委托管理员组织视图

在 AWS Health 中，您可以利用 AWS Organizations 的委托管理员功能，该功能允许管理账户以外的账户在 AWS Health 控制面板上或通过 AWS HealthAPI 以编程方式查看聚合 AWS Health 事件。委托管理员功能使不同团队能够灵活查看和管理整个组织的运行状况事件。将责任委派到管理账户之外是一种 AWS 安全最佳实践（如果可能）。

目录

• 为您的组织视图注册委托管理员
• 从您的组织视图中移除委托管理员

为您的组织视图注册委托管理员

为组织启用组织视图后，最多可以在组织中注册五个成员账户作为委托管理员。为此，请调用 RegisterDelegatedAdministrator API 操作。注册成员账户后，成员账户将成为委托管理员账户，并可从 AWS Health 控制面板访问 AWS Health 组织视图。如果账户具有商业、Enterprise On-Ramp 或企业 Support 计划，则委托管理员可以使用 AWS Health API 访问 AWS Health 组织视图。

要建立委托管理员，请从组织的管理账户调用以下 AWS Command Line Interface (AWS CLI) 命令。您可以从管理账户或从可担任具有所需 AWS Identity and Access Management 权限的角色的账户使用此命令。在以下命令示例中，将 ACCOUNT_ID 替换为要与 AWS Health 服务主体 "health.amazonaws.com" 一起注册的成员账户 ID。

aws organizations register-delegated-administrator --account-id ACCOUNT_ID --service-principal  health.amazonaws.com

注册委托管理员后，您可以查看影响全组织账户的所有 AWS Health 事件。您可以查看过去 90 天或自首次启用组织视图功能以来的历史事件（以较近者为准）。请注意，启用委托管理员功能是异步过程，需要长达一分钟完成。

从您的组织视图中移除委托管理员

要移除委托管理员的访问权限，请调用 DeregisterDelegatedAdministrator API 操作。

从组织的管理账户中，调用以下 AWS CLI 命令，从而以委托管理员的身份移除成员账户。在以下示例命令中，将 ACCOUNT_ID 替换为要移除的成员账户 ID。

aws organizations deregister-delegated-administrator --account-id ACCOUNT_ID --service-principal  health.amazonaws.com