委派系統管理員與 AWS Organizations 相關問題疑難排解 - AWS Audit Manager
我無法在 Audit Manager 設定委派系統管理員帳戶建立評估時,我無法在範圍內的帳戶看到組織中的帳戶當我嘗試使用委派系統管理員帳戶產生評估報告時,出現存取遭拒的錯誤如果我取消成員帳戶與組織的連結,Audit Manager 會發生什麼情況?如果我將成員帳戶重新連結至組織,會發生什麼情況?如果我將成員帳戶從一個組織移到另一個組織,會發生什麼情況?

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

委派系統管理員與 AWS Organizations 相關問題疑難排解

請參考此頁面提供的資訊來解決 Audit Manager 中常見的委派系統管理員問題。

我無法在 Audit Manager 設定委派系統管理員帳戶

雖然中支援多個委派管理員 AWS Organizations,但 Audit Manager 只允許一名委派管理員。如果您嘗試在 Audit Manager 中指定多個委派系統管理員,您會收到下列錯誤訊息:

  • 主控台:You have exceeded the allowed number of delegated administrators for the delegated service

  • CLI: An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333

在 Audit Manager 中,選擇一個要擔任委派系統管理員的帳戶。請務必先在組織內註冊此委派系統管理員帳戶,然後在 Audit Manager 新增與委派系統管理員相同的帳戶

建立評估時,我無法在範圍內的帳戶看到組織中的帳戶

如果您希望 Audit Manager 評估包含組織中的多個帳戶,則必須指定委派系統管理員。

請確認您已為 Audit Manager 配置委派系統管理員帳戶。如需說明,請參閱新增委派管理員

需要謹記的一些事項:

  • 您無法在 Audit Manager AWS Organizations 管理員中以委派的系統管理員身分使用您的管理帳戶。

  • 如果您要啟用多個 Audit Manager 員 AWS 區域,則必須在每個區域中個別指定委派的管理員帳戶。在 Audit Manager 設定中,為所有區域指定相同的委派系統管理員帳戶。

  • 當您指定委派的管理員時,請確定委派的管理員帳戶可存取您在設定 Audit Manager 時提供的KMS金鑰。若要瞭解如何檢閱和變更加密設定,請參閱設定您的資料加密設定

當我嘗試使用委派系統管理員帳戶產生評估報告時,出現存取遭拒的錯誤

access denied果您的評估是由委派的系統管理員帳戶所建立,且 Audit Manager 員設定中指定的KMS金鑰不屬於,您將會收到錯誤訊息。若要避免此錯誤,當您指定稽核管理員的委派管理員時,請確定委派的管理員帳戶具有您在設定 Audit Manager 員時所提供之KMS金鑰的存取權。

如果您沒有用作評估報告目的地的的 S3 儲存貯體的寫入權限,您也可能會收到 access denied 錯誤訊息。

若您收到 access denied 錯誤訊息,請確定您符合下列要求:

  • 您在 Audit Manager 員設定中的KMS金鑰會授予委派管理員的權限。您可以依照AWS Key Management Service 開發人員指南中允許其他帳戶中的使用者使用KMS金鑰中的指示進行設定。如需如何在 Audit Manager 中檢閱和變更加密設定的指示,請參閱設定您的資料加密設定

  • 您擁有一個權限策略,該策略可授予您評估報告目的地的寫入存取權限。更具體地說,您的許可政策包含一個s3:PutObject動作、指定 S3 儲存貯體的動作,並包含用於加密評估報告的KMS金鑰。ARN如需可使用的原則範例,請參閱範例 2 (評估報表目的地許可)

注意

如果您變更 Audit Manager 資料加密設定,這些變更會套用至您未來建立的新評估。這包括您依據新評估所建立的任何評估報告。

這些變更不會套用至您在變更加密設定之前,已建立的現有評估。出了現有的評估報告之外,這還包括了您根據現有評估建立的新評估報告。現有的評估及其所有評估報告都會繼續使用舊金鑰。KMS如果產生評估報告的IAM身分識別沒有使用舊KMS金鑰的權限,您可以在金鑰原則層級授與權限。

當您取消組織成員帳戶的連結時,Audit Manager 會收到有關此事件的通知。然後,Audit Manager 會自動從現有評估範圍中的帳戶清單中移除此 AWS 帳戶 。當您指定新評估的範圍後,取消連結的帳戶將不會再出現在符合資格的 AWS 帳戶清單中。

當 Audit Manager 從評估範圍中的帳戶中移除取消連結的成員帳戶時,系統不會通知您這項變更。此外,取消連結的成員帳戶也不會收到通知,得知帳戶已不再啟用 Audit Manager。

當您將成員帳戶重新連結至組織時,該帳戶不會自動新增至您現有 Audit Manager 評估的範圍。但是,當您在評估範圍內指定帳戶 AWS 帳戶 時,重新連結的成員帳戶現在會顯示為符合資格。

如果我將成員帳戶從一個組織移到另一個組織,會發生什麼情況?

如果成員帳戶已在組織 1 中啟用 Audit Manager 然後移轉至組織 2,不會因此啟用組織 2 的 Audit Manager。