本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM存取分析器的委派管理員
如果您 AWS Identity and Access Management Access Analyzer 在 AWS Organizations 管理帳戶中設定,則可以將組織中的成員帳戶新增為委派系統管理員,以管理組織的 IAM Access Analyzer。委派管理員擁有許可,有權建立及管理以組織做為信任區域的分析器。只有管理帳戶可以新增委派管理員。
IAMAccess Analyzer 的委派系統管理員是組織內的成員帳戶,具有建立和管理分析整個組織存取權的分析器的權限。只有管理帳戶可以新增、移除或變更委派管理員。
如果您新增委派管理員,您可以在稍後將委派管理員變更為不同帳戶。當您這麼做時,先前的委派管理員帳戶會失去許可,無法再管理使用該帳戶建立來為整個組織分析存取權的所有分析器。這類分析器會進入已停用狀態,且不會再產生新的問題清單或更新現有的問題清單。您也無法無法再存取這類分析器的現有問題清單。您未來可透過將該帳戶配置為委派管理員,而再次存取那些問題清單。如果您知道您不會使用該相同的帳戶作為委派管理員,請考慮在變更委派管理員之前刪除分析器。這會刪除所有產生的問題清單。當新的委派管理員建立新的分析器時,則會產生相同問題清單的新執行個體。你不會遺失任何問題清單,它們只是在不同的帳戶中為新的分析器而產生。而且您可以使用組織管理帳戶 (該帳戶也具有管理員許可) 繼續存取組織的問題清單。新委派的系統管理員必須為 IAM Access Analyzer 建立新的分析器,才能開始監視組織中的資源。
如果委派的管理員離開 AWS 組織,則會從帳戶中移除委派的管理權限。帳戶中所有以組織做為信任區域的分析器都會進入已停用狀態,您也無法無法再存取這類分析器的現有問題清單。
第一次在管理帳戶中設定分析器時,可以在 [IAM存取分析器] 主控台的 [分析器] 設定頁面上選擇 [新增委派管理員]。
注意
IAMAccess Analyzer 會根據每個分析器每月分析的IAM角色和使用者數量,針對未使用的存取分析器收費。如果您在管理帳戶和委派管理員帳戶中都建立了未使用的存取權分析器,將需支付兩個未使用的存取權分析器的費用。如需有關定價的詳細資訊,請參閱IAM存取分析器定價
變更委派管理員後,新的管理員必須建立分析器,以開始在組織中監控資源的存取權。
