为组织指定 Detective 管理员账户

在组织行为图中，Detective 管理员账户管理所有组织账户的行为图成员资格。

如何管理 Detective 管理员账户

组织管理帐户为每个 AWS 区域组织指定了 Detective 管理员帐户。

将 Detective 管理员账号设置为委托管理员账户

Detective 管理员帐户也成为 Detective 中的委托管理员帐户 AWS Organizations。如果组织管理账户将自己指定为 Detective 管理员账户，则属于例外情况。组织管理账户不能是 Organizations 中的委托管理员。

在 Organizations 中设置委托管理员账户后，组织管理账户只能选择委托管理员账户或自己的账户作为 Detective 管理员账户。我们建议在所有区域选择委托管理员账户。

创建和管理组织行为图

当组织管理账户选择 Detective 管理员账户时，Detective 会为该账户创建一个新的行为图。该行为图就是组织行为图。

如果 Detective 管理员账户是现有行为图的管理员账户，则该行为图就会成为组织行为图。

Detective 管理员账户在组织行为图中选择要作为成员账户启用的组织账户。

Detective 管理员账户还可以向不属于该组织的账户发送邀请。有关更多信息，请参阅将组织账户作为成员账户管理和管理受邀成员账户。

删除 Detective 管理员账号

组织管理账户可以删除区域中当前的 Detective 管理员账户。删除 Detective 管理员账户时，Detective 只会将其从当前区域中删除。它不会更改 Organizations 中的委托管理员账户。

当组织管理账户删除某个区域中的 Detective 管理员账户时，Detective 会删除组织行为图。已删除的 Detective 管理员账户已禁用 Detective。

要删除 Detective 当前的委托管理员账户，需要使用 Organizations API。删除 Detective in Organizations 委托管理员账户后，Detective 会删除所有委托管理员账户为 Detective 管理员账户的组织行为图。使用组织管理账户作为 Detective 管理员账户的组织行为图不会受到影响。

配置 Detective 管理员账户所需的权限

为确保组织管理账户能够配置 Detective 管理员账户，您可以将 AmazonDetectiveOrganizationsAccess 托管式策略附加到 AWS Identity and Access Management (IAM) 实体。

指定 Detective 管理员账户（控制台）

组织管理账户可以使用 Detective 控制台来指定 Detective 管理员账户。

要管理 Detective 管理员账户，无需启用 Detective。您可以从启用 Detective 页面管理 Detective 管理员账户。

要指定 Detective 管理员账户（启用 Detective 页面）

1. 通过 https://console.aws.amazon.com/detective/ 打开 Amazon Detective 控制台。

2. 选择开始。

3. 在管理员账户所需权限面板中，为选择的账户授予必要的权限，使其能够作为 Detective 管理员的身份进行操作，并完全有权访问 Detective 中的所有操作。要以管理员身份进行操作，我们建议将 AmazonDetectiveFullAccess 策略附加到主体。

4. 选择从 IAM 附加策略，直接在 IAM 控制台中查看推荐的策略。

5. 根据在 IAM 控制台中是否拥有权限，请按以下步骤操作：

   • 如果您有权在 IAM 控制台中进行操作，请将推荐的策略附加到用于 Detective 的主体。

   • 如果您无权在 IAM 控制台中进行操作，请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后，他们就可以代表您附加策略。

6. 在委托管理员下，选择 Detective 管理员账户。

   可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。

   • 如果您没有 Detective in Organizations 的委托管理员账户，请输入该账户的账户标识符，将其指定为 Detective 管理员账户。

     您可能已经拥有管理员账户，并通过手动邀请程序获得了行为图。如果是这样，我们建议将该账户指定为 Detective 管理员账户。

     如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户，那么 Detective 会提示你选择其中一个账户。 AWS Security Hub也可以输入不同的账户。

   • 如果您拥有 Detective in Organizations 的委托管理员账户，则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。

7. 选择委托。

如果已启用 Detective，或者是现有行为图中的成员账户，则可以从常规页面指定 Detective 管理员账户。

要指定 Detective 管理员账户（常规页面）

1. 通过 https://console.aws.amazon.com/detective/ 打开 Amazon Detective 控制台。

2. 在 Detective 导航窗格中的设置下，选择常规。

3. 在托管式策略面板中，您可以进一步了解 Detective 支持的所有托管式策略。您可以根据希望用户在 Detective 中执行的操作，向账户授予必要的权限。要以管理员身份进行操作，我们建议将 AmazonDetectiveFullAccess 策略附加到主体。

