AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 權限和存取問題疑難排解
<a name="permissions-issues"></a>



請參考此頁面提供的資訊來解決 Audit Manager 中常見的權限問題。

**Topics**
+ [我按照 Audit Manager 設定程序進行操作，但我沒有足夠的 IAM 權限](#insufficient-iam-privileges)
+ [我指定某人為稽核擁有者，但他們仍然無法完整存取評估。為什麼？](#audit-owner-missing-access)
+ [我無法在 Audit Manager 中執行動作](#cannot-perform-action)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 Audit Manager 資源](#want-to-allow-access-to-resources)
+ [我看到存取遭拒錯誤，即使擁有必要的 Audit Manager 許可](#access-denied-due-to-scp)
+ [其他資源](#permissions-see-also)

## 我按照 Audit Manager 設定程序進行操作，但我沒有足夠的 IAM 權限
<a name="insufficient-iam-privileges"></a>

您用於存取 Audit Manage 的使用者、角色或群組必須具有所需的權限。除此之外，您的身份驗證政策不應設定的太嚴格。否則，主控台將無法如預期般運作。本指南提供可用於 的範例政策[允許啟用 Audit Manager 所需的最低許可](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)。根據您的使用案例，您可能需要更廣泛、更少限制的權限。舉例來說，我們建議稽核擁有者具備[系統管理員存取權](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)。這樣他們就可以修改 Audit Manager 設定並管理資源，例如評估、架構、控制項和評估報告。其他使用者（例如委派人員）可能只需要[管理存取權](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access)或[唯讀](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#read-only)存取權。

請務必為您的使用者、角色或群組添加適當的權限。對於稽核擁有者，建議使用的政策為 [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)。對於委派代表，您可以使用 IAM [政策範例頁面上提供的管理存取](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access)範例政策。 [https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html)您可以使用這些範例政策作為起點，並根據您的需求進行必要的變更。

我們建議您花些時間自訂權限，以滿足您的特定需求。如果您需要 IAM 權限相關協助，請聯絡您的管理員或 [AWS 支援人員](https://aws.amazon.com/contact-us/)。

## 我指定某人為稽核擁有者，但他們仍然無法完整存取評估。為什麼？
<a name="audit-owner-missing-access"></a>

僅將某人指定為稽核擁有者，並不會提供評估的完整存取權限。稽核擁有者還必須擁有必要的 IAM 權限才能存取和管理 Audit Manager 資源。換句話說，除了將使用者[指定為稽核擁有者](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners)之外，您還必須將必要的 [IAM 政策](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-id-based-policies-personas)附加到該使用者上。換句話說，只要同時具備兩者，Audit Manager 確保您可以完全控制每個評估的所有細節。

**注意**  
對於稽核擁有者，建議使用 [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) 政策。如需詳細資訊，請參閱[中使用者角色的建議政策 AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)。

## 我無法在 Audit Manager 中執行動作
<a name="cannot-perform-action"></a>

如果您沒有使用 AWS Audit Manager 主控台或 Audit Manager API 操作的必要許可，您可能會遇到`AccessDeniedException`錯誤。

若要解決此問題，請聯絡管理員以取得協助。您的管理員是為您提供簽署憑證的人員。

## 我想要允許 以外的人員 AWS 帳戶 存取我的 Audit Manager 資源
<a name="want-to-allow-access-to-resources"></a>

您可以建立一個角色，讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務，您可以使用那些政策來授予人員存取您的資源的許可。

如需進一步了解，請參閱以下內容：
+ 如需了解 Audit Manager 是否支援這些功能，請參閱 [AWS Audit Manager 如何使用 IAM](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權，請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶，請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權，請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異，請參閱《*IAM 使用者指南*》中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。

## 我看到存取遭拒錯誤，即使擁有必要的 Audit Manager 許可
<a name="access-denied-due-to-scp"></a>

如果您的帳戶是組織的一部分，`Access Denied`則錯誤可能是由[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 造成。SCPs是用來管理組織許可的政策。建立 SCP 時，它可以拒絕所有成員帳戶的特定許可，包括您在 Audit Manager 中使用的委派管理員帳戶。

例如，如果您的組織具有拒絕 AWS Control Catalog APIs 許可的 SCP，則您無法檢視 Control Catalog 提供的資源。即使您以其他方式擁有 Audit Manager 所需的許可，例如 [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) 政策，也是如此。SCP 透過明確拒絕對 Control Catalog APIs存取來覆寫受管政策許可。

以下是此類 SCP 的範例。設定此 SCP 後，您的委派管理員帳戶將被拒絕存取使用 Audit Manager 中常見控制項功能所需的常見控制項、控制目標和控制網域。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "controlcatalog:ListCommonControls",
                "controlcatalog:ListObjectives",
                "controlcatalog:ListDomains"
            ],
            "Resource": "*"
        }
    ]
}
```

------

若要解決此問題，建議您採取下列步驟：

1. 確認 SCP 是否已連接到您的組織。如需說明，請參閱《*AWS Organizations 使用者指南*》中的[取得組織政策的相關資訊](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html)。

1. 識別 SCP 是否造成`Access Denied`錯誤。

1. 更新 SCP，以確保您的委派管理員帳戶具有 Audit Manager 的必要存取權。如需說明，請參閱《*AWS Organizations 使用者指南*》中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy)。

## 其他資源
<a name="permissions-see-also"></a>

下列頁面提供因缺少權限而可能導致的其他問題的疑難排解指南：
+ [我在評估中看不到任何控制項或控制集](control-issues.md#cannot-view-controls)
+ [當我設定控制項資料來源時，無法使用自訂規則選項](control-issues.md#custom-rule-option-unavailable)
+ [當我嘗試生成報告時，出現*存取被拒絕*的錯誤](assessment-report-issues.md#assessment-report-access-denied-error)
+ [當我嘗試使用委派系統管理員帳戶產生評估報告時，出現*存取遭拒*的錯誤](delegated-admin-issues.md#delegated-admin-access-denied-error)
+ [我無法啟用證據搜尋工具](evidence-finder-issues.md#cannot-enable-evidence-finder)
+ [我無法停用證據搜尋工具](evidence-finder-issues.md#cannot-disable-evidence-finder)
+ [我的搜尋查詢失敗](evidence-finder-issues.md#cannot-start-query)
+ [我在 Audit Manager 中指定了 Amazon SNS 主題，但沒有收到任何通知](notification-issues.md#missing-notifications)