AWS Audit Manager et AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Audit Manager et AWS Organizations

AWS Audit Manager vous aide à auditer en continu votre utilisation d'AWS pour simplifier la gestion des risques et la conformité aux réglementations et aux normes du secteur. Audit Manager automatise la collecte de preuves pour faciliter l'évaluation de l'efficacité de vos politiques, procédures et activités. Lorsqu'il est temps d'effectuer un audit, Audit Manager vous aide à gérer les examens de vos contrôles par les parties prenantes et vous aide à créer des rapports prêts à être vérifiés avec beaucoup moins d'effort manuel.

Lorsque vous intégrez Audit Manager à AWS Organizations, vous pouvez recueillir des preuves auprès d'une source plus large en incluant plusieurs Comptes AWS de votre organisation dans le cadre de vos évaluations.

Pour de plus amples informations, consultez Activer AWS Organizations dans le Guide de l'utilisateur Audit Manager.

Utilisez les informations suivantes pour vous aider à intégrer AWS Audit Manager à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Audit Manager d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Audit Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.

Pour en savoir plus sur la manière dont Audit Manager utilise ce rôle, consultez Utilisation des rôles liés à un service dans le Guide de l'utilisateur AWS Audit Manager.

  • AWSServiceRoleForAuditManager

Mandataires de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Audit Manager autorisent l'accès aux mandataires de service suivants :

  • auditmanager.amazonaws.com

Pour activer l'accès approuvé avec Audit Manager

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Audit Manager exige un accès approuvé à AWS Organizations avant que vous puissiez désigner un compte membre comme administrateur délégué pour votre organisation.

Vous pouvez activer l'accès approuvé à l'aide de la console AWS Audit Manager ou de la console AWS Organizations.

Important

Nous vous recommandons vivement d'utiliser la console ou les outils d'AWS Audit Manager pour activer l'intégration à Organizations. Cela permet à AWS Audit Manager d'effectuer toute configuration nécessaire, par exemple la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Audit Manager. Pour plus d'informations, consultez cette note.

Si vous activez l'accès approuvé à l'aide de la console ou des outils d'AWS Audit Manager, vous n'avez pas besoin de suivre ces étapes.

Pour activer l'accès approuvé à l'aide de la console Audit Manager

Pour obtenir des instructions sur l'activation de l'accès approuvé, consultez Configuration dans le Guide de l'utilisateur AWS Audit Manager.

Note

Si vous configurez un administrateur délégué à l'aide de la console AWS Audit Manager, AWS Audit Manager active automatiquement l'accès approuvé pour vous.

Vous pouvez activer l'accès approuvé en exécutant une commande de AWS CLI Organizations ou en appelant une opération d'API Organizations dans l'un des SDK AWS.

AWS CLI, AWS API
Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les commandes de AWS CLI ou les opérations d'API suivantes pour activer l'accès approuvé aux services :

  • AWS CLI : enable-aws-service-access

    Vous pouvez exécuter la commande suivante pour activer AWS Audit Manager en tant que service approuvé pour Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal auditmanager.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • API AWS : EnableAWSServiceAccess

Pour désactiver l'accès approuvé avec Audit Manager

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Seul un administrateur du compte de gestion AWS Organizations peut désactiver l'accès approuvé avec AWS Audit Manager.

Vous pouvez désactiver l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez désactiver l'accès approuvé en exécutant une commande de AWS CLI Organizations ou en appelant une opération d'API Organizations dans l'un des SDK AWS.

AWS CLI, AWS API
Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les commandes de AWS CLI ou les opérations d'API suivantes pour désactiver l'accès aux services approuvés :

  • AWS CLI : disable-aws-service-access

    Vous pouvez exécuter la commande suivante pour désactiver AWS Audit Manager en tant que service approuvé pour Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal auditmanager.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • API AWS : DisableAWSServiceAccess

Activation d'un compte administrateur délégué pour Audit Manager

Lorsque vous désignez un compte de membre comme administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Audit Manager qui, autrement, ne peuvent être effectuées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion d'Audit Manager.

Autorisations minimales

Seuls un utilisateur ou un rôle du compte de gestion d'Organizations disposant de l'autorisation suivante peuvent configurer un compte membre en tant qu'administrateur délégué pour Audit Manager dans l'organisation :

audit-manager:RegisterAccount

Pour obtenir des instructions sur l'activation d'un compte administrateur délégué pour Audit Manager, consultez Configuration dans le Guide de l'utilisateur AWS Audit Manager.

Si vous configurez un administrateur délégué à l'aide de la console AWS Audit Manager, Audit Manager active automatiquement l'accès approuvé pour vous.

AWS CLI, AWS API

Si vous souhaitez configurer un compte administrateur délégué à l'aide de la CLI d'AWS ou de l'un des SDK AWS, vous pouvez utiliser les commandes suivantes :

  • AWS CLI:

    $ aws audit-manager register-account \ --delegated-admin-account 123456789012
  • SDK AWS : appelez l'opération RegisterAccount et donnez delegatedAdminAccount comme paramètre pour déléguer le compte administrateur.