Detective 管理員帳戶的管理方式設定 Detective 管理員帳戶所需的許可指定 Detective 管理員帳戶 (主控台)指定 Detective 管理員帳戶 (Detective API，AWS CLI)移除 Detective 管理員帳戶 (主控台)移除 Detective 管理員帳號 (Detective API， AWS CLI)移除委派的管理員帳戶 (Organizations API， AWS CLI)

為組織指定 Detective 管理員帳戶

在組織行為圖表中，Detective 管理員帳戶會管理所有組織帳戶的行為圖表成員資格。

Detective 管理員帳戶的管理方式

組織管理帳戶會指定每個 AWS 區域組織的 Detective 管理員帳戶。

將 Detective 管理員帳戶設定為委派的管理員帳戶

Detective 管理員帳戶也會成為中 Detective 委派的管理員帳戶 AWS Organizations。如果組織管理帳戶將自己指定為 Detective 管理員帳戶，則存在例外情況。組織管理帳戶無法成爲組織中委派的管理員。

在組織中設定委派的管理員帳戶之後，組織管理帳戶只能選擇委派的管理員帳戶或他們自己的帳戶作為 Detective 管理員帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。

建立及管理組織行為圖表

當組織管理帳戶選擇 Detective 管理員帳戶時，Detective 會為該帳戶建立新行為圖表。該行為圖表是組織行為圖表。

如果 Detective 管理員帳戶是現有行為圖表的管理員帳戶，則該行為圖表會成爲組織行為圖表。

Detective 管理員帳戶會在組織行為圖表中選擇要啟用的組織帳戶做為成員帳戶。

此圖顯示組織管理帳戶如何為組織選擇 Detective 管理員帳戶。Detective 管理員帳戶是組織行為圖表的管理員帳戶，以及組織中委派的管理員帳戶。Detective 管理員帳戶可以存取所有組織帳戶。

Detective 管理員帳戶也可以傳送邀請至不屬於組織的帳戶。如需詳細資訊，請參閱以成員帳戶身分管理組織帳戶及管理受邀成員帳戶。

移除 Detective 管理員帳戶

組織管理帳戶可以移除區域中目前的 Detective 管理員帳戶。當您移除 Detective 管理員帳戶時，Detective 只會將其從目前的區域中移除。它不會變更組織中的委派管理員帳戶。

當組織管理帳戶移除區域中的 Detective 管理員帳戶時，Detective 會刪除組織行為圖表。已移除的 Detective 管理員帳戶將停用 Detective。

若要移除 Detective 目前委派的管理員帳戶，您可以使用組織 API。當您移除組織中 Detective 的委派管理員帳戶時，Detective 會刪除所有組織行為圖表，其中委派的管理員帳戶是 Detective 管理員帳戶。將組織管理帳戶作為 Detective 管理員帳戶的組織行為圖表不會受到影響。

設定 Detective 管理員帳戶所需的許可

為了確保組織管理帳戶能夠設定 Detective 管理員帳戶，您可以將 AmazonDetectiveOrganizationsAccess 受管政策連接至您的 AWS Identity and Access Management (IAM) 實體。

指定 Detective 管理員帳戶 (主控台)

組織管理帳戶可以使用 Detective 主控台來指定 Detective 管理員帳戶。

您無需啟用 Detective 即可管理 Detective 管理員帳戶。您可以從啟用 Detective 頁面管理 Detective管理員帳戶。

若要指定 Detective 管理員帳戶 (啟用 Detective 頁面)

前往 https://console.aws.amazon.com/detective/ 開啟 Amazon Detective 主控台。
選擇開始使用。
在管理員帳戶所需的許可面板中，為您選擇的帳戶授予必要的許可，以便他們能夠以 Detective 管理員的身分操作，並具有對 Detective 中所有動作的完整存取許可。若要以管理員身分操作，建議將 AmazonDetectiveFullAccess 政策附加至主體。
選擇從 IAM 附加政策，直接在 IAM 主控台中檢視建議的政策。
根據您是否在 IAM 主控台中擁有許可，執行以下步驟：
- 如果您有在 IAM 主控台中操作的許可，請將建議的政策附加到您用於 Detective 的主體。
- 如果您沒有在 IAM 主控台中操作的許可，請複製政策的 Amazon Resource Name (ARN)，並將其提供給 IAM 管理員。然後，他們可以代表您附加政策。
在委派管理員下，選擇 Detective 管理員帳戶。

可用的選項取決於您是否擁有組織中 Detective 的委派管理員帳戶。
- 如果您沒有組織中 Detective 的委派管理員帳戶，請輸入帳戶的帳戶識別符，將其指定為 Detective 管理員帳戶。
  
  在手動邀請程序中，您可能已有現有管理員帳戶和行為圖表。如果的確如此，我們建議您將該帳戶指定為 Detective 管理員帳戶。
  
  如果您在 Amazon GuardDuty、 AWS Security Hub或 Amazon Macie 的 Organizations 中有委派的管理員帳戶，則 Detective 會提示您選取其中一個帳戶。您也可以輸入不同的帳戶。
- 如果您確實擁有組織中 Detective的委派管理員帳戶，系統會提示您選擇該帳戶或您的帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
選擇委派。

如果您已啟用 Detective，或者是現有行為圖表中的成員帳戶，則您可以從一般頁面指定 Detective 管理員帳戶。

若要指定 Detective 管理員帳戶 (一般頁面)

