本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更委派 GuardDuty 管理員帳戶
您可以在每個區域中移除組織的委派 GuardDuty 管理員帳戶,然後在每個區域中委派新的管理員。若要維持組織成員帳戶在區域中的安全狀態,您必須在該區域中擁有委派的 GuardDuty 管理員帳戶。
注意
移除委派 GuardDuty 管理員帳戶之前,您必須先取消與委派 GuardDuty 管理員帳戶相關聯的所有成員帳戶關聯,然後從 GuardDuty 組織中刪除這些帳戶。如需這些步驟的詳細資訊,請參閱下列文件:
移除現有的委派 GuardDuty 管理員帳戶
步驟 1 - 移除每個區域中現有的委派 GuardDuty 管理員帳戶
-
作為現有的委派 GuardDuty 管理員帳戶,列出與您的管理員帳戶相關聯的所有成員帳戶。執行 ListMembers 與
OnlyAssociated=false。 -
如果 GuardDuty 或任何選用保護計畫的自動啟用偏好設定設定為
ALL,則執行 UpdateOrganizationConfiguration 將組織組態更新為NEW或NONE。當您在下一個步驟取消所有成員帳戶的關聯時,此動作將可防止發生錯誤。 -
執行 DisassociateMembers 取消與管理員帳戶相關聯的所有成員帳戶關聯。
-
執行 DeleteMembers 刪除管理員帳戶與成員帳戶之間的關聯。
-
身為組織管理帳戶,請執行 DisableOrganizationAdminAccount 移除現有的委派 GuardDuty 管理員帳戶。
-
在擁有此委派 GuardDuty 管理員帳戶的每個 AWS 區域 中重複這些步驟。
步驟 2 - 在 AWS Organizations (一次性全域動作) 中取消註冊現有的委派 GuardDuty 管理員帳戶
-
在AWS Organizations API參考DeregisterDelegatedAdministrator中執行,以取消註冊現有的委派 GuardDuty 管理員帳戶 AWS Organizations。
或者,您可以執行下列 AWS CLI 命令:
aws organizations deregister-delegated-administrator --account-id111122223333--service-principal guardduty.amazonaws.com請務必
111122223333將 取代為現有的委派 GuardDuty 管理員帳戶。取消註冊舊委派 GuardDuty 管理員帳戶之後,您可以將其新增為新的委派 GuardDuty 管理員帳戶的成員帳戶。
在每個區域中指定新的委派 GuardDuty 管理員帳戶
-
使用您偏好的存取方法 - GuardDuty 主控台或 API,在每個區域中指定新的委派 GuardDuty 管理員帳戶 AWS CLI。如需詳細資訊,請參閱指定委派 GuardDuty 管理員帳戶。
-
執行 DescribeOrganizationConfiguration 以檢視組織的目前自動啟用組態。
重要
在將任何成員新增至新的委派 GuardDuty 管理員帳戶之前,您必須驗證組織的自動啟用組態。此組態專屬於新的委派 GuardDuty 管理員帳戶和選取的區域,而且與 無關 AWS Organizations。當您在新的委派 GuardDuty 管理員帳戶下新增 (新的或現有的) 組織成員帳戶時,新委派 GuardDuty 管理員帳戶的自動啟用組態將在啟用 GuardDuty 或其任何選用保護計劃時套用。
使用您偏好的存取方法 - GuardDuty 主控台或 API,變更新委派 GuardDuty 管理員帳戶的組織組態 AWS CLI。如需詳細資訊,請參閱設定組織自動啟用偏好設定。
