本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Detective 中管理受邀成员账户
<a name="accounts-invited-members"></a>

Detective 管理员账户可以在其行为图中邀请账户成为成员账户。一张行为图最多可以包含 1200 个成员账户。当成员账户接受邀请并启用后，Amazon Detective 就会开始采集成员账户的数据并将其提取到行为图中。

要邀请个人帐户，您可以手动指定要邀请的成员帐户将其数据贡献到行为图中。如果要添加成员账户列表，可以选择提供一个.csv 文件，其中包含要邀请加入行为图的成员账户列表。

对于组织行为图以外的行为图，所有成员账户都是受邀账户。Detective 管理员账户也可以邀请非组织账户的账户加入组织行为图。

简而言之，邀请账户加入行为图的流程如下。

1. 对于要添加的每个成员帐户，管理员帐户都提供 AWS 账户标识符和根用户电子邮件地址。

1. Detective 验证此电子邮件地址是否为账户的根用户电子邮件地址。如果账户信息有效，Detective 就会向成员账户发送邀请。

   Detective 不会执行此验证或向以下地区的成员账户发送电子邮件邀请：
   + AWS GovCloud （美国东部）区域
   + AWS GovCloud （美国西部）区域

   对于其他区域，你可以`DisableEmailNotification`使用 Detective API 的[CreateMembers](https://docs.aws.amazon.com//detective/latest/APIReference/API_CreateMembers.html)操作。如果设置`DisableEmailNotification`为 true，则 Detective 将不会向成员账户发送邀请。对于集中管理的账户，这是一个有用的设置。

1. 成员账户接受或拒绝邀请。

   即使管理员账户不发送邀请电子邮件，成员账户也必须回复邀请。

1. 成员账户接受邀请后，Detective 开始将成员账户中的数据提取到行为图中。

1. 一旦成员账户符合启用条件，Detective 就会自动将成员账户状态更改为**已启用**。

   例如，如果管理员帐户删除其他成员帐户以便为帐户腾出空间，则成员帐户的状态将更改为 “**启用**”。

   如果多个账户处于**未启用**状态，则 Detective 会按照邀请顺序启用这些账户。检查是否启用任何**未启用**账户的程序每小时运行一次。

   管理员账户还可以手动启用账户，而不必等待自动流程。例如，管理员账户可能想要选择要启用的账户。有关如何启用成员账户的信息，请参阅[启用未启用的成员账户](graph-admin-unblock-account.md)。

   请注意，Detective 于 2021 年 5 月 12 日开始自动启用**未启用**的账户。在此之前**未启用**的账户不会自动启用。管理员账户必须手动启用它们。

管理员账户可以从行为图中删除受邀成员账户。Detective 不会从行为图中删除任何现有数据，因为行为图汇总了各成员账户的数据。

**Topics**
+ [邀请个人账号加入行为图表](accounts-invited-members-add-individual.md)
+ [邀请成员账号列表加入行为图表](accounts-invited-members-add-csv.md)
+ [启用未启用的成员账户](graph-admin-unblock-account.md)
+ [从行为图中移除成员账户](accounts-invited-remove.md)

# 邀请个人账号加入行为图表
<a name="accounts-invited-members-add-individual"></a>

可以手动指定要邀请为行为图提供数据的成员账户。

------
#### [ Console ]

**使用 Detective 控制台手动选择要邀请的成员账户。**

1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。

1. 在 Detective 导航窗格中，选择**账户管理**。

1. 选择**操作**。然后选择**邀请账户**。

1. 在**添加账户**下，选择**添加个人账户**。

1. 要将成员账户添加到邀请列表，请执行以下步骤。

   1. 选择**添加账户**。

   1. 在**AWS 账户 ID** 中，输入 AWS 账户 ID。

   1. 对于**电子邮件地址**，输入根用户账户的电子邮件地址。

1. 要从列表中删除某个账户，请为该账户选择**删除**。

1. 在**个性化邀请电子邮件**下，添加要包含在邀请电子邮件中的自定义内容。

   例如，可以使用该区域提供联系信息。或者使用它来提醒成员账户，他们需要将所需的 IAM 策略附加到其用户或角色，然后才能接受邀请。

1. **成员账户 IAM 策略**包含成员账户所需 IAM 策略的文本。电子邮件邀请中包含此策略文本。要复制策略文本，请选择**复制**。

1. 选择**邀请**。

------
#### [ Detective API/AWS CLI ]

你可以使用 Detective API 或 AWS Command Line Interface 邀请成员账号将其数据贡献到行为图中。要获取要在请求中使用的行为图的 ARN，请使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。

**邀请成员账号访问行为图（Detective API， AWS CLI）**
+ **Detective API：**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) 操作。您必须提供图 ARN。为每个账户指定账户标识符和根用户电子邮件地址。

  如果不想向成员账户发送邀请电子邮件，请将 `DisableEmailNotification` 设置为 true。默认 `DisableEmailNotification` 为 false。

  如果要发送邀请电子邮件，则可以选择提供自定义文本添加到邀请电子邮件中。
+ **AWS CLI：**在命令行处，运行 `create-members` 命令。

  ```
  aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --message "<Custom message text>"
  ```

  **示例**

  ```
  aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."
  ```

  要表示不向成员账户发送邀请电子邮件，请包含`--disable-email-notification`。

  ```
  aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --disable-email-notification
  ```

