Designazione di un account amministratore delegato per Amazon Inspector - Amazon Inspector
Considerazioni importanti per gli amministratori delegatiAutorizzazioni necessarie per designare un amministratore delegatoDesignazione di un amministratore delegato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Designazione di un account amministratore delegato per Amazon Inspector

L'account amministratore delegato è un account designato per gestire tutti gli account dei membri di un servizio. AWS Gli account amministratore delegato in Amazon Inspector hanno accesso a metadati specifici. Per ulteriori informazioni, consulta Informazioni sull'account amministratore delegato e sull'account membro Amazon Inspector. Questa sezione descrive come designare un amministratore delegato per Amazon Inspector.

Considerazioni importanti per gli amministratori delegati

Prendi nota dei seguenti fattori che definiscono il modo in cui l'amministratore delegato opera in Amazon Inspector:

Un amministratore delegato può gestire un massimo di 5.000 membri.

Ogni amministratore delegato di Amazon Inspector ha una quota di 5.000 account membri. Tuttavia, la tua organizzazione potrebbe includere più di 5.000 account. Se superi i 5.000 account membro, riceverai una notifica tramite Amazon CloudWatch Personal Health Dashboard e un'e-mail all'account amministratore delegato.

Un amministratore delegato è regionale.

Al contrario AWS Organizations, Amazon Inspector è un servizio regionale. Ciò significa che devi designare un amministratore delegato, aggiungere account membro e attivare i tipi di scansione in ognuno dei quali Regione AWS desideri utilizzare Amazon Inspector.

Un'organizzazione può avere un solo amministratore delegato.

Puoi avere un solo amministratore delegato per Amazon Inspector per un'organizzazione. Se hai designato un account come amministratore delegato in una regione, quell'account deve essere il tuo amministratore delegato in tutte le altre regioni.

La modifica di un amministratore delegato non disattiva Amazon Inspector per gli account dei membri.

Se rimuovi l'amministratore delegato, Amazon Inspector non verrà disattivato in quegli account e le impostazioni di scansione non ne risentiranno.

La tua AWS organizzazione deve avere tutte le funzionalità attivate.

Questa è l'impostazione predefinita per AWS Organizations. Se non è attivata, vedi Attivazione di tutte le funzionalità nell'organizzazione.

Autorizzazioni necessarie per designare un amministratore delegato

È necessario disporre dell'autorizzazione per attivare Amazon Inspector e designare un amministratore delegato di Amazon Inspector.

Aggiungi la seguente dichiarazione alla fine di una IAM policy per concedere queste autorizzazioni.


{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

Designazione di un amministratore delegato per l'organizzazione AWS

La procedura seguente mostra come designare un amministratore delegato per l'organizzazione. AWS Una volta completata questa designazione, Amazon Inspector viene attivato sia per l'account di gestione Organizations che per l'account amministratore delegato scelto.

Nota

Solo l'account di gestione Organizations può designare un amministratore delegato.

La prima attivazione di Amazon Inspector per la prima volta crea il ruolo collegato al servizio SLR () AWSServiceRoleForAmazonInspector per l'account. Per ulteriori informazioni su come Amazon Inspector utilizza i ruoli collegati ai servizi, consulta. Utilizzo di ruoli collegati ai servizi per Amazon Inspector Per informazioni sui ruoli collegati ai servizi in generale, consulta Using service-linked roles nella Guida per l'utente. IAM

Per designare un amministratore delegato per Amazon Inspector

Console
Designare un amministratore delegato nella console

  1. Accedi all'account di gestione AWS Management Console utilizzando l'account di AWS Organizations gestione.

  2. Apri la console Amazon Inspector su v2/home. https://console.aws.amazon.com/inspector/

  3. Utilizza il Regione AWS selettore per specificare la regione in cui desideri designare un amministratore delegato.

  4. Scegli Impostazioni generali.

  5. Nel riquadro Amministratore delegato, inserisci l'ID dell'account Account AWS che desideri designare come amministratore delegato, quindi scegli Amministrazione delegata.

  6. (Facoltativo) Ripeti i passaggi precedenti per ciascuno di essi. Regione AWS

API
Designare un amministratore delegato utilizzando il API

  • Esegui l'EnableDelegatedAdminAccountAPIoperazione utilizzando le credenziali dell'account Account AWS di gestione Organizations. È inoltre possibile utilizzare il AWS Command Line Interface per eseguire questa operazione eseguendo il seguente CLI comando:aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111.

    Nota

    Assicurati di specificare l'ID dell'account che desideri rendere amministratore delegato di Amazon Inspector.

Dopo aver specificato l'amministratore delegato, devi utilizzare l'account di AWS Organizations gestione solo per modificare o rimuovere l'account amministratore delegato.