本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用管理 GuardDuty 账户 Amazon Organizations
<a name="guardduty_organizations"></a>

在 Amazon 组织中，管理账户可以将该组织内的任何账户指定为委派 GuardDuty 管理员账户。对于此管理员帐户， GuardDuty 仅在当前帐户中自动启用 Amazon Web Services 区域。默认情况下，管理员账户可以启用和管理 GuardDuty 该区域内组织中的所有成员账户。管理员帐户可以查看该 Amazon 组织并向其添加成员。

以下各节将引导您完成作为委派 GuardDuty 管理员帐户可能执行的各种任务。

**Topics**
+ [与 GuardDuty 一起使用的注意事项和建议 Amazon Organizations](#delegated_admin_important)
+ [指定委派 GuardDuty 管理员账号所需的权限](organizations_permissions.md)
+ [指定委派 GuardDuty 管理员账号](delegated-admin-designate.md)
+ [设置组织自动启用首选项](set-guardduty-auto-enable-preferences.md)
+ [向组织添加成员](add-member-accounts-guardduty-organization.md)
+ [（可选）为现有成员账户启用防护计划](guardduty_quick_protection_plan_config.md)
+ [持续管理您的会员账户 GuardDuty](maintaining-guardduty-organization-delegated-admin.md)
+ [暂停 GuardDuty 使用会员账号](suspending-guardduty-member-account-from-admin.md)
+ [将成员账户与管理员账户取消关联（移除）](disassociate-remove-member-account-from-admin.md)
+ [从 GuardDuty 组织中删除成员账户](delete-member-accounts-guardduty-organization.md)
+ [更改委派 GuardDuty 管理员账号](change-guardduty-delegated-admin.md)

## 与 GuardDuty 一起使用的注意事项和建议 Amazon Organizations
<a name="delegated_admin_important"></a>

以下注意事项和建议可以帮助您了解委派 GuardDuty 管理员账户在中的运作方式 GuardDuty：

**一个委托 GuardDuty 管理员账号最多可以管理 50,000 个成员。**  
每个委托 GuardDuty 管理员账户最多有 50,000 个成员账户。这包括通过添加的成员账户 Amazon Organizations 或接受 GuardDuty 管理员账户邀请加入其组织的成员账户。但是，您的 Amazon 组织中可能有超过 50,000 个帐户。  
如果您超过了 50,000 个成员账户的限制，您将收到来自 CloudWatch Amazon Health Dashboard、的通知以及发送给指定委托 GuardDuty 管理员账户的电子邮件。

**委托 GuardDuty 管理员账户为区域账户。**  
与之不同 GuardDuty 的是 Amazon Organizations，是区域服务。必须在您已 GuardDuty 启用的每个所需区域 Amazon Organizations 中添加委托 GuardDuty 管理员帐户及其成员帐户。如果组织管理账户仅在美国东部（弗吉尼亚北部）指定委托 GuardDuty 管理员账户，则委派 GuardDuty 管理员账户将仅管理添加到该地区组织的成员账户。有关可用区域中功能对等性的 GuardDuty 更多信息，请参阅[区域和端点](guardduty_regions.md)。

**有关选择加入型区域的特殊场景**  
+ 当委托 GuardDuty 管理员账户选择退出选择加入区域时，即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (`NEW`) 或所有成员账户 (`ALL`)，也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息，请在[GuardDuty 控制台](https://console.amazonaws.cn/guardduty/)导航窗格中打开**账户**或使用 [ListMembers](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListMembers.html)API。
+ 使用设置为的 GuardDuty 自动启用配置时`NEW`，请确保满足以下顺序：

  1. 成员账户选择加入某个选择加入型区域。

  1. 在 Amazon Organizations中将成员账户添加到组织。

  如果您更改这些步骤的顺序，则 GuardDuty 自动启用设置在特定的选择加入区域`NEW`**将不**起作用，因为该组织已不再是成员账户的新用户。 GuardDuty 提供了两种备选解决方案：
  + 将 GuardDuty 自动启用配置设置为`ALL`，包括新的和现有的成员帐户。使用此设置时，这些步骤的顺序将无关紧要。
  + 如果成员账户已经是您组织的一部分，请使用 GuardDuty 控制台或 API 在特定的选择加入区域中单独管理该账户的 GuardDuty 配置。

** Amazon 组织必须拥有相同的委托 GuardDuty 管理员帐户 Amazon Web Services 区域。**  
您必须将一个成员帐户指定为所有启用 Amazon Web Services 区域 位置 GuardDuty 的委托 GuardDuty 管理员帐户。例如，如果您在中指定了成员帐户*Europe (Ireland)*，则无法*111122223333*在*555555555555*中指定其他成员帐户*Canada (Central)*。在所有其他区域，您必须使用与委托 GuardDuty 管理员账户相同的账户。  
您可以随时指定新的委派 GuardDuty 管理员帐户。有关删除现有委派 GuardDuty 管理员账户的更多信息，请参阅[更改委派 GuardDuty 管理员账号](change-guardduty-delegated-admin.md)。

**不建议将贵组织的管理账号设置为委派 GuardDuty 管理员账号。**  
您组织的管理账号可以是委派的 GuardDuty 管理员账号。但是， Amazon 安全最佳实践遵循最低权限原则，不建议使用此配置。

**更改委派 GuardDuty 管理员账户不会 GuardDuty 对成员账户禁用。**  
如果您移除委派 GuardDuty 管理员账号，则 GuardDuty 会移除与该委派 GuardDuty 管理员账号关联的所有成员账号。 GuardDuty 所有这些成员帐户仍保持启用状态。