Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des problèmes liés aux administrateurs délégués et à AWS Organizations
Vous pouvez utiliser les informations de cette page pour résoudre les problèmes courants liés aux administrateurs délégués dans Audit Manager.
Rubriques
- Je ne parviens pas à configurer Audit Manager avec mon compte administrateur délégué
- Lorsque je crée une évaluation, je ne parviens pas à voir les comptes de mon organisation sous Comptes concernés
- Je reçois un message d’erreur accès refusé lorsque j’essaie de générer un rapport d’évaluation à l’aide de mon compte administrateur délégué
- Que se passe-t-il dans Audit Manager si je dissocie un compte membre de mon organisation ?
- Que se passe-t-il si je réassocie un compte membre à mon organisation ?
- Que se passe-t-il si je migre un compte membre d’une organisation vers une autre ?
Je ne parviens pas à configurer Audit Manager avec mon compte administrateur délégué
Bien que plusieurs administrateurs délégués soient pris en charge AWS Organizations, Audit Manager n'autorise qu'un seul administrateur délégué. Si vous essayez de désigner plusieurs administrateurs délégués dans Audit Manager, vous recevez le message d’erreur suivant :
-
Console :
You have exceeded the allowed number of delegated administrators for the delegated service -
CLI:
An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333
Choisissez le compte individuel que vous souhaitez utiliser en tant qu’administrateur délégué dans Audit Manager. Assurez-vous d’abord d’enregistrer le compte administrateur délégué dans Organizations, puis d’ajouter le même compte en tant qu’administrateur délégué dans Audit Manager.
Lorsque je crée une évaluation, je ne parviens pas à voir les comptes de mon organisation sous Comptes concernés
Si vous souhaitez que votre évaluation Audit Manager inclue plusieurs comptes de votre organisation, vous devez spécifier un administrateur délégué.
Vérifiez que vous avez configuré un compte administrateur délégué pour Audit Manager. Pour obtenir des instructions, veuillez consulter Ajouter un administrateur délégué.
Voici quelques points à garder à l’esprit :
-
Vous ne pouvez pas utiliser votre compte AWS Organizations de gestion en tant qu'administrateur délégué dans Audit Manager.
-
Si vous souhaitez activer Audit Manager dans plusieurs régions Région AWS, vous devez désigner un compte d'administrateur délégué séparément dans chaque région. Dans vos paramètres Audit Manager, désignez le même compte administrateur délégué dans toutes les régions.
-
Lorsque vous désignez un administrateur délégué, assurez-vous que le compte d'administrateur délégué a accès à la KMS clé que vous avez fournie lors de la configuration d'Audit Manager. Pour savoir comment vérifier et modifier vos paramètres de chiffrement, consultezConfiguration des paramètres de chiffrement des données.
Je reçois un message d’erreur accès refusé lorsque j’essaie de générer un rapport d’évaluation à l’aide de mon compte administrateur délégué
Vous recevrez un access denied message d'erreur si votre évaluation a été créée par un compte d'administrateur délégué auquel n'appartient pas la KMS clé spécifiée dans les paramètres de votre Audit Manager. Pour éviter cette erreur, lorsque vous désignez un administrateur délégué pour Audit Manager, assurez-vous que le compte d'administrateur délégué a accès à la KMS clé que vous avez fournie lors de la configuration d'Audit Manager.
Vous pouvez également recevoir un message d’erreur access denied si vous ne disposez pas des autorisations d’écriture pour le compartiment S3 que vous utilisez comme destination de votre rapport d’évaluation.
Si vous recevez un message d’erreur access denied, veillez à respecter les exigences suivantes :
-
Votre KMS clé dans les paramètres de l'Audit Manager donne des autorisations à l'administrateur délégué. Vous pouvez le configurer en suivant les instructions de la section Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé dans le Guide du AWS Key Management Service développeur. Pour obtenir des instructions sur la façon de vérifier et de modifier vos paramètres de chiffrement dans Audit Manager, consultezConfiguration des paramètres de chiffrement des données.
-
Vous disposez d’une politique d’autorisation qui vous accorde un accès en écriture à la destination du rapport d’évaluation. Plus précisément, votre politique d'autorisation contient une
s3:PutObjectaction, spécifie le ARN compartiment S3 et inclut la KMS clé utilisée pour chiffrer vos rapports d'évaluation. Pour un exemple de politique que vous pouvez utiliser, consultezExemple 2 (autorisations de destination du rapport d’évaluation).
Note
Si vous modifiez vos paramètres de chiffrement des données dans Audit Manager, ces modifications s’appliqueront aux nouvelles évaluations que vous créerez à l’avenir. Cela inclut tous les rapports d’évaluation que vous créez à partir de vos nouvelles évaluations.
Les modifications ne s’appliquent pas aux évaluations existantes que vous avez créées avant de modifier vos paramètres de chiffrement. Cela inclut les nouveaux rapports d’évaluation que vous créez à partir d’évaluations existantes, en plus des rapports d’évaluation existants. Les évaluations existantes, ainsi que tous leurs rapports d'évaluation, continuent d'utiliser l'ancienne clé. KMS Si l'IAMidentité qui génère le rapport d'évaluation n'est pas autorisée à utiliser l'ancienne KMS clé, vous pouvez accorder des autorisations au niveau de la politique clé.
Que se passe-t-il dans Audit Manager si je dissocie un compte membre de mon organisation ?
Lorsque vous dissociez un compte membre d’une organisation, Audit Manager reçoit une notification concernant cet événement. Audit Manager supprime ensuite automatiquement cet Compte AWS des listes des comptes concernés par vos évaluations existantes. Lorsque vous définissez l’étendue des nouvelles évaluations à venir, le compte dissocié n’apparaît plus dans la liste des Comptes AWSéligibles.
Lorsqu’Audit Manager supprime un compte membre dissocié des listes des comptes concernés par vos évaluations, vous n’êtes pas informé de cette modification. De plus, le compte membre dissocié n’est pas informé qu’Audit Manager n’est plus activé sur son compte.
Que se passe-t-il si je réassocie un compte membre à mon organisation ?
Lorsque vous réassociez un compte membre à votre organisation, ce compte n’est pas automatiquement ajouté à l’étendue de vos évaluations Audit Manager existantes. Toutefois, le compte de membre réassocié apparaît désormais comme éligible Compte AWS lorsque vous spécifiez les comptes concernés par vos évaluations.
-
Pour les évaluations existantes, vous pouvez modifier manuellement l’étendue de l’évaluation pour ajouter le compte membre réassocié. Pour obtenir des instructions, veuillez consulter Étape 2 : Modifier Comptes AWS dans le champ d'application.
-
Pour les nouvelles évaluations, vous pouvez ajouter le compte réassocié lors de la configuration de l’évaluation. Pour obtenir des instructions, veuillez consulter Étape 2 : Spécifier le champ Comptes AWS d'application.
Que se passe-t-il si je migre un compte membre d’une organisation vers une autre ?
Si Audit Manager est activé sur un compte membre dans l’organisation 1, mais que ce compte migre vers l’organisation 2, Audit Manager n’est pas activé pour l’organisation 2.
