本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 更改委派管理员
<a name="change-delegated-admin"></a>



更改您的委托管理员的过程分 AWS Audit Manager 为两步。首先，您需要移除当前的委派管理员账户。然后，您可以添加一个新账户作为委派管理员。

按照本页上的步骤更改您的委派管理员。

**Contents**
+ [

## 先决条件
](#change-delegated-admin-prerequisites)
  + [

### 移除当前账户之前
](#before-you-remove)
  + [

### 添加新账户之前
](#before-you-add)
+ [

## 过程
](#change-delegated-admin-procedure)
+ [

## 后续步骤
](#change-delegated-admin-next-steps)
+ [

## 其他资源
](#change-delegated-admin-additional-resources)

## 先决条件
<a name="change-delegated-admin-prerequisites"></a>

### 移除当前账户之前
<a name="before-you-remove"></a>

在移除当前的委派管理员账户之前，请记住以下注意事项：
+ **证据查找器清理任务** - 如果当前的委派管理员（账户 A）启用了证据查找器，则您将需要执行清理任务，然后才能将账户 B 指定为新的委派管理员。

  在使用管理账户移除账户 A 之前，请确保账户 A 登录到 Audit Manager 并禁用证据查找器。禁用证据查找器会自动删除启用证据查找器时在账户中创建的事件数据存储。

  如果此任务未完成，事件数据存储将保留在账户 A 中。在这种情况下，我们建议最初的委托管理员使用 CloudTrail Lak [e 手动删除事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-eds-disable-termination.html)。

  此清理任务是必要的，可确保您最终不会得到多个事件数据存储。移除或更改委托管理员账户后，Audit Manager 会忽略未使用的事件数据存储。但是，如果您不删除未使用的事件数据存储，La CloudTrail ke 将继续产生事件数据存储的存储成本。
+ **数据删除** - 当您移除 Audit Manager 的委派管理员账户时，该账户的数据不会被删除。如果要删除委托管理员账户的资源数据，则必须先单独执行该任务，然后再移除账户。无论哪种方式，您都可以在 Audit Manager 控制台中执行此操作。或者，您可以使用 Audit Manager 提供的删除 API 操作之一。有关可用删除操作的列表，请参阅[删除 Audit Manager 数据](https://docs.aws.amazon.com/audit-manager/latest/userguide/data-protection.html#data-deletion-and-retention)。

  目前，Audit Manager 不提供删除特定委托管理员的证据的选项。相反，当您的管理账户取消注册 Audit Manager 时，我们会在取消注册时对当前委托的管理员账户进行清理。

### 添加新账户之前
<a name="before-you-add"></a>

添加新的委派管理员账户之前，请记住以下注意事项：
+ 新账户必须属于组织。
+ 在指定新的委派管理员之前，您必须[启用组织中的所有特征](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。您还必须[配置组织的 Security Hub CSPM](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-recommendations.html#securityhub-recommendations) 设置。这样，Audit Manager 就可以从你的成员账户中收集 Security Hub CSPM 证据。
+ 委托管理员账户必须有权访问您在设置 Audit Manager 时提供的 KMS 密钥。
+ 您不能在 Audit Manager 中以委托管理员的身份使用您的 AWS Organizations 管理帐户。

## 过程
<a name="change-delegated-admin-procedure"></a>

您可以使用 Audit Manager 控制台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager API 更改委托管理员。

**警告**  
更改委托管理员后，您可以继续访问之前在旧的委托管理员账户下收集的证据。但是，Audit Manager 会停止收集证据并将其附加到旧的委托管理员账户。

------
#### [ Audit Manager console ]

**在 Audit Manager 控制台上更改当前的委派管理员**

1. （可选）如果当前委托管理员（账户 A）启用了证据查找器，请执行以下清理任务：

   1. 在将账户 B 分配为新的委托管理员之前，请确保账户 A 登录到 Audit Manager 并禁用证据查找器。

     禁用证据查找器会自动删除账户 A 启用证据查找器时创建的事件数据存储。如果您未完成此步骤，则账户 A 必须前往 CloudTrail Lake 并手动[删除事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-eds-disable-termination.html)。否则，事件数据存储将保留在账户 A 中，并继续产生 CloudTrail Lake 存储费用。

1. 从**常规**设置选项卡中，转到**委托管理员**部分，然后选择**移除**。

1. 在出现的弹出窗口中，选择**移除**进行确认。

1. 在**委托管理员账户 ID** 下，输入新的委托管理员账户的 ID。

1. 选择 **Delegate（委派）**。

------
#### [ AWS CLI ]

**要在中更改当前的委派管理员 AWS CLI**  
首先，使用`--admin-account-id`参数运行[deregister-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/deregister-organization-admin-account.html)命令以指定当前委派管理员的账户 ID。

在以下示例中，*placeholder text*用您自己的信息替换。

```
aws auditmanager deregister-organization-admin-account --admin-account-id 111122223333
```

然后，使用`--admin-account-id`参数运行[register-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/register-organization-admin-account.html)命令以指定新委派管理员的账户 ID。

在以下示例中，*placeholder text*用您自己的信息替换。

```
aws auditmanager register-organization-admin-account --admin-account-id 444455556666
```

------
#### [ Audit Manager API ]

**使用 API 更改当前的委派管理员**  
首先，调用[DeregisterOrganizationAdminAccount](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeregisterOrganizationAdminAccount.html)操作并使用[adminAccountId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeregisterOrganizationAdminAccount.html#auditmanager-DeregisterOrganizationAdminAccount-request-adminAccountId)参数指定当前委派管理员的账户 ID。

然后，调用[RegisterOrganizationAdminAccount](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_RegisterOrganizationAdminAccount.html)操作并使用[adminAccountId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_RegisterOrganizationAdminAccount.html#auditmanager-RegisterOrganizationAdminAccount-request-adminAccountId)参数指定新委派管理员的账户 ID。

如需了解更多信息，请选择前面的任一链接，在 *Audit Manager API 参考*中阅读更多内容。这包括有关如何使用此操作和特定语言 AWS SDKs中的参数的信息。

------

## 后续步骤
<a name="change-delegated-admin-next-steps"></a>

要移除委派管理员账户，请参阅[移除委派管理员](remove-delegated-admin.md)。

## 其他资源
<a name="change-delegated-admin-additional-resources"></a>
+ [创建和管理组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)
+ [对委派管理员和 AWS Organizations 问题进行故障排除](delegated-admin-issues.md)