Designación de una cuenta de administrador delegado para Amazon Inspector - Amazon Inspector
Consideraciones importantes para administradores delegadosPermisos necesarios para designar un administrador delegadoDesignación de un administrador delegado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Designación de una cuenta de administrador delegado para Amazon Inspector

La cuenta de administrador delegado es una cuenta que usted designa para administrar todas las cuentas de los miembros de un AWS servicio. Las cuentas de administrador delegado de Amazon Inspector tienen acceso a metadatos específicos. Para obtener más información, consulte Descripción de la cuenta de administrador delegado y la cuenta de miembro Amazon Inspector. En esta sección se describe cómo designar un administrador delegado para Amazon Inspector.

Consideraciones importantes para administradores delegados

Tome nota de los siguientes factores que definen cómo funciona el rol de administrador delegado en Amazon Inspector.

Un administrador delegado puede administrar un máximo de 5000 miembros.

Cada administrador delegado de Amazon Inspector tiene una cuota de 5000 cuentas de miembros. Sin embargo, puede haber más de 5000 cuentas en la organización. Si superas las 5000 cuentas de miembro, recibirás una notificación a través del Amazon CloudWatch Personal Health Dashboard y un correo electrónico a la cuenta del administrador delegado.

Un administrador delegado es regional.

A diferencia AWS Organizations de Amazon Inspector, es un servicio regional. Esto significa que debe designar un administrador delegado, añadir cuentas de miembros y activar los tipos de escaneo en cada uno de los sitios en los Región de AWS que desee utilizar Amazon Inspector.

Una organización solo puede tener un administrador delegado.

Solo puede haber un administrador delegado de Amazon Inspector en una organización. Si ha designado una cuenta como administrador delegado en una región, esa cuenta debe ser su administrador delegado en todas las demás regiones.

Cambiar de administrador delegado no desactivará Amazon Inspector para las cuentas de miembros.

Si eliminas al administrador delegado, Amazon Inspector no se desactivará en esas cuentas y la configuración de digitalización no se verá afectada.

Tu AWS organización debe tener todas las funciones activadas.

Esta es la configuración predeterminada para AWS Organizations. Si no está activada, consulte Activar todas las funciones de su organización.

Permisos necesarios para designar un administrador delegado

Debe tener permiso para activar Amazon Inspector y designar un administrador delegado de Amazon Inspector.

Agregue la siguiente declaración al final de una IAM política para conceder estos permisos.


{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

Designación de un administrador delegado para su organización AWS

El siguiente procedimiento le muestra cómo designar un administrador delegado para su organización. AWS Cuando se complete esta designación, Amazon Inspector se activará tanto para la cuenta de administración de Organizations como para la cuenta del administrador delegado elegida.

nota

Solo la cuenta de administración de Organizations puede designar un administrador delegado.

Al activar Amazon Inspector por primera vez, se crea el rol vinculado al servicio (SLR) AWSServiceRoleForAmazonInspector para la cuenta. Para obtener más información sobre cómo utiliza Amazon Inspector los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para Amazon Inspector. Para obtener información sobre las funciones vinculadas a servicios en general, consulte Uso de funciones vinculadas a servicios en la Guía del usuario. IAM

Designación de un administrador delegado para Amazon Inspector

Console
Designación de un administrador delegado en la consola

  1. Inicie sesión con la cuenta de administración AWS Management Console . AWS Organizations

  2. Abre la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

  3. Utilice el Región de AWS selector para especificar la región en la que desea designar un administrador delegado.

  4. Elija Configuración general.

  5. En el mosaico Administrador delegado, introduzca el ID de cuenta del administrador delegado Cuenta de AWS que desee designar y, a continuación, seleccione Administración delegada.

  6. (Opcional) Repita los pasos anteriores para cada uno de ellos. Región de AWS

API
Designe un administrador delegado mediante el API

  • Ejecute la EnableDelegatedAdminAccountAPIoperación con las credenciales de la cuenta Cuenta de AWS de administración de Organizations. También puede usar el AWS Command Line Interface para hacer esto ejecutando el siguiente CLI comando:aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111.

    nota

    Asegúrese de especificar el ID de cuenta de la cuenta que desea convertir en administrador delegado de Amazon Inspector.

Después de especificar el administrador delegado, debe usar la cuenta de AWS Organizations administración únicamente para cambiar o eliminar la cuenta de administrador delegado.