4. 根据在 IAM 控制台中是否拥有权限，请按以下步骤操作：

   • 如果您有权在 IAM 控制台中进行操作，请将推荐的策略附加到用于 Detective 的主体。

   • 如果您无权在 IAM 控制台中进行操作，请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后，他们就可以代表您附加策略。

   可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。

   • 如果您没有 Detective in Organizations 的委托管理员账户，请输入该账户的账户标识符，将其指定为 Detective 管理员账户。

     您可能已经拥有管理员账户，并通过手动邀请程序获得了行为图。如果是这样，则我们建议将该账户指定为 Detective 管理员账户。

     如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户，那么 Detective 会提示你选择其中一个账户。 AWS Security Hub也可以输入不同的账户。

   • 如果您拥有 Detective in Organizations 的委托管理员账户，则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。

5. 选择委托。

指定 Detective 管理员账户（Detective API、AWS CLI）

要指定 Detective 管理员账户，可以使用 API 调用或 AWS Command Line Interface。必须使用组织管理账户凭证。

如果已经拥有 Detective in Organizations 委托管理员账户，则必须选择该账户或您的账户，我们建议选择委托管理员账户。

要指定 Detective 管理员帐户（Detective API， AWS CLI）

• Detective API：使用 EnableOrganizationAdminAccount 操作。必须提供 Detective 管理员账户的 AWS 账户标识符。要获取账户标识符，请执行 ListOrganizationAdminAccounts 操作。

• AWS CLI：在命令行处，运行 enable-organization-admin-account 命令。

  aws detective enable-organization-admin-account --account-id <admin account ID>

  示例

  aws detective enable-organization-admin-account --account-id 777788889999

删除 Detective 管理员账户（控制台）

可以从 Detective 控制台删除 Detective 管理员账户。

删除 Detective 管理员账户后，将对该账户禁用 Detective，并删除组织行为图。仅在当前区域中删除 Detective 管理员账户。

重要

删除 Detective 管理员账户不会影响 Organizations 中的委托管理员账户。

要删除 Detective 管理员账户（启用 Detective 页面）

1. 通过 https://console.aws.amazon.com/detective/ 打开 Amazon Detective 控制台。

2. 选择开始。

3. 在授权管理员下，选择禁用 Amazon Detective。

4. 在确认对话框中，输入 disable，然后选择禁用 Amazon Detective。

要删除 Detective 管理员账户（常规页面）

1. 通过 https://console.aws.amazon.com/detective/ 打开 Amazon Detective 控制台。

2. 在 Detective 导航窗格中的设置下，选择常规。

3. 在授权管理员下，选择禁用 Amazon Detective。

4. 在确认对话框中，输入 disable，然后选择禁用 Amazon Detective。

移除 Detective 管理员账户（Detective API， AWS CLI）

要删除 Detective 管理员账户，可以使用 API 调用或 AWS CLI。必须使用组织管理账户凭证。

删除 Detective 管理员账户后，将对该账户禁用 Detective，并删除组织行为图。

重要

删除 Detective 管理员账户不会影响 Organizations 中的委托管理员账户。

要移除 Detective 管理员账户（Detective API， AWS CLI）

• Detective API：使用 DisableOrganizationAdminAccount 操作。

  使用 Detective API 删除 Detective 管理员账户时，只能在发出 API 调用或命令的区域内删除该账户。

• AWS CLI：在命令行处，运行 disable-organization-admin-account 命令。

  aws detective disable-organization-admin-account

移除委托管理员账号（Organizations API， AWS CLI）

删除 Detective 管理员账户不会自动删除 Organizations 中的授权管理员账户。要删除 Detective 的授权管理员账户，可以使用 Organizations API。

删除授权管理员账户时，这会删除授权管理员账户为 Detective 管理员账户的所有组织行为图。它还会禁用这些区域中账户的 Detective 功能。

移除委派的管理员账号（Organizations API， AWS CLI）

• Organizations API：使用 DeregisterDelegatedAdministrator 操作。必须提供 Detective 管理员账户的账户标识符和 Detective 的服务主体，即 detective.amazonaws.com。

• AWS CLI：在命令行处，运行 deregister-delegated-administrator 命令。

  aws organizations deregister-delegated-administrator --account-id <Detective administrator account ID> --service-principal <Detective service principal>

  示例

  aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com