本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为组织指定 Detective 管理员
在组织行为图中,Detective 管理员账户管理所有组织账户的行为图成员资格。
如何管理 Detective 管理员帐户-组织管理帐户为每个 AWS 区域组织指定侦探管理员帐户。
将 Detective 管理员帐户设置为委托管理员帐户 — Detective 管理员帐户也将成为 Detective 的委托管理员帐户 AWS Organizations。如果组织管理账户将自己指定为 Detective 管理员账户,则属于例外情况。组织管理账户不能是 Organizations 中的委托管理员。
在 Organizations 中设置委托管理员账户后,组织管理账户只能选择委托管理员账户或自己的账户作为 Detective 管理员账户。我们建议在所有区域选择委托管理员账户。
创建和管理组织行为图 — 当组织管理帐户选择 Detective 管理员帐户时,Detective 会为该帐户创建一个新的行为图表。该行为图就是组织行为图。
如果 Detective 管理员账户是现有行为图的管理员账户,则该行为图就会成为组织行为图。
Detective 管理员账户在组织行为图中选择要作为成员账户启用的组织账户。
![\[该图显示了组织管理账户如何选择 Detective 管理员账户。Detective 管理员账户是组织行为图的管理员账户,也是 Organizations 中的委托管理员账户。Detective 管理员账户可以访问所有组织账户。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/diagram_account_delegation.png)
Detective 管理员账户还可以向不属于该组织的账户发送邀请。有关更多信息,请参阅[以 Detective 成员账户的身份管理组织账户](accounts-orgs-members.md)和[在 Detective 中管理受邀成员账户](accounts-invited-members.md)。
配置 Detective 管理员账户所需的权限 — 为确保组织管理账户能够配置 Detective 管理员账户,您可以将[`AmazonDetectiveOrganizationsAccess`托管策略](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy)附加到您的 AWS Identity and Access Management (IAM) 实体。
# 指定 Detective 管理员
组织管理账户可以使用 Detective 控制台来指定 Detective 管理员账户。
要管理 Detective 管理员账户,无需启用 Detective。您可以从**启用 Detective** 页面管理 Detective 管理员账户。
------
#### [ Enable Detective page (Console) ]
要从 “**启用侦探**” 页面指定 Detective 管理员,请按照以下步骤操作。
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 选择**开始**。
1. 在**管理员账户所需权限**面板中,为选择的账户授予必要的权限,使其能够作为 Detective 管理员的身份进行操作,并完全有权访问 Detective 中的所有操作。要以管理员身份进行操作,我们建议将 `AmazonDetectiveFullAccess` 策略附加到主体。
1. 选择**从 IAM 附加策略**,直接在 IAM 控制台中查看推荐的策略。
1. 根据在 IAM 控制台中是否拥有权限,请按以下步骤操作:
+ 如果您有权在 IAM 控制台中进行操作,请将推荐的策略附加到用于 Detective 的主体。
+ 如果您无权在 IAM 控制台中进行操作,请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后,他们就可以代表您附加策略。
1. 在**委托管理员**下,选择 Detective 管理员账户。
可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。
+ 如果您没有 Detective in Organizations 的委托管理员账户,请输入该账户的账户标识符,将其指定为 Detective 管理员账户。
您可能已经拥有管理员账户,并通过手动邀请程序获得了行为图。如果是这样,我们建议将该账户指定为 Detective 管理员账户。
如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户,那么 Detective 会提示你选择其中一个账户。 AWS Security Hub CSPM也可以输入不同的账户。
+ 如果您拥有 Detective in Organizations 的委托管理员账户,则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。
1. 选择**委托**。
如果已启用 Detective,或者是现有行为图中的成员账户,则可以从**常规**页面指定 Detective 管理员账户。
------
#### [ General page (Console) ]
要从 “**常规**” 页面指定 Detective 管理员,请按照以下步骤操作。
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 在 Detective 导航窗格中的**设置**下,选择**常规**。
1. 在**托管式策略**面板中,您可以进一步了解 Detective 支持的所有托管式策略。您可以根据希望用户在 Detective 中执行的操作,向账户授予必要的权限。要以管理员身份进行操作,我们建议将 `AmazonDetectiveFullAccess` 策略附加到主体。
1. 根据在 IAM 控制台中是否拥有权限,请按以下步骤操作:
+ 如果您有权在 IAM 控制台中进行操作,请将推荐的策略附加到用于 Detective 的主体。
+ 如果您无权在 IAM 控制台中进行操作,请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后,他们就可以代表您附加策略。
可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。
+ 如果您没有 Detective in Organizations 的委托管理员账户,请输入该账户的账户标识符,将其指定为 Detective 管理员账户。
您可能已经拥有管理员账户,并通过手动邀请程序获得了行为图。如果是这样,则我们建议将该账户指定为 Detective 管理员账户。
