本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 Amazon Inspector 指定委派的管理員帳戶
委派的系統管理員帳戶是您指定用來管理 AWS 服務之所有成員帳戶的帳戶。Amazon Inspector 中委派的管理員帳戶可以存取特定的中繼資料。如需詳細資訊,請參閱了解委派的管理員帳戶和成員帳戶 Amazon Inspector。本節說明如何為 Amazon Inspector 指定委派管理員。
委派管理員的重要考量
請注意下列定義委派管理員在 Amazon Inspector 中操作方式的因素:
- 委派的系統管理員最多可管理 5,000 名成員。
-
每個 Amazon Inspector 委派的管理員都有 5,000 個成員帳戶的配額。但是,您的組織可能包含 5,000 多個帳戶。如果您超過 5,000 個會員帳戶,您將透過 Amazon Pers CloudWatch onal Health Dashboard 收到通知,並傳送給委派管理員帳戶的電子郵件。
- 委派管理員為區域性。
-
不同的是 AWS Organizations,Amazon Inspector 是一個區域服務。這表示您必須指定委派的管理員、新增成員帳戶,以及啟用每個想 AWS 區域 要使用 Amazon Inspector 的掃描類型。
- 一個組織只能有一個委派管理員。
-
對於一個組織,您只能有一個委派給 Amazon Inspector 的管理員。如果您已將帳戶指定為某個區域中的委派管理員,則該帳戶必須是您在所有其他區域中的委派管理員。
- 變更委派的管理員不會停用會員帳戶的 Amazon Inspector。
-
如果您移除委派的管理員,則不會停用這些帳戶中的 Amazon Inspector,而且掃描設定也不會受到影響。
- 您的 AWS 組織必須啟用所有功能。
-
這是的預設設定 AWS Organizations。如果尚未啟用,請參閱啟用組織中的所有功能。
指定委派管理員所需的許可
您必須有權限才能啟用 Amazon Inspector,並指定 Amazon Inspector 員委派的管理員。
將下列陳述式新增至IAM原則結尾,以授與這些權限。
{ "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
為您的組織指定委派的 AWS 管理員
下列程序說明如何為 AWS 組織指定委派管理員。完成此指定後,Amazon Inspector 會同時針對 Organizations 管理帳戶和選擇的委派管理員帳戶啟用。
注意
只有「Organizations」管理帳戶可以指定委派的管理員。
第一次啟用 Amazon Inspector 會建立帳戶的服務連結角色 (SLR) AWSServiceRoleForAmazonInspector。如需 Amazon Inspector 如何使用服務連結角色的詳細資訊,請參閱使用 Amazon Inspector 的服務連結角色。如需有關服務連結角色的一般資訊,請參閱使用指南中的使用服務連結角色。IAM
若要指定 Amazon Inspector 員的委派管理員
指定委派管理員之後,您只能使用 AWS Organizations 管理帳戶來變更或移除委派的管理員帳戶。
