Behebung von Problemen mit delegierten AWS Organizations -Administratoren - AWS Audit Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Problemen mit delegierten AWS Organizations -Administratoren

Sie können die Informationen auf dieser Seite verwenden, um häufig auftretende Probleme mit delegierten Administratoren in Audit Manager zu lösen.

Ich kann Audit Manager nicht mit meinem delegierten Administratorkonto einrichten

Obwohl mehrere delegierte Administratoren unterstützt werden AWS Organizations, erlaubt Audit Manager nur einen delegierten Administrator. Wenn Sie versuchen, mehrere delegierte Administratoren in Audit Manager zu benennen, erhalten Sie die folgende Fehlermeldung:

  • Konsole: You have exceeded the allowed number of delegated administrators for the delegated service

  • CLI: An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333

Wählen Sie das einzelne Konto aus, das Sie als Ihren delegierten Administrator in Audit Manager verwenden möchten. Stellen Sie sicher, dass Sie zuerst das delegierte Administratorkonto in Organizations registrieren und dann dasselbe Konto wie ein delegierter Administrator in Audit Manager hinzufügen.

Wenn ich eine Bewertung erstelle, kann ich die Konten meiner Organisation unter Konten im Bewertungsumfang nicht sehen

Wenn Sie möchten, dass Ihre Audit Manager-Bewertung mehrere Konten aus Ihrer Organisation umfasst, müssen Sie einen delegierten Administrator angeben.

Stellen Sie sicher, dass Sie ein delegiertes Administratorkonto für Audit Manager konfiguriert haben. Anweisungen finden Sie unter Hinzufügen eines delegierten Administrators.

Einige Probleme, die Sie berücksichtigen sollten:

  • Sie können Ihr AWS Organizations Verwaltungskonto nicht als delegierter Administrator in Audit Manager verwenden.

  • Wenn Sie Audit Manager in mehreren Regionen aktivieren möchten AWS-Region, müssen Sie in jeder Region separat ein delegiertes Administratorkonto einrichten. Geben Sie in Ihren Audit Manager-Einstellungen für alle Regionen dasselbe delegierte Administratorkonto an.

  • Wenn Sie einen delegierten Administrator benennen, stellen Sie sicher, dass das delegierte Administratorkonto Zugriff auf den KMS Schlüssel hat, den Sie bei der Einrichtung von Audit Manager angeben. Informationen zum Überprüfen und Ändern Ihrer Verschlüsselungseinstellungen finden Sie unter. Konfiguration Ihrer Datenverschlüsselungseinstellungen

Ich erhalte die Fehlermeldung Zugriff verweigert, wenn ich versuche, mit meinem delegierten Administratorkonto einen Bewertungsbericht zu erstellen

Sie erhalten eine access denied Fehlermeldung, wenn Ihre Bewertung von einem delegierten Administratorkonto erstellt wurde, zu dem der in Ihren Audit Manager Manager-Einstellungen angegebene KMS Schlüssel nicht gehört. Um diesen Fehler zu vermeiden, stellen Sie bei der Benennung eines delegierten Administrators für Audit Manager sicher, dass das delegierte Administratorkonto Zugriff auf den KMS Schlüssel hat, den Sie bei der Einrichtung von Audit Manager angegeben haben.

Möglicherweise erhalten Sie auch eine access denied-Fehlermeldung, wenn Sie keine Schreibberechtigungen für den S3-Bucket haben, den Sie als Ziel für Ihren Bewertungsbericht verwenden.

Wenn Sie eine access denied-Fehlermeldung erhalten, vergewissern Sie sich, dass Sie die folgenden Voraussetzungen erfüllen:

  • Ihr KMS Schlüssel in Ihren Audit Manager Manager-Einstellungen gewährt dem delegierten Administrator Berechtigungen. Sie können dies konfigurieren, indem Sie den Anweisungen unter Zulassen, dass Benutzer mit anderen Konten einen KMS Schlüssel verwenden können im AWS Key Management Service Entwicklerhandbuch folgen. Anweisungen zum Überprüfen und Ändern Ihrer Verschlüsselungseinstellungen in Audit Manager finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen.

  • Sie verfügen über eine Berechtigungsrichtlinie, die Ihnen Schreibzugriff für das Ziel des Bewertungsberichts gewährt. Genauer gesagt enthält Ihre Berechtigungsrichtlinie eine s3:PutObject Aktion, spezifiziert die ARN des S3-Buckets und beinhaltet den KMS Schlüssel, der zur Verschlüsselung Ihrer Bewertungsberichte verwendet wird. Ein Beispiel für eine Richtlinie, die Sie verwenden können, finden Sie unterBeispiel 2 (Zielberechtigungen für den Bewertungsbericht).

Anmerkung

Wenn Sie Ihre Audit Manager-Datenverschlüsselungseinstellungen ändern, gelten diese Änderungen für die neuen Bewertungen, die Sie in Zukunft erstellen. Dies schließt alle Bewertungsberichte mit ein, die Sie anhand Ihrer neuen Bewertungen erstellen.

Die Änderungen gelten nicht für bestehende Bewertungen, die Sie erstellt haben, bevor Sie Ihre Verschlüsselungseinstellungen geändert haben. Dazu gehören neben bestehenden Bewertungsberichten auch neue Bewertungsberichte, die Sie anhand vorhandener Bewertungen erstellen. Bestehende Bewertungen — und all ihre Bewertungsberichte — verwenden weiterhin den alten Schlüssel. KMS Wenn die IAM Identität, die den Bewertungsbericht generiert, nicht berechtigt ist, den alten KMS Schlüssel zu verwenden, können Sie Berechtigungen auf der Ebene der wichtigsten Richtlinien gewähren.

Wenn Sie die Verknüpfung eines Mitgliedskontos mit einer Organisation aufheben, erhält Audit Manager eine Benachrichtigung über dieses Ereignis. Audit Manager entfernt dieses AWS-Konto dann automatisch aus den Konten im Bewertungsumfang. Wenn Sie den Umfang neuer Bewertungen für die Zukunft angeben, wird das nicht verknüpfte Konto nicht mehr in der Liste der in Frage kommenden AWS-Konten-Konten angezeigt.

Wenn Audit Manager ein nicht verknüpftes Mitgliedskonto aus den Konten im Bewertungsumfang entfernt, werden Sie nicht über diese Änderung informiert. Darüber hinaus wird das nicht verknüpfte Mitgliedskonto nicht darüber informiert, dass Audit Manager für sein Konto nicht mehr aktiviert ist.

Wenn Sie ein Mitgliedskonto erneut mit Ihrer Organisation verknüpfen, wird dieses Konto nicht automatisch zum Umfang Ihrer bestehenden Audit Manager-Bewertungen hinzugefügt. Das erneut verknüpfte Mitgliedskonto wird jetzt jedoch als berechtigtes Konto angezeigt AWS-Konto , wenn Sie die Konten im Rahmen Ihrer Bewertungen angeben.

Was passiert, wenn ich ein Mitgliedskonto von einer Organisation zu einer anderen migriere?

Wenn für ein Mitgliedskonto Audit Manager in Organisation 1 aktiviert ist und dann zu Organisation 2 migriert wird, ist Audit Manager damit für Organisation 2 nicht aktiviert.