本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 更改委派 GuardDuty 管理员账号
<a name="change-guardduty-delegated-admin"></a>

您可以删除每个区域中贵组织的委托 GuardDuty 管理员帐户，然后在每个区域委派新的管理员。要保持组织在某个区域的成员账户的安全状态，您必须在该区域拥有委托 GuardDuty 管理员账户。

**备注**  
在移除委派 GuardDuty 管理员账号之前，必须先解除与委派 GuardDuty 管理员账号关联的所有成员账号，然后将其从 GuardDuty 组织中删除。有关这些步骤的更多信息，请参阅以下文档：  
[将成员账户与管理员账户取消关联（移除）](disassociate-remove-member-account-from-admin.md)
[从 GuardDuty 组织中删除成员账户](delete-member-accounts-guardduty-organization.md)

## 移除现有的委派 GuardDuty 管理员账号
<a name="remove-existing-guardduty-delegated-admin"></a>

**第 1 步-删除每个区域中现有的委托 GuardDuty 管理员账户**

1. 作为现有的委托 GuardDuty 管理员账户，列出与您的管理员账户关联的所有成员账户。使用 `OnlyAssociated=false` 参数运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)。

1. 如果将 GuardDuty 或任何可选保护计划的自动启用首选项设置为`ALL`，则运行[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)以将组织配置更新为`NEW`或`NONE`。此操作将防止您在下一步中将所有成员账户取消关联时出错。

1. 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) 以将与管理员账户关联的所有成员账户取消关联。

1. 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) 以删除管理员账户和成员账户之间的关联。

1. 以组织管理帐户的身份运行[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)以删除现有的委派 GuardDuty 管理员帐户。

1. 在您拥有此委派 GuardDuty 管理员帐户的每个 AWS 区域 位置重复这些步骤。

**第 2 步-在 AWS Organizations （一次性全局操作）中注销现有委派 GuardDuty 管理员账户**
+ [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)在 *AWS Organizations API 参考*中运行，注销中现有的委派 GuardDuty 管理员账户。 AWS Organizations

  或者，你可以运行以下 AWS CLI 命令：

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  请务必*111122223333*替换为现有的委派 GuardDuty 管理员账号。

  注销旧的委托 GuardDuty 管理员账号后，可以将其作为成员账号添加到新的委托 GuardDuty 管理员账号中。

## 在每个区域指定一个新的委托 GuardDuty 管理员账户
<a name="designate-new-guardduty-delegated-admin"></a>

1. 使用您的首选访问方式（ GuardDuty 控制台、API 或）在每个区域指定一个新的委托 GuardDuty 管理员账户 AWS CLI。有关更多信息，请参阅 [指定委派 GuardDuty 管理员账号](delegated-admin-designate.md)。

1. 运行[DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)以查看您的组织当前的自动启用配置。
**重要**  
在向新的委派 GuardDuty 管理员账户添加任何成员之前，必须验证组织的自动启用配置。此配置特定于新的委派 GuardDuty 管理员账户和所选区域，与无关 AWS Organizations。当您在新的委派 GuardDuty 管理员账户下添加（新的或现有的）组织成员账户时，新的委派 GuardDuty 管理员账户的自动启用配置将在启用 GuardDuty 或其任何可选保护计划时适用。

   使用您的首选访问方法（ GuardDuty 控制台、API 或）更改新委派 GuardDuty 管理员账户的组织配置 AWS CLI。有关更多信息，请参阅 [设置组织自动启用首选项](set-guardduty-auto-enable-preferences.md)。