Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memecahkan masalah administrator dan masalah yang didelegasikan AWS Organizations
Anda dapat menggunakan informasi di halaman ini untuk menyelesaikan masalah administrator umum yang didelegasikan di Audit Manager.
Topik
- Saya tidak dapat mengatur Audit Manager dengan akun administrator yang didelegasikan
- Saat membuat penilaian, saya tidak dapat melihat akun dari organisasi saya dalam cakupan Akun
- Saya mendapatkan kesalahan akses ditolak ketika saya mencoba membuat laporan penilaian menggunakan akun administrator yang didelegasikan
- Apa yang terjadi di Audit Manager jika saya memutuskan tautan akun anggota dari organisasi saya?
- Apa yang terjadi jika saya menautkan kembali akun anggota ke organisasi saya?
- Apa yang terjadi jika saya memigrasikan akun anggota dari satu organisasi ke organisasi lain?
Saya tidak dapat mengatur Audit Manager dengan akun administrator yang didelegasikan
Meskipun beberapa administrator yang didelegasikan didukung AWS Organizations, Audit Manager hanya mengizinkan satu administrator yang didelegasikan. Jika Anda mencoba menunjuk beberapa administrator yang didelegasikan di Audit Manager, Anda menerima pesan galat berikut:
-
Konsol:
You have exceeded the allowed number of delegated administrators for the delegated service -
CLI:
An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333
Pilih satu akun individual yang ingin Anda gunakan sebagai administrator yang didelegasikan di Audit Manager. Pastikan Anda mendaftarkan akun administrator yang didelegasikan di Organizations terlebih dahulu, lalu tambahkan akun yang sama dengan administrator yang didelegasikan di Audit Manager.
Saat membuat penilaian, saya tidak dapat melihat akun dari organisasi saya dalam cakupan Akun
Jika ingin penilaian Audit Manager menyertakan beberapa akun dari organisasi, Anda harus menentukan administrator yang didelegasikan.
Pastikan Anda mengonfigurasi akun administrator yang didelegasikan untuk Audit Manager. Untuk petunjuk, lihat Menambahkan administrator yang didelegasikan.
Beberapa masalah yang perlu diingat:
-
Anda tidak dapat menggunakan akun AWS Organizations manajemen sebagai administrator yang didelegasikan di Audit Manager.
-
Jika Anda ingin mengaktifkan Audit Manager di lebih dari satu Wilayah AWS, Anda harus menetapkan akun administrator yang didelegasikan secara terpisah di setiap Wilayah. Di setelan Audit Manager Anda, tentukan akun administrator yang didelegasikan yang sama di semua Wilayah.
-
Saat Anda menunjuk administrator yang didelegasikan, pastikan akun administrator yang didelegasikan memiliki akses pada KMS kunci yang Anda berikan saat menyiapkan Audit Manager. Untuk mempelajari cara meninjau dan mengubah setelan enkripsi Anda, lihatMengonfigurasi setelan enkripsi data.
Saya mendapatkan kesalahan akses ditolak ketika saya mencoba membuat laporan penilaian menggunakan akun administrator yang didelegasikan
Anda akan mendapatkan access denied kesalahan jika penilaian dibuat oleh akun administrator yang didelegasikan bahwa KMS kunci yang ditentukan dalam pengaturan Audit Manager Anda bukan milik. Untuk menghindari kesalahan ini, saat Anda menunjuk administrator yang didelegasikan untuk Audit Manager, pastikan akun administrator yang didelegasikan memiliki akses pada KMS kunci yang Anda berikan saat menyiapkan Audit Manager.
Anda mungkin juga menerima access denied kesalahan jika tidak memiliki izin menulis untuk bucket S3 yang Anda gunakan sebagai tujuan laporan penilaian.
Jika Anda mendapatkan access denied kesalahan, pastikan Anda memenuhi persyaratan berikut:
-
KMSKunci Anda di setelan Audit Manager memberikan izin kepada administrator yang didelegasikan. Anda dapat mengonfigurasinya dengan mengikuti petunjuk di Mengizinkan pengguna di akun lain menggunakan KMS kunci di Panduan AWS Key Management Service Pengembang. Untuk petunjuk tentang cara meninjau dan mengubah setelan enkripsi Anda di Audit Manager, lihatMengonfigurasi setelan enkripsi data.
-
Anda memiliki kebijakan izin yang memberi Anda akses menulis untuk tujuan laporan penilaian. Lebih khusus lagi, kebijakan izin berisi
s3:PutObjecttindakan, menentukan bucket S3, dan menyertakan KMS kunci yang digunakan untuk mengenkripsi laporan penilaian Anda. ARN Untuk contoh kebijakan yang dapat Anda gunakan, lihatContoh 2 (Izin tujuan laporan penilaian).
catatan
Jika Anda mengubah setelan enkripsi data Audit Manager, perubahan ini berlaku untuk penilaian baru yang Anda buat selanjutnya. Ini termasuk laporan penilaian apa pun yang Anda buat dari penilaian baru Anda.
Perubahan tidak berlaku untuk penilaian yang sudah ada yang Anda buat sebelum mengubah setelan enkripsi. Ini termasuk laporan penilaian baru yang Anda buat dari penilaian yang ada, selain laporan penilaian yang ada. Penilaian yang ada — dan semua laporan penilaian mereka — terus menggunakan kunci lama. KMS Jika IAM identitas yang menghasilkan laporan penilaian tidak memiliki izin untuk menggunakan KMS kunci lama, Anda dapat memberikan izin di tingkat kebijakan utama.
Apa yang terjadi di Audit Manager jika saya memutuskan tautan akun anggota dari organisasi saya?
Saat Anda memutuskan tautan akun anggota dari organisasi, Audit Manager menerima pemberitahuan tentang acara ini. Audit Manager kemudian secara otomatis menghapusnya Akun AWS dari akun dalam daftar cakupan penilaian Anda yang ada. Saat Anda menentukan cakupan penilaian baru yang bergerak maju, akun yang tidak ditautkan tidak lagi muncul dalam daftar yang memenuhi syarat. Akun AWS
Saat Audit Manager menghapus akun anggota yang tidak ditautkan dari akun dalam daftar cakupan penilaian Anda, Anda tidak akan diberi tahu tentang perubahan ini. Selain itu, akun anggota yang tidak ditautkan tidak diberi tahu bahwa Audit Manager tidak lagi diaktifkan di akun mereka.
Apa yang terjadi jika saya menautkan kembali akun anggota ke organisasi saya?
Saat Anda menautkan kembali akun anggota ke organisasi Anda, akun tersebut tidak secara otomatis ditambahkan ke cakupan penilaian Audit Manager yang ada. Namun, akun anggota yang ditautkan kembali sekarang muncul sebagai memenuhi syarat Akun AWS saat Anda menentukan akun dalam lingkup penilaian Anda.
-
Untuk penilaian yang ada, Anda dapat mengedit cakupan penilaian secara manual untuk menambahkan akun anggota yang ditautkan kembali. Untuk petunjuk, lihat Langkah 2: Edit Akun AWS dalam ruang lingkup.
-
Untuk penilaian baru, Anda dapat menambahkan akun yang ditautkan ulang selama penyiapan penilaian. Untuk petunjuk, lihat Langkah 2: Tentukan Akun AWS dalam ruang lingkup.
Apa yang terjadi jika saya memigrasikan akun anggota dari satu organisasi ke organisasi lain?
Jika akun anggota mengaktifkan Audit Manager di organisasi 1 dan kemudian bermigrasi ke organisasi 2, Audit Manager tidak diaktifkan untuk organisasi 2 sebagai hasilnya.
