更改委派 GuardDuty 管理员账户
您可以在每个区域移除组织的委派 GuardDuty 管理员账户,然后在每个区域委派新的管理员。要维护组织在某个区域的成员账户的安全状况,您必须在该区域拥有一个委派 GuardDuty 管理员账户。
注意
在移除某个委派 GuardDuty 管理员账户之前,您必须将与该委派 GuardDuty 管理员账户关联的所有成员账户取消关联,然后从该 GuardDuty 组织删除这些账户。有关这些步骤的更多信息,请参阅以下文档:
移除委派 GuardDuty 管理员账户
第 1 步 – 在每个区域中移除现有委派 GuardDuty 管理员账户
-
以现有委派 GuardDuty 管理员账户身份,列出与您的管理员账户关联的所有成员账户。使用
OnlyAssociated=false参数运行 ListMembers。 -
如果 GuardDuty 或任何可选防护计划的自动启用首选项设置为
ALL,则运行 UpdateOrganizationConfiguration 以将组织配置更新为NEW或NONE。此操作将防止您在下一步中将所有成员账户取消关联时出错。 -
运行 DisassociateMembers 以将与管理员账户关联的所有成员账户取消关联。
-
运行 DeleteMembers 以删除管理员账户和成员账户之间的关联。
-
以组织管理账户身份运行 DisableOrganizationAdminAccount,以移除该现有委派 GuardDuty 管理员账户。
-
在拥有此委派 GuardDuty 管理员账户的每个 Amazon Web Services 区域中重复以上步骤。
第 2 步– 在 Amazon Organizations 中注销现有委派 GuardDuty 管理员账户(一次性全局操作)
-
运行《Amazon Organizations API 参考》中的 DeregisterDelegatedAdministrator,从而在 Amazon Organizations 中注销该现有委派 GuardDuty 管理员账户。
您也可以运行以下 Amazon CLI 命令:
aws organizations deregister-delegated-administrator --account-id111122223333--service-principal guardduty.amazonaws.com务必要将
111122223333替换为现有的委派 GuardDuty 管理员账户。注销旧的委派 GuardDuty 管理员账户后,您可以将其作为成员账户添加到新的委派 GuardDuty 管理员账户。
在每个区域指定一个新的委派 GuardDuty 管理员账户
-
使用您偏好的访问方法(GuardDuty 控制台、API 或 Amazon CLI),在每个地区指定一个新的委派 GuardDuty 管理员账户。有关更多信息,请参阅 指定委派 GuardDuty 管理员账户。
-
运行 DescribeOrganizationConfiguration 以查看组织当前的自动启用配置。
重要
在向新的委派 GuardDuty 管理员账户添加任何成员之前,必须验证组织的自动启用配置。此配置特定于新的委派 GuardDuty 管理员账户和所选区域,与 Amazon Organizations 无关。当您在新的委派 GuardDuty 管理员账户下添加(新的或现有)组织成员账户时,该新委派 GuardDuty 管理员账户的自动启用配置将在启用 GuardDuty 或其任何可选防护计划时生效。
使用您偏好的访问方法(GuardDuty 控制台、API 或 Amazon CLI),更改新委派 GuardDuty 管理员账户的组织配置。有关更多信息,请参阅 设置组织自动启用首选项。