本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
指定 Amazon Inspector 的委派管理员账户
委派管理员是管理组织服务的账户。本主题介绍如何为 Amazon Inspector 指定委托管理员。
注意事项
在指定委派管理员之前,请注意以下几点:
- 委托管理员最多可以管理 10,000 个成员。
-
如果您的成员账户超过 10,000 个,您将通过 Amazon Person CloudWatch al Health Dashboard 收到通知,并通过电子邮件发送至委托管理员账户。
- 委派的管理员是区域性的。
-
Amazon Inspector 是一项区域服务。在计划使用 Amazon Inspector 的每个 Amazon Web Services 区域 地方,您都必须重复该过程中的步骤。
- 一个组织只能有一名委托管理员。
-
如果将一个账户指定为其中一个账户的委托管理员 Amazon Web Services 区域,则该账户必须是所有其他账户中的委托管理员 Amazon Web Services 区域。
- 更改委托管理员不会停用成员账户的 Amazon Inspector。
-
如果您移除委派的管理员,则成员账户将变为独立账户,扫描设置不受影响。
- 您的 Amazon 组织必须激活所有功能。
-
这是的默认设置 Amazon Organizations。如果未激活所有特征,请参阅激活组织中的所有特征。
指定委托管理员所需的权限
您必须拥有激活 Amazon Inspector 和指定 Amazon Inspector 委托管理员的权限。在您的 IAM 策略末尾添加以下语句以授予这些权限。有关更多信息,请参阅管理 IAM 策略。
{ "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
为您的 Amazon 组织指定委派管理员
以下过程介绍如何为您的组织指定委派管理员。在完成该过程之前,请确保您与想要授权管理员管理的成员账户位于同一个组织中。
注意
您必须使用 Amazon Organizations 管理账户才能完成此过程。只有 Amazon Organizations 管理账号才能指定委派管理员。可能需要权限才能指定委派管理员。有关更多信息,请参阅 指定委托管理员所需的权限。
当您首次激活 Amazon Inspector 时,Amazon Inspector 会AWSServiceRoleForAmazonInspector为账户创建服务关联角色。有关 Amazon Inspector 如何使用服务相关角色的信息,请参阅对 Amazon Inspector 使用服务相关角色。