指定 Amazon Inspector 的委派管理员账户 - Amazon Inspector
注意事项指定委派管理员所需的权限指定委托管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

指定 Amazon Inspector 的委派管理员账户

委派管理员是一个为组织管理服务的账户。本主题介绍了如何指定 Amazon Inspector 的委派管理员。

注意事项

在指定委派管理员之前,请注意以下事项:

委派管理员最多可以管理 1 万个成员。

如果成员账户超过 1 万个,您将收到 Amazon CloudWatch Personal Health Dashboard 通知,同时系统会向委派管理员账户发送一封电子邮件。

委派管理员是区域性的。

Amazon Inspector 是一项区域服务。您必须在计划使用 Amazon Inspector 的每个 Amazon Web Services 区域中重复该过程的步骤。

一个组织只能有一名委托管理员。

如果在一个 Amazon Web Services 区域中将某个账户指定为委派管理员,则该账户必须是所有其他 Amazon Web Services 区域中的委派管理员。

更改委托管理员不会停用成员账户的 Amazon Inspector。

如果您移除委派管理员,则成员账户将变为独立账户,扫描设置不受影响。

您的 Amazon 组织必须激活所有特征。

这是 Amazon Organizations 的默认设置。如果未激活所有特征,请参阅激活组织中的所有特征

指定委派管理员所需的权限

您必须拥有激活 Amazon Inspector 和指定 Amazon Inspector 委托管理员的权限。将以下语句添加到 IAM 策略的末尾以授予这些权限。有关更多信息,请参阅管理 IAM 策略


{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

为您的 Amazon 组织指定委托管理员

以下过程介绍了如何为您的组织指定委派管理员。在完成该过程之前,请确保您与想要委派管理员管理的成员账户均在同一个组织中。

注意

您必须使用 Amazon Organizations 管理账户才能完成此过程。只有 Amazon Organizations 管理账户才能指定委派管理员。可能需要权限才能指定委派管理员。有关更多信息,请参阅指定委派管理员所需的权限

当您首次激活 Amazon Inspector 时,Amazon Inspector 会为账户创建服务相关角色 AWSServiceRoleForAmazonInspector。有关 Amazon Inspector 如何使用服务相关角色的信息,请参阅对 Amazon Inspector 使用服务相关角色

Console
指定 Amazon Inspector 委托管理员

  1. 登录 Amazon Organizations 管理账户,然后打开 Amazon Inspector 控制台,网址为:https://console.aws.amazon.com/inspector/v2/home

  2. 使用 Amazon Web Services 区域选择器指定要在其中指定委派管理员的 Amazon Web Services 区域。

  3. 在导航窗格中,选择常规设置

  4. 委派管理员下,输入您想指定为委派管理员的 Amazon Web Services 账户的 12 位 ID。

  5. 选择委派,然后再次选择委派

当您指定委派管理员时,默认情况下会为该账户激活所有扫描类型。如果您想为 Amazon Organizations 管理账户激活 Amazon Inspector,请完成以下步骤。

为 Amazon Organizations 管理账户激活 Amazon Inspector

  1. 登录委派管理员账户,然后打开 Amazon Inspector 控制台,网址为:https://console.aws.amazon.com/inspector/v2/home

  2. 在导航窗格中,选择账户管理

  3. 账户下,选择 Amazon Organizations 管理账户,然后选择激活

  4. 选择要为 Amazon Organizations 管理账户激活的扫描类型,然后选择提交

API
使用 API 指定委派管理员

  • 使用组织管理账户的 Amazon Web Services 账户凭证运行 EnableDelegatedAdminAccount API 操作。您也可以使用 Amazon Command Line Interface,通过运行以下 CLI 命令来执行此操作:aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111

    注意

    确保指定要设置为 Amazon Inspector 委派管理员的账户的账户 ID。