为 Explorer 配置委派管理员 - Amazon Systems Manager
开始前的准备工作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Explorer 配置委派管理员

如果您通过将资源数据同步与 Amazon Organizations 结合使用来聚合多个 Amazon Web Services 区域和账户中的 Amazon Systems Manager Explorer 数据,我们建议您为 Explorer 配置一个委派管理员。委派管理员可通过以下方式提高 Explorer 的安全性。

  • 将可以创建或删除多账户和区域资源数据同步的 Explorer 管理员数量限制为一个 Amazon Web Services 账户。

  • 您不再需要登录到 Amazon Organizations 管理账户即可管理 Explorer 中的资源数据同步。

委派管理员可以使用控制台、SDK、Amazon Command Line Interface(Amazon CLI)或 Amazon Tools for Windows PowerShell,使用以下 Explorer 资源数据同步 API:

委派管理员可以使用控制台或编程工具(如 SDK、Amazon CLI 或 Amazon Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 GetOpsSummary API 操作。

委派管理员可以为整个组织或组织单位的子集创建最多五个资源数据同步。委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 Amazon Organizations 管理账户中查看同步数据或聚合数据。

注意

您不能使用委派管理员账户在选择加入 Amazon Web Services 区域中创建资源数据同步。您必须使用 Amazon Organizations 管理账户。

有关资源数据同步的更多信息,请参阅 设置 Systems Manager Explorer 以显示来自多个账户和区域的数据。有关 Amazon Organizations 的更多信息,请参阅《Amazon Organizations 用户指南》中的什么是 Amazon Organizations?

主题

开始前的准备工作

下表包含有关 Explorer 委派管理的重要信息。

  • 您只能委派一个账户用于 Explorer 管理。

  • 您指定为 Explorer 委派管理员的账户 ID 必须在 Amazon Organizations 中列为成员账户。有关更多信息,请参阅 Amazon Organizations 用户指南中的在您的组织中创建 Amazon Web Services 账户

  • 委托管理员可在控制台中使用所有 Explorer 资源数据同步 API 操作,也可通过 SDK、Amazon Command Line Interface (Amazon CLI) 或 Amazon Tools for Windows PowerShell 等编程工具来使用这些操作。资源数据同步 API 操作包括:CreateResourceDataSyncDeleteResourceDataSyncListResourceDataSyncUpdateResourceDataSync

  • 委派管理员可以使用控制台或编程工具(如 SDK、Amazon CLI 或 Amazon Tools for Windows PowerShell)搜索、筛选和聚合 Explorer 数据。搜索、筛选和数据聚合使用 GetOpsSummary API 操作。

  • 委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 Amazon Organizations 管理账户中查看同步数据或聚合数据。

  • 委派管理员最多可以创建五个资源数据同步。

  • 委派管理员可以为 Amazon Organizations 中的整个组织或组织单位的子集创建资源数据同步。