前往 https://console.aws.amazon.com/detective/ 開啟 Amazon Detective 主控台。
在 Detective 導覽窗格中，於設定下選擇通用。
在受管政策面板中，您可進一步了解 Detective 支援的所有受管政策。您可以根據您希望使用者在 Detective 中執行的動作，向帳戶授予必要的許可。若要以管理員身分操作，建議將 AmazonDetectiveFullAccess 政策附加至主體。
根據您是否在 IAM 主控台中擁有許可，執行以下步驟：
- 如果您有在 IAM 主控台中操作的許可，請將建議的政策附加到您用於 Detective 的主體。
- 如果您沒有在 IAM 主控台中操作的許可，請複製政策的 Amazon Resource Name (ARN)，並將其提供給 IAM 管理員。然後，他們可以代表您附加政策。
可用的選項取決於您是否擁有組織中 Detective 的委派管理員帳戶。
- 如果您沒有組織中 Detective 的委派管理員帳戶，請輸入帳戶的帳戶識別符，將其指定為 Detective 管理員帳戶。
  
  在手動邀請程序中，您可能已有現有管理員帳戶和行為圖表。如果的確如此，則我們建議您將該帳戶指定為 Detective 管理員帳戶。
  
  如果您在 Amazon GuardDuty、 AWS Security Hub或 Amazon Macie 的 Organizations 中有委派的管理員帳戶，則 Detective 會提示您選取其中一個帳戶。您也可以輸入不同的帳戶。
- 如果您確實擁有組織中 Detective的委派管理員帳戶，系統會提示您選擇該帳戶或您的帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
選擇委派。

指定 Detective 管理員帳戶 (Detective API，AWS CLI)

若要指定 Detective 管理員帳戶，您可以使用 API 呼叫或 AWS Command Line Interface。您必須使用組織的管理帳戶憑證。

如果您已經擁有組織中 Detective 的委派管理員帳戶，則您必須選擇該帳戶或您的帳戶，我們建議您選擇委派的管理員帳戶。

若要指定 Detective 管理員帳戶 (Detective API， AWS CLI)

Detective API：使用 EnableOrganizationAdminAccount 操作。您必須提供 Detective 管理員 AWS 帳戶的帳戶識別符。若要取得帳戶識別符，使用 ListOrganizationAdminAccounts 操作。

AWS CLI：在命令列中執行 enable-organization-admin-account 命令。


aws detective enable-organization-admin-account --account-id <admin account ID>

範例


aws detective enable-organization-admin-account --account-id 777788889999

移除 Detective 管理員帳戶 (主控台)

您可以從 Detective 主控台移除 Detective 管理員帳戶。

當您移除 Detective 管理員帳戶時，系統會停用該帳戶的 Detective，並且會刪除組織行為圖表。Detective 管理員帳戶僅會在目前區域中移除。

重要

移除 Detective 管理員帳戶不會影響組織中委派的管理員帳戶。

若要移除 Detective 管理員帳戶 (啟用 Detective 頁面)

前往 https://console.aws.amazon.com/detective/ 開啟 Amazon Detective 主控台。
選擇開始使用。
在委派的管理員下，選擇停用 Amazon Detective。
在確認對話方塊上，輸入 disable，然後選擇停用 Amazon Detective。

若要移除 Detective 管理員帳戶 (一般頁面)

前往 https://console.aws.amazon.com/detective/ 開啟 Amazon Detective 主控台。
在 Detective 導覽窗格中，於設定下選擇通用。
在委派的管理員下，選擇停用 Amazon Detective。
在確認對話方塊上，輸入 disable，然後選擇停用 Amazon Detective。

移除 Detective 管理員帳號 (Detective API， AWS CLI)

若要移除 Detective 管理員帳戶，您可以使用 API 呼叫或 AWS CLI。您必須使用組織的管理帳戶憑證。

當您移除 Detective 管理員帳戶時，系統會停用該帳戶的 Detective，並且會刪除組織行為圖表。

重要

移除 Detective 管理員帳戶不會影響組織中委派的管理員帳戶。

要刪除 Detective 管理員帳戶（Detective API， AWS CLI）

Detective API：使用 DisableOrganizationAdminAccount 操作。

當您使用 Detective API 移除 Detective 管理員帳戶時，只會在發出 API 呼叫或指令的區域中移除該帳戶。
AWS CLI：在命令列中執行 disable-organization-admin-account 命令。
```
aws detective disable-organization-admin-account
```

移除委派的管理員帳戶 (Organizations API， AWS CLI)

移除 Detective 管理員帳戶並不會自動移除組織中委派的管理員帳戶。若要移除 Detective 的委派管理員帳戶，您可以使用組織 API。

當您移除委派的管理員帳戶時，這會刪除委派管理員帳戶為 Detective 管理員帳戶的所有組織行為圖表。此舉還會停用此類區域中帳戶的 Detective。

若要移除委派的管理員帳戶 (Organizations API， AWS CLI)

組織 API：使用 DeregisterDelegatedAdministrator 操作。您必須提供 Detective 管理員帳戶的帳戶識別符，以及 Detective 的服務主體，即 detective.amazonaws.com。

AWS CLI：在命令列中執行 deregister-delegated-administrator 命令。


aws organizations deregister-delegated-administrator --account-id <Detective administrator account ID> --service-principal <Detective service principal>

範例


aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

轉換為組織

帳戶的可用動作