委任された管理者と AWS Organizations 問題のトラブルシューティング - AWS Audit Manager
委任された管理者アカウントで Audit Manager を設定できません評価を作成しても、[Accounts in scope] (対象アカウント) の下に組織のアカウントが表示されません委任された管理者アカウントを使用して評価レポートを生成しようとすると、アクセス拒否エラーが発生しますメンバーアカウントを組織からリンク解除すると、Audit Manager はどうなりますか?メンバーアカウントを自分の組織に再リンクするとどうなりますか?メンバーアカウントをある組織から別の組織に移行するとどうなりますか?

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

委任された管理者と AWS Organizations 問題のトラブルシューティング

このページの情報を参照して、Audit Manager での委任された管理者に関する問題を解決できます。

委任された管理者アカウントで Audit Manager を設定できません

では複数の委任された管理者がサポートされていますが AWS Organizations、Audit Manager では委任された管理者は 1 人しか許可されません。Audit Manager で複数の委任された管理者を指定しようとすると、次のエラーメッセージが表示されます。

  • コンソール: You have exceeded the allowed number of delegated administrators for the delegated service

  • CLI: An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333

Audit Manager で委任された管理者として使用する個別のアカウントを 1 つ選択します。委任された管理者アカウントを最初に Organizations に登録してから、Audit Manager で委任された管理者と同じアカウントを追加してください。

評価を作成しても、[Accounts in scope] (対象アカウント) の下に組織のアカウントが表示されません

Audit Manager の評価に組織の複数のアカウントを含める場合は、委任された管理者を指定する必要があります。

Audit Manager の委任された管理者アカウントを設定したことを確認してください。手順については、「委任された管理者の追加」を参照してください。

留意すべきいくつかの問題:

  • Audit Manager では AWS Organizations 、管理アカウントを委任管理者として使用することはできません。

  • 複数の で Audit Manager を有効にする場合は AWS リージョン、リージョンごとに委任管理者アカウントを個別に指定する必要があります。Audit Manager の設定で、すべてのリージョンで同じ委任された管理者アカウントを指定します。

  • 委任された管理者を指定するときは、委任された管理者アカウントが、Audit Manager の設定時に指定したKMSキーにアクセスできることを確認してください。暗号化設定を確認および変更する方法については、「」を参照してくださいデータ暗号化設定の構成

委任された管理者アカウントを使用して評価レポートを生成しようとすると、アクセス拒否エラーが発生します

Audit Manager の設定で指定されたKMSキーが属していない委任管理者アカウントによって評価が作成された場合、access deniedエラーが発生します。このエラーを回避するには、Audit Manager の委任された管理者を指定するときに、委任された管理者アカウントが、Audit Manager の設定時に指定したKMSキーにアクセスできることを確認してください。

評価レポートの宛先として使用している S3 バケットの書き込み許可がない場合にも、access denied エラーが発生する可能性があります。

access denied エラーが発生したら、以下の前提条件を満たしていることを確認してください。

  • Audit Manager 設定のKMSキーは、委任された管理者にアクセス許可を付与します。これを設定するには、「 デベロッパーガイド」の「他のアカウントのユーザーにKMSキーの使用を許可する」の手順に従います。 AWS Key Management Service Audit Manager で暗号化設定を確認および変更する方法については、「」を参照してくださいデータ暗号化設定の構成

  • 評価レポートの宛先への書き込みアクセス権を付与する許可ポリシーがあること。具体的には、アクセス許可ポリシーには s3:PutObjectアクションが含まれ、S3 バケットARNの を指定し、評価レポートの暗号化KMSに使用されるキーが含まれます。使用できるポリシーの例については、「」を参照してください例2 (評価レポートの宛先の許可)

注記

Audit Manager のデータ暗号化の設定を変更した場合、これらの変更は、今後作成する新しい評価に適用されます。ここで言う新しい評価には、新しい評価から作成する評価レポートが含まれます。

この変更は、暗号化の設定を変更する前に作成した既存の評価には適用されません。ここで言う既存の評価には、既存の評価レポートに加え、既存の評価から作成する新しい評価レポートも含まれます。既存の評価とそのすべての評価レポートは、引き続き古いKMSキーを使用します。評価レポートを生成している IAM ID に古いKMSキーを使用するアクセス許可がない場合は、キーポリシーレベルでアクセス許可を付与できます。

メンバーアカウントを組織からリンク解除すると、Audit Manager はこのイベントに関する通知を受け取ります。その後、Audit Manager は既存の評価の範囲リスト内のアカウントからその AWS アカウント を自動的に削除します。今後新しい評価の範囲を指定すると、リンクされていないアカウントは対象となる AWS アカウントのリストに表示されなくなります。

Audit Manager が評価の範囲リスト内のアカウントからリンクされていないメンバーアカウントを削除しても、この変更は通知されません。さらに、リンクされていないメンバーアカウントには、そのアカウントで Audit Manager が有効でなくなったことは通知されません。

メンバーアカウントを組織に再リンクしても、そのアカウントは既存のAudit Manager 評価の範囲には自動的に追加されません。ただし、評価の範囲内でアカウント AWS アカウント を指定すると、再リンクされたメンバーアカウントが 対象として表示されるようになりました。

メンバーアカウントをある組織から別の組織に移行するとどうなりますか?

メンバーアカウントで組織 1 でAudit Manager が有効になってから組織 2 に移行した場合、その結果、組織 2 ではAudit Manager が有効になりません。