No puedo configurar Audit Manager con mi cuenta de administrador delegado Cuando creo una evaluación, no puedo ver las cuentas de mi organización en Cuentas incluidas Aparece un error de acceso denegado cuando intento generar un informe de evaluación con mi cuenta de administrador delegado ¿Qué ocurre en Audit Manager si desvinculo la cuenta de un miembro de mi organización?¿Qué ocurre si vuelvo a vincular la cuenta de un miembro a mi organización?¿Qué ocurre si migro la cuenta de un miembro de una organización a otra?

Solución de problemas AWS Organizations y del administrador delegado

Puede utilizar la información de esta página para resolver los problemas habituales de los administradores delegados en Audit Manager.

Temas

No puedo configurar Audit Manager con mi cuenta de administrador delegado
Cuando creo una evaluación, no puedo ver las cuentas de mi organización en Cuentas incluidas
Aparece un error de acceso denegado cuando intento generar un informe de evaluación con mi cuenta de administrador delegado
¿Qué ocurre en Audit Manager si desvinculo la cuenta de un miembro de mi organización?
¿Qué ocurre si vuelvo a vincular la cuenta de un miembro a mi organización?
¿Qué ocurre si migro la cuenta de un miembro de una organización a otra?

No puedo configurar Audit Manager con mi cuenta de administrador delegado

Aunque se admiten varios administradores delegados AWS Organizations, Audit Manager solo permite un administrador delegado. Si intenta designar varios administradores delegados en Audit Manager, recibirá el siguiente mensaje de error como el que sigue:

Consola: You have exceeded the allowed number of delegated administrators for the delegated service
CLI: An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333

Elija la cuenta individual que desee usar como administrador delegado en Audit Manager. Asegúrese de registrar primero la cuenta de administrador delegado en Organizations y, a continuación, de añadir la misma cuenta que un administrador delegado en Audit Manager.

Cuando creo una evaluación, no puedo ver las cuentas de mi organización en Cuentas incluidas

Si desea que la evaluación de Audit Manager incluya varias cuentas de su organización, debe especificar un administrador delegado.

Asegúrese de configurar una cuenta de administrador delegado para Audit Manager. Para ver instrucciones, consulte Añadir un administrador delegado.

Algunas cuestiones a tener en cuenta:

No puede usar su cuenta AWS Organizations de administración como administrador delegado en Audit Manager.
Si desea activar Audit Manager en más de una Región de AWS, debe designar una cuenta de administrador delegado por separado en cada región. En la configuración de Audit Manager, designe la misma cuenta de administrador delegado en todas las regiones.
Cuando designe a un administrador delegado, asegúrese de que la cuenta del administrador delegado tenga acceso a la KMS clave que proporcionó al configurar Audit Manager. Para obtener información sobre cómo revisar y cambiar la configuración de cifrado, consulte. Configuración de los ajustes de cifrado de datos

Aparece un error de acceso denegado cuando intento generar un informe de evaluación con mi cuenta de administrador delegado

Aparecerá un access denied error si la evaluación la creó una cuenta de administrador delegado a la que no pertenece la KMS clave especificada en la configuración de Audit Manager. Para evitar este error, cuando designe un administrador delegado para Audit Manager, asegúrese de que la cuenta de administrador delegado tenga acceso a la KMS clave que proporcionó al configurar Audit Manager.

También puede recibir un error access denied si no tiene permisos de escritura para el bucket de S3 que utiliza como destino del informe de evaluación.

Si aparece un error access denied, asegúrese de cumplir los siguientes requisitos:

KMSLa clave en la configuración de Audit Manager otorga permisos al administrador delegado. Para configurarlo, sigue las instrucciones de la Guía para AWS Key Management Service desarrolladores sobre cómo permitir que los usuarios de otras cuentas usen una KMS clave. Para obtener instrucciones sobre cómo revisar y cambiar la configuración de cifrado en Audit Manager, consulteConfiguración de los ajustes de cifrado de datos.
Tiene una política de permisos que le otorga acceso de escritura al destino del informe de evaluación. Más específicamente, su política de permisos contiene una s3:PutObject acción, especifica la ARN del bucket de S3 e incluye la KMS clave que se utiliza para cifrar los informes de evaluación. Para ver un ejemplo de política que puede usar, consulteEjemplo 2 (permisos de destino del informe de evaluación).

nota

Al cambiar la configuración de cifrado de datos de Audit Manager, estos cambios se aplican a cualquier evaluación nueva que cree. Esto incluye todos los informes de evaluación que cree a partir de sus nuevas evaluaciones.

Los cambios no se aplican a las evaluaciones existentes que creó antes de cambiar la configuración del cifrado. Esto incluye los nuevos informes de evaluación que se crean a partir de las evaluaciones existentes, además de los informes de evaluación existentes. Las evaluaciones existentes (y todos sus informes de evaluación) siguen utilizando la clave anterior. KMS Si la IAM identidad que genera el informe de evaluación no tiene permisos para usar la KMS clave anterior, puedes conceder permisos a nivel de política clave.

¿Qué ocurre en Audit Manager si desvinculo la cuenta de un miembro de mi organización?

Al desvincular la cuenta de un miembro de una organización, Audit Manager recibe una notificación sobre este evento. A continuación, Audit Manager elimina esa Cuenta de AWS automáticamente de las listas de cuentas incluidas de sus evaluaciones existentes. Al especificar el ámbito de las nuevas evaluaciones en el futuro, la cuenta desvinculada ya no aparece en la lista de Cuentas de AWS elegibles.

Cuando Audit Manager elimina una cuenta de miembro desvinculada de las listas de cuentas incluidas de sus evaluaciones, no se le notifica este cambio. Además, a la cuenta de miembro desvinculada no se le notifica que Audit Manager ya no está activado en su cuenta.

¿Qué ocurre si vuelvo a vincular la cuenta de un miembro a mi organización?

Cuando vuelve a vincular una cuenta de miembro a u organización, esa cuenta no se añade automáticamente al ámbito de sus evaluaciones de Audit Manager existentes. Sin embargo, la cuenta de miembro que se ha vuelto a vincular ahora aparece como apta Cuenta de AWS cuando especificas las cuentas incluidas en el ámbito de tus evaluaciones.

En el caso de las evaluaciones existentes, puede editar manualmente el ámbito de la evaluación para añadir la cuenta de miembro revinculada. Para ver instrucciones, consulte Paso 2: Editar Cuentas de AWS el alcance.
Para las nuevas evaluaciones, puede añadir la cuenta revinculada durante la configuración de la evaluación. Para ver instrucciones, consulte Paso 2: Cuentas de AWS Especifica el alcance.

¿Qué ocurre si migro la cuenta de un miembro de una organización a otra?

Si la cuenta de un miembro tiene Audit Manager activado en la organización 1 y, a continuación, migra a la organización 2, Audit Manager no estará habilitado para la organización 2 como resultado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas del panel

Solución de problemas del buscador de evidencias