本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 指定委派 GuardDuty 管理员账号 本节介绍了在 GuardDuty组织中指定委托管理员的步骤。 作为 AWS 组织的管理账户,请务必通读委派 GuardDuty 管理员账户的运作方式。[注意事项和建议](guardduty_organizations.md#delegated_admin_important)在继续操作之前,请确保您拥有[指定委派 GuardDuty 管理员账户所需的权限](organizations_permissions.md)。 选择首选访问方法,为您的组织指定委派 GuardDuty 管理员帐户。只有管理账户才能执行此步骤。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 若要登录,请使用 AWS Organizations 组织的管理账户凭证。 1. 使用页面右上角的 AWS 区域 选择器,选择要为组织指定委派 GuardDuty 管理员帐户的区域。 1. 根据您的管理账户在当前区域 GuardDuty 是否已启用,执行以下任一操作: + 如果 GuardDuty 未启用,请选择 **Amazon GuardDuty -所有功能**,然后选择**入门**。此操作将带您进入**欢迎来到 GuardDuty**页面。 + 如果已启 GuardDuty 用,请在导航窗格中选择 “**设置**”。 1. 在 “**委托管理员**” 下,输入要指定为组织委派 GuardDuty 管理员帐户的账户的 12 位 AWS 账户 ID。 请务必 GuardDuty 为您新指定的委派 GuardDuty 管理员账户启用,否则它将无法执行任何操作。 1. 选择 **Delegate(委派)**。 1. (推荐)重复上述步骤,在每个已 GuardDuty 启用的 AWS 区域 位置指定委派 GuardDuty 管理员帐户。 ------ #### [ API/CLI ] 1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)使用组织管理账户 AWS 账户 的凭据运行。 + 或者,您可以使用 AWS Command Line Interface 来执行此操作。以下 AWS CLI 命令仅为您当前的区域指定委派 GuardDuty 管理员帐户。运行以下 AWS CLI 命令,并确保将其{{111111111111}}替换为要指定为委派 GuardDuty 管理员帐户的帐户的 AWS 账户 ID: ``` aws guardduty enable-organization-admin-account --admin-account-id {{111111111111}} ``` 要为其他区域指定委派 GuardDuty 管理员帐户,请在 AWS CLI 命令中指定区域。以下示例演示如何在美国西部(俄勒冈)启用委托 GuardDuty 管理员账户。请务必{{us-west-2}}替换为要为其分配委派 GuardDuty 管理员帐户的区域。 ``` aws guardduty enable-organization-admin-account --admin-account-id {{111111111111}} --region {{us-west-2}} ``` 有关可用 AWS 区域 位置 GuardDuty 的信息,请参阅[区域和端点](guardduty_regions.md)。 GuardDuty 如果您的委托 GuardDuty 管理员账户被禁用,它将无法执行任何操作。如果尚未启用,请确保 GuardDuty 为新指定的委派 GuardDuty 管理员帐户启用。 1. (推荐)重复上述步骤,在已 GuardDuty 启用的每个 AWS 区域 位置指定委派 GuardDuty 管理员帐户。 ------