  **示例**

  ```
  aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
  ```

------

# 邀请成员账号列表加入行为图表
<a name="accounts-invited-members-add-csv"></a>

可以从 Detective 控制台提供一份 `.csv` 文件，其中包含要邀请加入行为图的成员账户列表。

文件的第一行是标题行。然后将每个账户单独列一行。每个成员账户条目都包含 AWS 账户 ID 和账户的 root 用户电子邮件地址。

示例：

```
Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```

Detective 在处理文件时，会忽略已邀请的账户，除非账户状态为**验证失败**。该状态表明，为该账户提供的电子邮件地址与该账户根用户电子邮件地址不匹配。在这种情况下，Detective 会删除原始邀请，然后再次尝试验证电子邮件地址并发送邀请。

该选项还提供了可用于创建账户列表的模板。

**从 .csv 列表（控制台）邀请成员账户**

1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。

1. 在 Detective 导航窗格中，选择**账户管理**。

1. 选择**操作**。然后选择**邀请账户**。

1. 在**添加账户**下，选择**从 .csv 添加**。

1. 要下载要使用的模板文件，请选择**下载 .csv 模板**。

1. 要选择包含账户列表的文件，请选择**选择 .csv 文件**。

1. 在**查看成员账户**下，验证 Detective 在文件中检测到的成员账户列表。

1. 在**个性化邀请电子邮件**下，添加要包含在邀请电子邮件中的自定义内容。

   例如，可以提供联系信息，或提醒成员账户注意所需的 IAM 策略。

1. **成员账户 IAM 策略**包含成员账户所需 IAM 策略的文本。电子邮件邀请中包含此策略文本。要复制策略文本，请选择**复制**。

1. 选择**邀请**。

## 添加跨区域的成员账户列表
<a name="accounts-invited-add-script"></a>

Detective 在中 GitHub 提供了一个开源 Python 脚本，允许你执行以下操作：
+ 在指定的区域列表中，将指定的成员账户列表添加到管理员账户的行为图中。
+ 如果管理员账户在某个区域中没有行为图，则该脚本也会启用 Detective 并在该区域中创建行为图。
+ 向成员账号发送邀请电子邮件。
+ 自动接受成员账户的邀请。

有关如何配置和使用 GitHub 脚本的信息，请参阅[使用 Detective Python 脚本管理账户](detective-github-scripts.md)。

# 启用未启用的成员账户
<a name="graph-admin-unblock-account"></a>

会员账户接受邀请后，Amazon Detective 会检查成员账户的数量。行为图的最大成员账户数为 1200 个。如果行为图中已包含 1200 个成员账户，则无法启用新账户。如果 Detective 无法启用成员账户，则会将成员账户状态设置为**未启用**。

**未启用**的成员账户不会为行为图提供数据。

Detective 会根据行为图自动启用账户。

也可以尝试手动启用**未启用**成员账户的成员账户。例如，可以删除现有的成员账户，以减少数据量。与其等待自动程序启用账户，不如尝试启用**未启用**的成员账户。

------
#### [ Console ]

成员账户列表包含一个选项，可启用**未启用**的选定成员账户。

**要启用未启用的成员账户**

1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。

1. 在 Detective 导航窗格中，选择**账户管理**。

1. 在**我的成员账户**下，选中要启用的每个成员账户对应的复选框。

   只能启用状态为**未启用**的成员账户。

1. 选择**启用账户**。

Detective 决定是否可以启用成员账户。如果可以启用成员账户，则状态将更改为**已启用**。

------
#### [ Detective API/CLI ]

您可以使用 API 调 AWS Command Line Interface 用或**启用未启用的**单个成员账户。要获取要在请求中使用的行为图的 ARN，请使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。

**要启用未启用的成员账户**
+ **Detective API：**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html) API 操作。必须提供行为图 ARN。要识别成员账户，请使用 AWS 账户标识符。
+ **AWS CLI:** 运行[https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html](https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html)命令。

  ```
  start-monitoring-member --graph-arn <behavior graph ARN> --account-id <AWS account ID>
  ```

  例如：

  ```
  start-monitoring-member --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --account-id 444455556666
  ```

------

# 从行为图中移除成员账户
<a name="accounts-invited-remove"></a>

管理员账户可以随时从行为图中删除受邀成员账户。

Detective 会自动删除终止于 AWS AWS GovCloud （美国东部）和 AWS GovCloud （美国西部）地区的成员账户。

从行为图中删除受邀成员账户时，会发生以下情况。
+ 该成员账户已从**我的成员账户**中删除。
+ Amazon Detective 会停止从已删除的账户提取数据。

Detective 不会从行为图中删除任何现有数据，因为行为图汇总了各成员账户的数据。

------
#### [ Console ]

您可以使用 AWS 管理控制台 将受邀成员账户从行为图中移除。

**要删除成员账户（控制台）**

1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。

1. 在 Detective 导航窗格中，选择**账户管理**。

1. 在账户列表中，选择要删除的每个成员账户的复选框。

   无法从列表中删除自己的账户。

1. 选择**操作**。然后选择**禁用账户**。

------
#### [ Detective API/CLI  ]

你可以使用 Detective API 或 AWS Command Line Interface 将受邀成员账户从行为图中移除。要获取要在请求中使用的行为图的 ARN，请使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。

**从行为图中移除受邀成员账号（Detective API， AWS CLI）**
+ **Detective API：**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) 操作。指定要删除的成员账户的图 ARN 和账户标识符列表。
+ **AWS CLI：**在命令行处，运行 [https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) 命令。

  ```
  aws detective delete-members --account-ids <account ID list> --graph-arn <behavior graph ARN>
  ```

  示例：

  ```
  aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
  ```

------
#### [ Python script ]

Detective 在中提供了一个开源脚本 GitHub。可以使用此脚本从管理员账户的行为图表中删除指定区域列表中的指定成员账户列表。

有关如何配置和使用 GitHub 脚本的信息，请参阅[使用 Detective Python 脚本管理账户](detective-github-scripts.md)。

------