配置委派管理员 - AWS Systems Manager
开始前的准备工作配置 Explorer 委派管理员取消注册 Explorer 委派管理员
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置委派管理员

如果您通过 Explorer 使用资源数据同步来聚合多个 AWS 区域和账户中的 AWS Organizations 数据,我们建议您为 Explorer. 配置委派管理员。委派管理员可通过以下方式提高 Explorer 的安全性。

  • 将可以创建或删除多账户和区域资源数据同步的 Explorer 管理员数量限制为只有一个。

  • 您不再需要登录到 AWS Organizations 管理账户 即可管理 Explorer 中的资源数据同步。

有关资源数据同步的更多信息,请参阅 设置 Systems Manager Explorer 以显示多个账户和区域中的数据. 有关 AWS Organizations 的更多信息,请参阅 中的AWS Organizations什么是 ?。AWS Organizations 用户指南

开始前的准备工作

下表包含有关 Explorer 委派管理的重要信息。

  • 您只能委派一个账户用于 Explorer 管理。

  • 您指定为 Explorer 委派管理员的账户 ID 必须在 AWS Organizations. 中列为成员账户。有关更多信息,请参阅 https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_create.html 中的在组织中创建 AWS 账户AWS Organizations 用户指南。

  • 委派管理员可以使用控制台中的所有 Explorer 资源数据同步 API 操作,或者使用编程工具(如开发工具包、AWS CLI 或 适用于 Windows PowerShell 的 AWS 工具)。资源数据同步 API 操作包括:CreateResourceDataSyncDeleteResourceDataSyncListResourceDataSyncUpdateResourceDataSync.

  • 委派管理员可以使用控制台或编程工具(如 SDK、Explorer 或 AWS CLI)搜索、筛选和聚合 适用于 Windows PowerShell 的 AWS 工具. 数据。搜索、筛选和数据聚合使用 GetOpsSummary API 操作。

  • 委派管理员创建的资源数据同步仅在委派管理员账户中可用。您无法在 AWS Organizations 管理账户中查看同步数据或聚合数据。

  • 委派管理员最多可以创建五个资源数据同步。

  • 委派管理员可以为 AWS Organizations 中的整个组织或组织单位的子集创建资源数据同步。

配置 Explorer 委派管理员

使用以下过程注册 Explorer 委派管理员。

注册 Explorer 委派管理员

  1. 登录您的 AWS Organizations 管理账户。

  2. 通过以下网址打开 AWS Systems Manager 控制台:https://console.amazonaws.cn/systems-manager/

  3. 在导航窗格中,选择 Explorer

  4. 选择 Settings.

  5. Delegated administrator for Explorer (AWS Lambda 的委托管理员) 部分中,验证您是否已配置所需的服务相关角色和服务访问选项。如有必要,请选择相应按钮来配置这些选项。

    Settings (设置)Explorer 页面中的委托管理部分。

  6. 对于 Account ID (账户 ID),输入 AWS 账户 ID。此账户必须是 中的成员账户。AWS Organizations.

  7. 选择 Register delegated administrator (注册委派管理员).

委派管理员现在有权访问 AWS OrganizationsCreate resource data sync (创建资源数据同步) 页面上的以下 选项。

AWS Organizations 资源数据同步的 Explorer 选项。

取消注册 Explorer 委派管理员

使用以下过程取消注册 Explorer 委派管理员。委派管理员账户只能由 AWS Organizations 管理账户 取消注册。取消注册委派管理员账户后,系统将删除该委派管理员创建的所有 AWS Organizations 资源数据同步。

取消注册 Explorer 委派管理员

  1. 登录您的 AWS Organizations 管理账户。

  2. 通过以下网址打开 AWS Systems Manager 控制台:https://console.amazonaws.cn/systems-manager/

  3. 在导航窗格中,选择 Explorer

  4. 选择 Settings.

  5. Delegated administrator for Explorer (Explorer 的委派管理员) 部分,选择 Deregister (取消注册). 系统将显示一条警告。

  6. 键入账户 ID,然后选择 Remove (删除).

此账户不再具有 AWS Organizations 资源数据同步 API 操作的访问权限。系统将删除此账户创建的所有 AWS Organizations 资源数据同步。