更改委派管理员
在 AWS Audit Manager 中更改委派管理员分两个步骤。首先,您需要移除当前的委派管理员账户。然后,您可以添加一个新账户作为委派管理员。
按照本页上的步骤更改您的委派管理员。
先决条件
移除当前账户之前
在移除当前的委派管理员账户之前,请记住以下注意事项:
-
证据查找器清理任务 - 如果当前的委派管理员(账户 A)启用了证据查找器,则您将需要执行清理任务,然后才能将账户 B 指定为新的委派管理员。
在使用管理账户移除账户 A 之前,请确保账户 A 登录到 Audit Manager 并禁用证据查找器。禁用证据查找器会自动删除启用证据查找器时在账户中创建的事件数据存储。
如果此任务未完成,则事件数据存储仍然是在账户 A 中。在这种情况下,我们建议最初的委派管理员使用 CloudTrail Lake 手动删除事件数据存储。
此清理任务是必要的,可确保您最终不会得到多个事件数据存储。移除或更改委托管理员账户后,Audit Manager 会忽略未使用的事件数据存储。但是,如果您不删除未使用的事件数据存储,CloudTrail Lake 将继续对事件数据存储产生存储成本。
-
数据删除 - 当您移除 Audit Manager 的委派管理员账户时,该账户的数据不会被删除。如果要删除委托管理员账户的资源数据,则必须先单独执行该任务,然后再移除账户。无论哪种方式,您都可以在 Audit Manager 控制台中执行此操作。或者,您可以使用 Audit Manager 提供的删除 API 操作之一。有关可用删除操作的列表,请参阅删除 Audit Manager 数据。
目前,Audit Manager 不提供删除特定委托管理员的证据的选项。相反,当您的管理账户取消注册 Audit Manager 时,我们会在取消注册时对当前委托的管理员账户进行清理。
添加新账户之前
添加新的委派管理员账户之前,请记住以下注意事项:
-
新账户必须属于组织。
-
在指定新的委派管理员之前,您必须启用组织中的所有特征。您还必须配置组织的 Security Hub 设置。这样,Audit Manager 就可以从您的成员账户中收集 Security Hub 证据。
-
委托管理员账户必须有权访问您在设置 Audit Manager 时提供的 KMS 密钥。
-
您不能在 Audit Manager 中以委托管理员的身份使用您的 AWS Organizations 管理账户。
过程
您可以使用 Audit Manager 控制台、AWS Command Line Interface (AWS CLI) 或 Audit Manager API 更改委托管理员。
警告
更改委托管理员后,您可以继续访问之前在旧的委托管理员账户下收集的证据。但是,Audit Manager 会停止收集证据并将其附加到旧的委托管理员账户。
后续步骤
要移除委派管理员账户,请参阅移除委托管理员。
其他资源
