更改委派 GuardDuty 管理员账号

第 1 步-删除每个区域中现有的委托 GuardDuty 管理员账户

1. 作为现有的委托 GuardDuty 管理员账户，列出与您的管理员账户关联的所有成员账户。运行 ListMembers带有 OnlyAssociated=false 的 。

2. 如果将 GuardDuty 或任何可选保护计划的自动启用首选项设置为ALL，则运行 UpdateOrganizationConfiguration将组织配置更新为NEW或NONE。此操作将防止您在下一步中将所有成员账户取消关联时出错。

3. 运行 DisassociateMembers取消与管理员账户关联的所有成员账户的关联。

4. 运行 DeleteMembers删除管理员账户和成员账户之间的关联。

5. 以组织管理账户的身份运行 DisableOrganizationAdminAccount删除现有的委派 GuardDuty 管理员帐户。

6. 在您拥有此委派 GuardDuty 管理员帐户的每个 AWS 区域 位置重复这些步骤。

第 2 步-在 AWS Organizations （一次性全局操作）中注销现有委派 GuardDuty 管理员账户

• DeregisterDelegatedAdministrator在 “参AWS Organizations API考” 中运行，注销中现有的委派 GuardDuty 管理员帐户。 AWS Organizations

  或者，你可以运行以下 AWS CLI 命令：

  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com

  请务必111122223333替换为现有的委派 GuardDuty 管理员账号。

  注销旧的委托 GuardDuty 管理员账号后，可以将其作为成员账号添加到新的委托 GuardDuty 管理员账号中。

1. 使用您的首选访问方法（ GuardDuty 控制台或API或），在每个区域指定一个新的委托 GuardDuty 管理员帐户 AWS CLI。有关更多信息，请参阅 指定委派 GuardDuty 管理员账号。

2. 运行DescribeOrganizationConfiguration以查看您的组织当前的自动启用配置。

   重要

   在向新的委派 GuardDuty 管理员账户添加任何成员之前，必须验证组织的自动启用配置。此配置特定于新的委派 GuardDuty 管理员账户和所选区域，与无关 AWS Organizations。当您在新的委派 GuardDuty 管理员账户下添加（新的或现有的）组织成员账户时，新的委派 GuardDuty 管理员账户的自动启用配置将在启用 GuardDuty 或其任何可选保护计划时适用。

   使用您的首选访问方法（ GuardDuty 控制台或API或）更改新委派 GuardDuty 管理员账户的组织配置 AWS CLI。有关更多信息，请参阅 设置组织自动启用首选项。