更改委派 GuardDuty 管理员账号 - Amazon GuardDuty
移除现有的委派 GuardDuty 管理员账号在每个区域指定一个新的委托 GuardDuty 管理员账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改委派 GuardDuty 管理员账号

您可以更改每个区域中贵组织的委托 GuardDuty 管理员帐户,然后在每个区域委派新的管理员。要保持组织在某个区域的成员账户的安全状态,您必须在该区域拥有委托 GuardDuty 管理员账户。

移除现有的委派 GuardDuty 管理员账号

第 1 步-删除每个区域中现有的委托 GuardDuty 管理员账户

  1. 作为现有的委托 GuardDuty 管理员账户,列出与您的管理员账户关联的所有成员账户。ListMembers一起跑OnlyAssociated=false

  2. 如果将 GuardDuty 或任何可选保护计划的自动启用首选项设置为ALL,则运行UpdateOrganizationConfiguration以将组织配置更新为NEWNONE。此操作将防止您在下一步中取消关联所有成员帐户时出错。

  3. 运行DisassociateMembers以取消与管理员帐户关联的所有成员帐户的关联。

  4. 运行DeleteMembers删除管理员账户和成员账户之间的关联。

  5. 以组织管理帐户的身份运行DisableOrganizationAdminAccount以删除现有的委派 GuardDuty 管理员帐户。

  6. 在您拥有此委派 GuardDuty 管理员帐户的每个 Amazon Web Services 区域 位置重复这些步骤。

步骤 2-在 Amazon Organizations (一次性全局操作)中注销现有委派 GuardDuty 管理员账户

  • DeregisterDelegatedAdministratorAmazon Organizations API 参考中运行,注销中现有的委派 GuardDuty 管理员账户。 Amazon Organizations

    或者,你可以运行以下 Amazon CLI 命令:

    aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com

    请务必使用现有的委派管理员账户替换 111122223333。 GuardDuty

    注销旧的委托 GuardDuty 管理员账号后,可以将其作为成员账号添加到新的委托 GuardDuty 管理员账号中。

在每个区域指定一个新的委托 GuardDuty 管理员账户

  1. 使用以下访问方法之一在每个区域指定一个新的委派 GuardDuty 管理员帐户:

  2. 运行DescribeOrganizationConfiguration以查看您的组织当前的自动启用配置。

    重要

    在向新的委派 GuardDuty 管理员账户添加任何成员之前,必须验证组织的自动启用配置。此配置特定于新的委派 GuardDuty 管理员账户和所选区域,与无关 Amazon Organizations。当您在新的委派 GuardDuty 管理员账户下添加(新的或现有的)组织成员账户时,新的委派 GuardDuty 管理员账户的自动启用配置将在启用 GuardDuty 或其任何可选保护计划时适用。

    要更改新委派 GuardDuty 管理员账户的组织配置,请使用以下访问方法之一: