本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更改委派 GuardDuty 管理员账号
您可以更改每个区域中贵组织的委托 GuardDuty 管理员帐户,然后在每个区域委派新的管理员。要保持组织在某个区域的成员账户的安全状态,您必须在该区域拥有委托 GuardDuty 管理员账户。
移除现有的委派 GuardDuty 管理员账号
第 1 步-删除每个区域中现有的委托 GuardDuty 管理员账户
-
作为现有的委托 GuardDuty 管理员账户,列出与您的管理员账户关联的所有成员账户。ListMembers一起跑
OnlyAssociated=false
。 -
如果将 GuardDuty 或任何可选保护计划的自动启用首选项设置为
ALL
,则运行UpdateOrganizationConfiguration以将组织配置更新为NEW
或NONE
。此操作将防止您在下一步中取消关联所有成员帐户时出错。 -
运行DisassociateMembers以取消与管理员帐户关联的所有成员帐户的关联。
-
运行DeleteMembers删除管理员账户和成员账户之间的关联。
-
以组织管理帐户的身份运行DisableOrganizationAdminAccount以删除现有的委派 GuardDuty 管理员帐户。
-
在您拥有此委派 GuardDuty 管理员帐户的每个 Amazon Web Services 区域 位置重复这些步骤。
步骤 2-在 Amazon Organizations (一次性全局操作)中注销现有委派 GuardDuty 管理员账户
-
DeregisterDelegatedAdministrator在 Amazon Organizations API 参考中运行,注销中现有的委派 GuardDuty 管理员账户。 Amazon Organizations
或者,你可以运行以下 Amazon CLI 命令:
aws organizations deregister-delegated-administrator --account-id
111122223333
--service-principal guardduty.amazonaws.com请务必使用现有的委派
管理员账户替换 111122223333
。 GuardDuty注销旧的委托 GuardDuty 管理员账号后,可以将其作为成员账号添加到新的委托 GuardDuty 管理员账号中。
在每个区域指定一个新的委托 GuardDuty 管理员账户
-
使用以下访问方法之一在每个区域指定一个新的委派 GuardDuty 管理员帐户:
-
使用 GuardDuty 控制台 —步骤 1-为您的组织指定委派 GuardDuty 管理员帐户.
-
使用 GuardDuty API —步骤 1-为您的 Amazon 组织指定委派 GuardDuty 管理员帐户.
-
-
运行DescribeOrganizationConfiguration以查看您的组织当前的自动启用配置。
重要
在向新的委派 GuardDuty 管理员账户添加任何成员之前,必须验证组织的自动启用配置。此配置特定于新的委派 GuardDuty 管理员账户和所选区域,与无关 Amazon Organizations。当您在新的委派 GuardDuty 管理员账户下添加(新的或现有的)组织成员账户时,新的委派 GuardDuty 管理员账户的自动启用配置将在启用 GuardDuty 或其任何可选保护计划时适用。
要更改新委派 GuardDuty 管理员账户的组织配置,请使用以下访问方法之一:
-
使用 GuardDuty 控制台 —第 2 步-为您的组织配置自动启用首选项.
-
使用 GuardDuty API —步骤 2:为组织配置自动启用首选项.
-