本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更委派的 GuardDuty 管理員帳戶
您可以在每個區域中變更組織的委派 GuardDuty 管理員帳戶,然後在每個區域中委派新的管理員。若要維護區域中組織成員帳戶的安全性狀態,您必須在該區域中擁有委派的 GuardDuty 管理員帳戶。
移除現有委派 GuardDuty 管理員帳戶
步驟 1-移除每個區域中現有的委派 GuardDuty 管理員帳戶
-
作為現有委派 GuardDuty 管理員帳戶,列出與您的管理員帳戶相關聯的所有成員帳戶。運行ListMembers與
OnlyAssociated=false
. -
如果將 GuardDuty 或任何選用保護方案的自動啟用喜好設定設為
ALL
,則執行UpdateOrganizationConfiguration以將組織組態更新為NEW
或NONE
。當您在下一個步驟中取消關聯所有成員帳戶時,此動作將防止發生錯誤。 -
執行DisassociateMembers以取消與管理員帳戶相關聯的所有成員帳戶的關聯。
-
執行DeleteMembers以刪除管理員帳戶與成員帳戶之間的關聯。
-
做為組織管理帳戶,執行DisableOrganizationAdminAccount以移除現有的委派管理 GuardDuty 員帳戶。
-
在您擁有此委派 GuardDuty 管理員帳戶 AWS 區域 的每個位置重複這些步驟。
步驟 2-要取消註冊現有委託 GuardDuty 管理員帳戶 AWS Organizations (一次性全局操作)
-
在 AWS Organizations API 參考DeregisterDelegatedAdministrator中執行,以取消註冊中的現有委派 GuardDuty 管理員帳戶。 AWS Organizations
或者,您也可以執行下列 AWS CLI 命令:
aws organizations deregister-delegated-administrator --account-id
111122223333
--service-principal guardduty.amazonaws.com請務必將
111122223333
取代為現有的委派系統管理員帳戶。 GuardDuty取消註冊舊的委派 GuardDuty 管理員帳戶後,您可以將其作為成員帳戶新增至新的委派 GuardDuty 管理員帳戶。
在每個區域中指定新的委派 GuardDuty 管理員帳戶
-
使用下列其中一種存取方法,在每個區域中指定新的委派 GuardDuty 管理員帳戶:
-
使用 GuardDuty 控制台-步驟 1 — 指定組織的委派 GuardDuty 系統管理員帳戶。
-
使用 GuardDuty API —步驟 1 — 指定 AWS 組織的委派 GuardDuty 系統管理員帳戶.
-
-
執行DescribeOrganizationConfiguration以檢視組織目前的自動啟用組態。
重要
在將任何成員新增至新委派的 GuardDuty 管理員帳戶之前,您必須先驗證組織的自動啟用組態。此設定僅適用於新委派的 GuardDuty 系統管理員帳戶和選取的區域,與 AWS Organizations。當您在新委派的系統管理員帳戶下新增 (新的或現有的) 組織成 GuardDuty 員帳戶時,新委派系統 GuardDuty 管理員帳戶的自動啟用組態會在啟用時套用, GuardDuty 或套用其任何選用的保護方案。
若要變更新委派 GuardDuty 管理員帳戶的此組織組態,請使用下列其中一種存取方法:
-
使用 GuardDuty 控制台-步驟 2 — 設定組織的自動啟用偏好設定。
-
使用 GuardDuty API —步驟 2:設定組織的自動啟用偏好設定.
-