AWS Audit Manager 與 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任的存取停用受信任存取為 Audit Manager 啟用委派的管理員帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Audit Manager 與 AWS Organizations

AWS Audit Manager 可協助您持續稽核 AWS 使用情況,以簡化評定風險與法規與業界標準的法規遵循方式。Audit Manager 會自動化證據收集,讓您更容易評定您的政策、程序和活動是否有效運作。需要稽核時,Audit Manager 可協助您管理對控制的利害關係人審查,並協助您以較少的手動工作來建立稽核就緒報表。

當您將 Audit Manager 與 AWS Organizations 整合時,可以透過在您的評定範圍內包含您組織的多個 AWS 帳戶,從更廣泛的來源收集證據。

如需詳細資訊,請參閱 Audit Manager 使用者指南中的啟用 AWS Organizations

使用以下資訊可協助整合 AWS Audit Manager 與 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。該角色允許 Audit Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Audit Manager 和 Organizations 之間的受信任存取,或者從組織中刪除成員帳戶時,才能移除或修改此角色。

如需 Audit Manager 如何使用此角色的詳細資訊,請參閱AWS Audit Manager使用者指南中的使用服務連結角色

  • AWSServiceRoleForAuditManager

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。Audit Manager 使用的服務連結角色會將存取權授予下列服務委託人:

  • auditmanager.amazonaws.com

使用 Audit Manager 來啟用受信任的存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

Audit Manager 需要對 AWS Organizations 的受信任存取,才能將成員帳戶指定為組織的委派管理員。

您可以使用 AWS Audit Manager 主控台或 AWS Organizations 主控台來啟用信任存取。

重要

強烈建議您盡可能使用 AWS Audit Manager 主控台或工具來啟用與 Organizations 整合。這可讓 AWS Audit Manager 執行其需要的任何組態,例如建立服務所需的資源。只有在您無法使用 AWS Audit Manager 提供的工具啟用整合時,才能繼續執行這些步驟。如需詳細資訊,請參閱本說明

如果您使用 AWS Audit Manager 主控台或工具啟用受信任存取,則不需要完成這些步驟。

使用 Audit Manager 主控台來啟用受信任的存取

如需啟用受信任存取的相關指示,請參閱AWS Audit Manager使用者指南中的設定

注意

如果您使用 AWS Audit Manager 主控台設定委派管理員,則 AWS Audit Manager 會自動為您啟用受信任的存取。

您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 AWS 開發套件中的 Organizations API 操作,來啟用受信任的存取

AWS CLI, AWS API
使用 Organizations CLI/SDK 來啟用受信任服務存取

您可以使用以下 AWS CLI 命令或 API 操作,以啟用受信任的服務存取:

  • AWS CLI: enable-aws-service-access

    您可以執行下列命令來啟用 AWS Audit Manager 作為 Organizations 受信任的服務。

    $ aws organizations enable-aws-service-access \
    --service-principal auditmanager.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API: EnableAWSServiceAccess

使用 Audit Manager 來停用受信任的存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

只有 AWS Organizations 管理帳戶中的管理員才能使用 AWS Audit Manager 停用受信任的存取。

您只能使用 Organizations 工具來停用受信任的存取。

您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 AWS SDK 中的 Organizations API 操作,來停用受信任存取。

AWS CLI, AWS API
使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用以下 AWS CLI 命令或 API 操作,以停用信任的服務存取:

  • AWS CLI: disable-aws-service-access

    您可以執行下列命令來停用 AWS Audit Manager 作為 Organizations 受信任的服務。

    $ aws organizations disable-aws-service-access \
    --service-principal auditmanager.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:DisableAWSServiceAccess

為 Audit Manager 啟用委派的管理員帳戶

當您將成員帳戶指定為組織的委派管理員時,該帳戶的使用者和角色可以對 Audit Manager 執行管理動作,否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Audit Manager 的管理分開。

最低許可

只有具有下列許可之 Organizations 管理帳戶中的使用者或角色,才能將成員帳戶設定為組織中 Audit Manager 的委託管理員:

audit-manager:RegisterAccount

如需啟用 Audit Manager 委派管理員帳戶的指示,請參閱AWS Audit Manager使用者指南中的設定

如果您使用 AWS Audit Manager 主控台設定委派管理員,則 Audit Manager 會自動為您啟用受信任的存取。

AWS CLI, AWS API

如果您想要使用 AWS CLI 或其中一個 AWS SDK,可以使用下列命令︰

  • AWS CLI: 

    $  aws audit-manager register-account \
    --delegated-admin-account 123456789012

  • AWS SDK:呼叫 RegisterAccount 操作並提供 delegatedAdminAccount 作為參數,以委派系統管理員帳戶。