委托管理员的重要注意事项

请注意以下因素,它们定义了委托管理员在 Amazon Inspector 中如何操作:

一名委托管理员最多可以管理 5,000 名成员。

每个 Amazon Inspector 委托管理员有 5,000 个成员账户的配额。但是,您的组织可能有超过 5,000 个账户。如果您的成员账户超过 5,000 个,您将通过 Amazon Person CloudWatch al Health Dashboard 收到通知,并向委托管理员账户发送一封电子邮件。

委托管理员是区域性的。

与之不同的是 Amazon Organizations,Amazon Inspector 是一项区域服务。这意味着您必须指定委托管理员,添加成员账户,并在要在其中使用 Amazon Inspector 的每个 Amazon Web Services 区域 账户中激活扫描类型。

一个组织只能有一名委托管理员。

您只能为一个组织指定一名 Amazon Inspector 委托管理员。如果您已将一个账户指定为一个区域的委托管理员,则该账户必须是您在所有其他区域的委托管理员。

更改委托管理员不会停用成员账户的 Amazon Inspector。

如果您移除授权的管理员,则这些账户中的 Amazon Inspector 不会被停用,扫描设置也不会受到影响。

您的 Amazon 组织必须激活所有功能。

这是的默认设置 Amazon Organizations。如果尚未激活,请参阅激活组织中的所有功能

指定委托管理员所需的权限

您必须拥有激活 Amazon Inspector 和指定 Amazon Inspector 委托管理员的权限。

将以下语句添加到 IAM policy 的末尾以授予这些权限。


{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

为您的 Amazon 组织指定委派管理员

以下过程说明如何为您的 Amazon 组织指定委派管理员。指定完成后,将为组织管理账户和所选委托管理员账户激活 Amazon Inspector。

注意

只有组织管理账户才能指定委托管理员。

首次激活 Amazon Inspector 会AWSServiceRoleForAmazonInspector为账户创建服务相关角色 (SLR)。有关 Amazon Inspector 如何使用服务相关角色的更多信息,请参阅对 Amazon Inspector 使用服务相关角色。有关服务相关角色的一般信息,请参阅 IAM 用户指南中的使用服务相关角色

指定 Amazon Inspector 委托管理员

Console
在控制台中指定委托管理员

  1. Amazon Web Services Management Console 使用 Amazon Organizations 管理账户登录。

  2. 打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home,然后使用右上角的 Amazon Web Services 区域 选择器指定您要在其中指定管理员的区域。

  3. 授权管理员窗格中,输入您要指定为组织的 Amazon Inspector 委托管理员的十二位数账户 ID。 Amazon Web Services 账户 然后选择 “委托管理”。

  4. (推荐)在每个 Amazon Web Services 区域中重复执行上述步骤。

API
使用 API 指定委托管理员

  • 使用 Organizations 管理账户 Amazon Web Services 账户 的凭据运行 EnableDelegatedAdminAccountAPI 操作。您也可以通过运行 Amazon Command Line Interface 以下 CLI 命令来执行此操作:aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111

    注意

    请务必指定您想要成为 Amazon Inspector 委托管理员的账户的账户 ID。

指定委托管理员后,您只能使用 Amazon Organizations 管理账号来更改或移除委托管理员账号。