本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委托管理员和 AWS Organizations 问题排查
您可以使用此页面上的信息来解决 Audit Manager 中常见的委托管理员问题。
主题
我无法使用我的委派管理员账户设置 Audit Manager
尽管中支持多个委派管理员 AWS Organizations,但 Audit Manager 只允许一个委派管理员。如果您尝试在 Audit Manager 中指定多个委托管理员,则会收到以下错误消息:
-
控制台:
You have exceeded the allowed number of delegated administrators for the delegated service
-
CLI:
An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333
在 Audit Manager 中选择一个要用作委托管理员的个人账户。请务必先在 Organizations 中注册委托管理员账户,然后在 Audit Manager 中将该账户添加为委托管理员。
当我创建评测时,我无法在范围内的账户下看到我所在组织的账户
如果您希望 Audit Manager 评测包含您所在组织的多个账户,则必须指定委托管理员。
请确保为 Audit Manager 配置了委托管理员账户。有关说明,请参阅添加委派管理员。
请记住以下事项:
-
您不能在 Audit Manager 中以委托管理员的身份使用您的 AWS Organizations 管理帐户。
-
如果要在多个区域中启用 Audit Manager AWS 区域,则必须在每个区域中分别指定一个委派管理员帐户。在您的 Audit Manager 设置中,您应该在所有区域指定同一委托管理员账户。
-
指定委派管理员时,请确保委派的管理员帐户有权访问您在设置 Audit Manager 时提供的KMS密钥。要了解如何查看和更改您的加密设置,请参阅配置您的数据加密设置。
当我尝试使用我的委托管理员账户生成评测报告时,出现拒绝访问的错误
如果您的评估是由您的 Audit Manager 设置中指定的KMS密钥不属于的委派管理员帐户创建的,则会收到access denied
错误消息。为避免此错误,在为 Audit Manager 指定委派管理员时,请确保委派的管理员帐户有权访问您在设置 Audit Manager 时提供的KMS密钥。
如果您对用作评测报告目的地的 S3 桶没有写入权限,也可能会收到 access denied
错误消息。
如果您遇到 access denied
错误,确保您满足以下要求:
-
您在 Audit Manager 设置中的KMS密钥向被授权的管理员授予权限。您可以按照AWS Key Management Service 开发者指南中允许其他账户中的用户使用KMS密钥中的说明进行配置。有关如何在 Audit Manager 中查看和更改加密设置的说明,请参阅配置您的数据加密设置。
-
您的权限策略授予您对评测报告目的地的写入权限。更具体地说,您的权限策略包含
s3:PutObject
操作、指定 S3 存储桶的操作以及用于加密评估报告的密KMS钥。ARN有关您可以使用的策略示例,请参阅示例 2(评测报告目标权限)。
注意
如果您更改了 Audit Manager 数据加密设置,则这些更改将应用于您今后创建的新评测。这包括您根据新评测创建的任何评测报告。
这些更改不适用于您在更改加密设置之前已创建的评测。除现有评测报告外,这还包括您根据现有评测创建的新评测报告。现有的评估及其所有评估报告继续使用旧密钥。KMS如果生成评估报告的IAM身份没有使用旧KMS密钥的权限,则可以在密钥策略级别授予权限。
如果我取消成员账户与我的组织的关联,在 Audit Manager 中会发生什么?
当您取消成员账户与组织的关联时,Audit Manager 会收到相关通知。然后,Audit Manager 会自动将该 AWS 账户 从现有评测的范围内的账户列表中移除。当您指定之后新评测的范围时,未关联的账户将不再出现在符合条件的 AWS 账户列表中。
当 Audit Manager 从您评测的范围内账户列表中移除未关联的成员账户时,您不会收到有关此更改的通知。此外,未关联的成员账户不会收到告知其账户已不再启用 Audit Manager 的通知。
我将成员账户重新关联到我的组织后会发生什么?
当您将成员账户重新关联到您的组织时,该账户不会自动添加到您的现有 Audit Manager 评测范围中。但是,当您指定评估范围内的账户 AWS 账户 时,重新关联的成员账户现在显示为符合条件的账户。
-
对于现有评测,您可以手动编辑评测范围,从而添加重新关联的成员账户。有关说明,请参阅步骤 2: AWS 账户 在作用域内编辑。
-
对于新的评测,您可以在评测设置期间添加重新关联的账户。有关说明,请参阅步骤 2: AWS 账户 在作用域中指定。
我将成员账户从一个组织迁移到另一个组织后会发生什么?
如果成员账户在组织 1 中启用了 Audit Manager,然后迁移到组织 2,则无法为组织 2 启用 Audit Manager。