本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置委派管理员
如果您通过 Explorer 使用资源数据同步来聚合多个 AWS 区域和账户中的 AWS Organizations 数据,我们建议您为 Explorer. 配置委派管理员。委派管理员可通过以下方式提高 Explorer 的安全性。
-
将可以创建或删除多账户和区域资源数据同步的 Explorer 管理员数量限制为只有一个。
-
您不再需要登录到 AWS Organizations 管理账户 即可管理 Explorer 中的资源数据同步。
有关资源数据同步的更多信息,请参阅 设置 Systems Manager Explorer 以显示多个账户和区域中的数据. 有关 AWS Organizations 的更多信息,请参阅 中的AWS Organizations什么是 ?。AWS Organizations 用户指南
开始前的准备工作
下表包含有关 Explorer 委派管理的重要信息。
-
您只能委派一个账户用于 Explorer 管理。
-
您指定为 Explorer 委派管理员的账户 ID 必须在 AWS Organizations. 中列为成员账户。有关更多信息,请参阅 https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_create.html 中的在组织中创建 AWS 账户AWS Organizations 用户指南。
-
委派管理员可以使用控制台中的所有 Explorer 资源数据同步 API 操作,或者使用编程工具(如开发工具包、AWS CLI 或 适用于 Windows PowerShell 的 AWS 工具)。资源数据同步 API 操作包括:CreateResourceDataSync、DeleteResourceDataSync、ListResourceDataSync 和 UpdateResourceDataSync.
-
委派管理员可以使用控制台或编程工具(如 SDK、Explorer 或 AWS CLI)搜索、筛选和聚合 适用于 Windows PowerShell 的 AWS 工具. 数据。搜索、筛选和数据聚合使用 GetOpsSummary API 操作。
-
委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。
-
委派管理员最多可以创建五个资源数据同步。
-
委派管理员可以为 AWS Organizations 中的整个组织或组织单位的子集创建资源数据同步。
配置 Explorer 委派管理员
使用以下过程注册 Explorer 委派管理员。
注册 Explorer 委派管理员
-
登录您的 AWS Organizations 管理账户。
-
通过以下网址打开 AWS Systems Manager 控制台:https://console.amazonaws.cn/systems-manager/
。 -
在导航窗格中,选择 Explorer。
-
选择 Settings.
-
在 Delegated administrator for Explorer (AWS Lambda 的委托管理员) 部分中,验证您是否已配置所需的服务相关角色和服务访问选项。如有必要,请选择相应按钮来配置这些选项。
-
对于 Account ID (账户 ID),输入 AWS 账户 ID。此账户必须是 中的成员账户。AWS Organizations.
-
选择 Register delegated administrator (注册委派管理员).
委派管理员现在有权访问 AWS OrganizationsCreate resource data sync (创建资源数据同步) 页面上的以下 选项。

取消注册 Explorer 委派管理员
使用以下过程取消注册 Explorer 委派管理员。委派管理员账户只能由 AWS Organizations 管理账户 取消注册。取消注册委派管理员账户后,系统将删除该委派管理员创建的所有 AWS Organizations 资源数据同步。
取消注册 Explorer 委派管理员
-
登录您的 AWS Organizations 管理账户。
-
通过以下网址打开 AWS Systems Manager 控制台:https://console.amazonaws.cn/systems-manager/
。 -
在导航窗格中,选择 Explorer。
-
选择 Settings.
-
在 Delegated administrator for Explorer (Explorer 的委派管理员) 部分,选择 Deregister (取消注册). 系统将显示一条警告。
-
键入账户 ID,然后选择 Remove (删除).
此账户不再具有 AWS Organizations 资源数据同步 API 操作的访问权限。系统将删除此账户创建的所有 AWS Organizations 资源数据同步。