本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Detective 中的账号限制和建议
<a name="accounts-restrictions-recommendations"></a>

管理 Amazon Detective 中的账户时，请注意以下限制和建议。

## 成员账户的最大数量
<a name="accounts-maximum-members"></a>

Detective 允许每个行为图中最多有 1200 个成员账户。

如果您使用 AWS Organizations 管理账户，默认情况下，Detective 会在账户**管理页面上显示最多 5000 个成员账户**。如果要查看所有帐户，请选择**加载所有帐户**。返回所有结果可能需要几分钟。

## 账户和区域
<a name="accounts-regions"></a>

如果您使用 AWS Organizations 管理帐户，则组织管理帐户会为组织指定一个 Detective 管理员帐户。该 Detective 管理员账户成为组织行为图的管理员账户。

所有区域的 Detective 管理员账户必须相同。组织管理账户在每个区域分别指定 Detective 管理员账户。Detective 管理员账户还分别管理每个区域的组织行为图和成员账户。

对于通过邀请创建的成员账户，管理员-成员关联仅在发出邀请的区域创建。管理员账户必须在每个区域启用 Detective，并且每个区域都有单独的行为图。然后，管理员账户会邀请每个账户作为该区域的成员账户进行关联。

一个账户可以是同一区域内多个行为图的成员账户。每个区域只能有一个行为图的管理员账户。一个账户可以是不同区域的管理员账户。

## 管理员帐户与 Security Hub CSPM 保持一致以及 GuardDuty
<a name="accounts-alignment"></a>

为确保与 Amazon AWS Security Hub CSPM 和 Amazon 的集成顺利 GuardDuty 进行，我们建议在所有这些服务中使用同一个账户作为管理员账户。

请参阅[建议与 GuardDuty 和对齐 AWS Security Hub CSPM](detective-recommendations.md#recommended-service-alignment)。

## 授予管理员账户所需的权限
<a name="accounts-admin-permissions"></a>

要确保管理员账户拥有管理其行为图所需的权限，请将 [`AmazonDetectiveFullAccess` 托管式策略](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectivefullaccess)附加到 IAM 主体。

## 在 Detective 中反映组织的最新动态
<a name="accounts-orgs-update-notification"></a>

组织的更改不会立即反映在 Detective 中。

对于大多数更改，如新增和删除组织账户，Detective 可能需要一个小时才能收到通知。

对 Organizations 中指定的 Detective 管理员账户进行更改所需的传播时间较短。