委托管理员和 AWS Organizations 问题排查 - AWS Audit Manager
我无法使用我的委派管理员账户设置 Audit Manager当我创建评测时,我无法在范围内的账户下看到我所在组织的账户当我尝试使用我的委托管理员账户生成评测报告时,出现拒绝访问的错误如果我取消成员账户与我的组织的关联,在 Audit Manager 中会发生什么?我将成员账户重新关联到我的组织后会发生什么?我将成员账户从一个组织迁移到另一个组织后会发生什么?

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

委托管理员和 AWS Organizations 问题排查

您可以使用此页面上的信息来解决 Audit Manager 中常见的委托管理员问题。

我无法使用我的委派管理员账户设置 Audit Manager

尽管中支持多个委派管理员 AWS Organizations,但 Audit Manager 只允许一个委派管理员。如果您尝试在 Audit Manager 中指定多个委托管理员,则会收到以下错误消息:

  • 控制台:You have exceeded the allowed number of delegated administrators for the delegated service

  • CLI: An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333

在 Audit Manager 中选择一个要用作委托管理员的个人账户。请务必先在 Organizations 中注册委托管理员账户,然后在 Audit Manager 中将该账户添加为委托管理员

当我创建评测时,我无法在范围内的账户下看到我所在组织的账户

如果您希望 Audit Manager 评测包含您所在组织的多个账户,则必须指定委托管理员。

请确保为 Audit Manager 配置了委托管理员账户。有关说明,请参阅添加委派管理员

请记住以下事项:

  • 您不能在 Audit Manager 中以委托管理员的身份使用您的 AWS Organizations 管理帐户。

  • 如果要在多个区域中启用 Audit Manager AWS 区域,则必须在每个区域中分别指定一个委派管理员帐户。在您的 Audit Manager 设置中,您应该在所有区域指定同一委托管理员账户。

  • 指定委派管理员时,请确保委派的管理员帐户有权访问您在设置 Audit Manager 时提供的KMS密钥。要了解如何查看和更改您的加密设置,请参阅配置您的数据加密设置

当我尝试使用我的委托管理员账户生成评测报告时,出现拒绝访问的错误

如果您的评估是由您的 Audit Manager 设置中指定的KMS密钥不属于的委派管理员帐户创建的,则会收到access denied错误消息。为避免此错误,在为 Audit Manager 指定委派管理员时,请确保委派的管理员帐户有权访问您在设置 Audit Manager 时提供的KMS密钥。

如果您对用作评测报告目的地的 S3 桶没有写入权限,也可能会收到 access denied 错误消息。

如果您遇到 access denied 错误,确保您满足以下要求:

  • 您在 Audit Manager 设置中的KMS密钥向被授权的管理员授予权限。您可以按照AWS Key Management Service 开发者指南中允许其他账户中的用户使用KMS密钥中的说明进行配置。有关如何在 Audit Manager 中查看和更改加密设置的说明,请参阅配置您的数据加密设置

  • 您的权限策略授予您对评测报告目的地的写入权限。更具体地说,您的权限策略包含s3:PutObject操作、指定 S3 存储桶的操作以及用于加密评估报告的密KMS钥。ARN有关您可以使用的策略示例,请参阅示例 2(评测报告目标权限)

注意

如果您更改了 Audit Manager 数据加密设置,则这些更改将应用于您今后创建的新评测。这包括您根据新评测创建的任何评测报告。

这些更改不适用于您在更改加密设置之前已创建的评测。除现有评测报告外,这还包括您根据现有评测创建的新评测报告。现有的评估及其所有评估报告继续使用旧密钥。KMS如果生成评估报告的IAM身份没有使用旧KMS密钥的权限,则可以在密钥策略级别授予权限。

当您取消成员账户与组织的关联时,Audit Manager 会收到相关通知。然后,Audit Manager 会自动将该 AWS 账户 从现有评测的范围内的账户列表中移除。当您指定之后新评测的范围时,未关联的账户将不再出现在符合条件的 AWS 账户列表中。

当 Audit Manager 从您评测的范围内账户列表中移除未关联的成员账户时,您不会收到有关此更改的通知。此外,未关联的成员账户不会收到告知其账户已不再启用 Audit Manager 的通知。

当您将成员账户重新关联到您的组织时,该账户不会自动添加到您的现有 Audit Manager 评测范围中。但是,当您指定评估范围内的账户 AWS 账户 时,重新关联的成员账户现在显示为符合条件的账户。

我将成员账户从一个组织迁移到另一个组织后会发生什么?

如果成员账户在组织 1 中启用了 Audit Manager,然后迁移到组织 2,则无法为组织 2 启用 Audit Manager。