如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户,那么 Detective 会提示你选择其中一个账户。 AWS Security Hub CSPM也可以输入不同的账户。
+ 如果您拥有 Detective in Organizations 的委托管理员账户,则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。
1. 选择**委托**。
------
#### [ Detective API, AWS CLI ]
要指定 Detective 管理员账户,可以使用 API 调用或 AWS Command Line Interface。必须使用组织管理账户凭证。
如果已经拥有 Detective in Organizations 委托管理员账户,则必须选择该账户或您的账户,我们建议选择委托管理员账户。
**要指定 Detective 管理员帐户(Detective API, AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html) 操作。必须提供 Detective 管理员账户的 AWS 账户标识符。要获取账户标识符,请执行 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html) 操作。
+ **AWS CLI:**在命令行处,运行 [https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html) 命令。
```
aws detective enable-organization-admin-account --account-id
```
**示例**
```
aws detective enable-organization-admin-account --account-id 777788889999
```
------
# 删除 Detective 管理员账号
组织管理账户可以删除区域中当前的 Detective 管理员账户。删除 Detective 管理员账户时,Detective 只会将其从当前区域中删除。它不会更改 Organizations 中的委托管理员账户。
当组织管理账户删除某个区域中的 Detective 管理员账户时,Detective 会删除组织行为图。已删除的 Detective 管理员账户已禁用 Detective。
要删除 Detective 当前的委托管理员账户,需要使用 Organizations API。删除 Detective in Organizations 委托管理员账户后,Detective 会删除所有委托管理员账户为 Detective 管理员账户的组织行为图。使用组织管理账户作为 Detective 管理员账户的组织行为图不会受到影响。
------
#### [ Console ]
可以从 Detective 控制台删除 Detective 管理员账户。
删除 Detective 管理员账户后,将对该账户禁用 Detective,并删除组织行为图。仅在当前区域中删除 Detective 管理员账户。
**重要**
删除 Detective 管理员账户不会影响 Organizations 中的委托管理员账户。
**要删除 Detective 管理员账户(**启用 Detective** 页面)**
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 选择**开始**。
1. 在**授权管理员**下,选择**禁用 Amazon Detective**。
1. 在确认对话框中,输入 **disable**,然后选择**禁用 Amazon Detective**。
**要删除 Detective 管理员账户(**常规**页面)**
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 在 Detective 导航窗格中的**设置**下,选择**常规**。
1. 在**授权管理员**下,选择**禁用 Amazon Detective**。
1. 在确认对话框中,输入 **disable**,然后选择**禁用 Amazon Detective**。
------
#### [ Detective API, AWS CLI ]
要删除 Detective 管理员账户,可以使用 API 调用或 AWS CLI。必须使用组织管理账户凭证。
删除 Detective 管理员账户后,将对该账户禁用 Detective,并删除组织行为图。
**重要**
删除 Detective 管理员账户不会影响 Organizations 中的委托管理员账户。
**要移除 Detective 管理员账户(Detective API, AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html) 操作。
使用 Detective API 删除 Detective 管理员账户时,只能在发出 API 调用或命令的区域内删除该账户。
+ **AWS CLI:**在命令行处,运行 [https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html) 命令。
```
aws detective disable-organization-admin-account
```
------
## 移除委派管理员账号
删除 Detective 管理员账户不会自动删除 Organizations 中的授权管理员账户。要删除 Detective 的授权管理员账户,可以使用 Organizations API。
删除授权管理员账户时,这会删除授权管理员账户为 Detective 管理员账户的所有组织行为图。它还会禁用这些区域中账户的 Detective 功能。
**移除委派的管理员账号(Organizations API, AWS CLI)**
+ **Organizations API:**使用 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。必须提供 Detective 管理员账户的账户标识符和 Detective 的服务主体,即 `detective.amazonaws.com`。
+ **AWS CLI:**在命令行处,运行 [https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 命令。
```
aws organizations deregister-delegated-administrator --account-id --service-principal
```
**示例**
```
aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com
```