本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 将 GuardDuty 管理员帐户整合到一个组织下 GuardDuty 建议使用关联 AWS Organizations 来管理委派 GuardDuty 管理员账户下的成员账户。您可以使用下面概述的示例流程,将组织中受邀关联的管理员帐户和成员整合到一个 GuardDuty 委派的 GuardDuty 管理员账户下。 **注意** GuardDuty 建议使用 AWS Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息,请参阅 [使用 AWS Organizations管理账户](guardduty_organizations.md)。 已由委派 GuardDuty 管理员账户管理的账户或与委派 GuardDuty 管理员账户关联的活跃成员账户无法添加到其他委托 GuardDuty 管理员账户。每个组织在每个区域只能有一个委托 GuardDuty 管理员账户,每个成员账户只能有一个委托 GuardDuty 管理员账户。 选择首选访问方法,将 GuardDuty 管理员帐户合并到单个委派 GuardDuty 管理员帐户下。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 若要登录,请使用组织的管理账户凭证。 1. 您要管理的所有账户都 GuardDuty 必须是您的组织的一部分。有关向组织添加账户的信息,请参阅[邀请 AWS 账户 加入您的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。 1. 确保所有成员账户都与您想要指定为单一委派 GuardDuty 管理员账户的账户相关联。取消关联仍与原有管理员账户关联的成员账户。 以下步骤可帮助您取消成员账户与原有管理员账户的关联: 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 1. 若要登录,请使用原有管理员账户凭证。 1. 在导航窗格中,选择**账户**。 1. 在**账户**页面上,选择一个或多个要与管理员账户取消关联的账户。 1. 选择**操作**,然后选择**取消关联账户**。 1. 选择**确认**以完成该步骤。 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 若要登录,请使用管理账户凭证。 1. 在导航窗格中,选择**设置**。在 **“设置**” 页面上,为组织指定委派 GuardDuty 管理员帐户。 1. 登录指定的委派 GuardDuty 管理员账号。 1. 添加组织中的成员。有关更多信息,请参阅 [使用管理 GuardDuty 账户 AWS Organizations](guardduty_organizations.md)。 ------ #### [ API/CLI ] 1. 您要管理的所有账户都 GuardDuty 必须是您的组织的一部分。有关向组织添加账户的信息,请参阅[邀请 AWS 账户 加入您的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。 1. 确保所有成员账户都与您想要指定为单一委派 GuardDuty 管理员账户的账户相关联。 1. 运行[DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)以取消仍与先前存在的管理员帐户关联的所有成员帐户的关联。 1. 或者,您可以使用 AWS Command Line Interface 运行以下命令并替换为要取消*777777777777*与成员帐户关联的先前存在的管理员帐户的检测器 ID。*666666666666*替换为您要取消关联的成员账户的 AWS 账户 ID。 ``` aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666 ``` 1. 运行[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)以委托 GuardDuty 管理员帐户的 AWS 账户 身份进行委托。 或者,您可以使用 AWS Command Line Interface 运行以下命令来委托委派 GuardDuty 管理员帐户: ``` aws guardduty enable-organization-admin-account --admin-account-id 777777777777 ``` 1. 添加组织中的成员。有关更多信息,请参阅 [Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api)。 ------ **重要** 为了最大限度地提高区域服务的效率,我们建议您指定您的委托 GuardDuty 管理员账户,并在每个地区添加所有成员账户。 GuardDuty