AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 权限和访问问题排查
您可以使用此页面上的信息来解决 Audit Manager 中常见的权限问题。
**Topics**
+ [我遵循了 Audit Manager 的设置程序,但我没有足够的 IAM 权限](#insufficient-iam-privileges)
+ [我指定某人为审计负责人,但他们仍然没有评测的完全访问权。这是为什么?](#audit-owner-missing-access)
+ [我无法在 Audit Manager 中执行操作](#cannot-perform-action)
+ [我想允许我以外的人访问我的 Au AWS 账户 dit Manager 资源](#want-to-allow-access-to-resources)
+ [虽然我具备所需的 Audit Manager 权限,但我还是看到“访问被拒绝”错误](#access-denied-due-to-scp)
+ [其他资源](#permissions-see-also)
## 我遵循了 Audit Manager 的设置程序,但我没有足够的 IAM 权限
用于访问 Audit Manager 的用户、角色或组必须具有所需的权限。此外,您基于身份的策略不应过于严格。否则,控制台将无法按预期运行。本指南提供了一个策略示例以供您用于[允许启用 Audit Manager 所需的最低权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)。根据使用案例,您可能需要更广泛、限制性更低的权限。例如,我们建议审计所有者拥有[管理员访问权](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)。以便修改 Audit Manager 设置并管理评测、框架、控件和评测报告等资源。其他用户 (例如委托人员)可能只需要[管理权](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access)或[只读](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#read-only)访问权。
请务必为您的用户、角色或组添加相应的权限。对于审计负责人,推荐的策略是[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)。代表可以使用 [IAM 策略示例[页面上提供的](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access)管理访问示例策略](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html)。您可以基于这些示例策略,根据需要进行更改以满足您的要求。
我们建议您花点时间自定义权限,以满足您的特定要求。如果您需要有关 IAM 权限的帮助,请联系您的管理员或 [AWS Support](https://aws.amazon.com/contact-us/)。
## 我指定某人为审计负责人,但他们仍然没有评测的完全访问权。这是为什么?
仅将某人指定为审计负责人并不会授予对评测的完全访问权。审计所有者还必须拥有必要的 IAM 权限才能访问和管理 Audit Manager 资源。换而言之,除了[将用户指定为审计负责任](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners)外,您还必须将必要的 [IAM policy](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-id-based-policies-personas) 附加至该用户。其原因在于,通过这两项要求,Audit Manager 可以确保您完全控制每次评测的所有细节。
**注意**
对于审计所有者,我们建议您使用该[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)政策。有关更多信息,请参阅 [中针对用户角色的推荐策略 AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)。
## 我无法在 Audit Manager 中执行操作
如果您没有使用 AWS Audit Manager 控制台或 Audit Manager API 操作所需的权限,则可能会遇到`AccessDeniedException`错误。
要解决此问题,务必联系管理员获取帮助。管理员是向您提供登录凭证的人。
## 我想允许我以外的人访问我的 Au AWS 账户 dit Manager 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Audit Manager 是否支持这些功能,请参阅 [如何 AWS Audit Manager 与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 虽然我具备所需的 Audit Manager 权限,但我还是看到“访问被拒绝”错误
如果您的账户是组织的一部分,则`Access Denied`错误可能是由[服务控制策略 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 引起的。 SCPs 是用于管理组织权限的策略。如果有 SCP,它会拒绝针对所有成员账户的特定权限,包括您在 Audit Manager 中使用的委派管理员账户。
例如,如果您的组织有一个 SCP 拒绝 AWS 控制目录的权限 APIs,则您无法查看控制目录提供的资源。即使您以其他方式拥有 Audit Manager 所需的权限(例如[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)策略),也是如此。SCP 通过明确拒绝访问控制目录来覆盖托管策略权限。 APIs
这类 SCP 的示例如下:设置此 SCP 后,您的委派管理员帐户将被拒绝访问通用控件、控件目标以及控件域,而要使用 Audit Manager 中的通用控件特征正需要这些访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"controlcatalog:ListCommonControls",
"controlcatalog:ListObjectives",
"controlcatalog:ListDomains"
],
"Resource": "*"
}
]
}
```
------
要解决这个问题,我们建议您采取以下步骤:
1. 确认贵组织是否有 SCP。有关说明,请参阅《AWS Organizations 用户指南》**中的[获取有关组织策略的信息](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html)。
1. 确定 `Access Denied` 错误是否是由 SCP 引起。
1. 更新 SCP,确保您的委派管理员帐户拥有必要的 Audit Manager 访问权限。有关说明,请参阅《AWS Organizations 用户指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy)。
## 其他资源
以下页面包含权限缺失可能导致的其他问题的排查指南:
+ [我在评测中看不到任何控件或控制集](control-issues.md#cannot-view-controls)
+ [配置控件数据来源时,自定义规则选项不可用](control-issues.md#custom-rule-option-unavailable)
+ [当我尝试生成报告时,出现*拒绝访问*的错误消息](assessment-report-issues.md#assessment-report-access-denied-error)
+ [当我尝试使用我的委托管理员账户生成评测报告时,出现*拒绝访问*的错误](delegated-admin-issues.md#delegated-admin-access-denied-error)
+ [我无法启用证据查找器](evidence-finder-issues.md#cannot-enable-evidence-finder)
+ [我无法禁用证据查找器](evidence-finder-issues.md#cannot-disable-evidence-finder)
+ [我的搜索查询失败](evidence-finder-issues.md#cannot-start-query)
+ [我在 Audit Manager 中指定了一个 Amazon SNS 主题,但我没有收到任何通知](notification-issues.md#missing-notifications)