本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过邀请管理 GuardDuty 账户
<a name="guardduty_invitations"></a>

要管理您的组织外部的账户，可以使用传统邀请方法。使用此方法时，如果其他账户接受您的邀请成为成员账户，您的账户将被指定为管理员账户。

**注意**  
GuardDuty 建议使用 AWS Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息，请参阅 [使用 AWS Organizations管理账户](guardduty_organizations.md)。

如果您的账户不是管理员账户，则可以接受来自其他账户的邀请。接受邀请后，您的账户将成为成员账户。一个 AWS 账户不能同时是 GuardDuty管理员账户和成员账户。

接受某个账户的邀请后，您将不能接受其他账户的邀请。要接受其他账户的邀请，您首先需要将您的账户与现有的管理员账户取消关联。也可由管理员账户取消关联并将您的账户从其组织中移除。

通过邀请关联的账户的总体管理员 account-to-member关系与关联的账户具有相似的总体管理员关系 AWS Organizations，如中所述[了解 GuardDuty 管理员账户和成员账户之间的关系](administrator_member_relationships.md)。但是，邀请管理员账户用户无法 GuardDuty 代表关联的成员账户启用，也不能查看其 AWS Organizations 组织内的其他非成员账户。

**重要**  
使用此方法 GuardDuty 创建成员账户时，可能会发生跨区域数据传输。为了验证成员账户的电子邮件地址，请 GuardDuty 使用仅在美国东部（弗吉尼亚北部）地区运行的电子邮件验证服务。

**Topics**
+ [通过邀请添加账户](guardduty_become_console.md)
+ [将 GuardDuty 管理员帐户整合到一个组织下](consolidate-orgs.md)

# 通过邀请添加账户
<a name="guardduty_become_console"></a>

作为已 GuardDuty 启用的管理员帐户，您可以添加要开始使用的成员 GuardDuty。添加成员后，您可以邀请他们加入 GuardDuty，他们可以选择回复您的邀请。

**注意**  
GuardDuty 建议使用 AWS Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息，请参阅 [使用 AWS Organizations管理账户](guardduty_organizations.md)。

选择首选访问方法，将 GuardDuty 成员帐户添加为 GuardDuty 管理员帐户。

------
#### [ Console ]

**步骤 1：添加账户**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择**账户**。

1. 在顶部窗格中选择**通过邀请添加账户**。

1. 在**添加成员账户**页面的**输入账户详细信息**下，输入与要添加的账户关联的 AWS 账户 ID 和电子邮件地址。

1. 要添加另一行，以便逐个输入账户详细信息，请选择**添加其他账户**。您也可以选择**上传包含账户详细信息的.csv 文件**来批量添加账户。
**重要**  
csv 文件的第一行必须包含以下标头，如以下示例所示：`Account ID,Email`。随后的每一行都必须包含一个有效的 AWS 账户 ID 及其关联的电子邮件地址。如果一行仅包含一个 AWS 账户 ID 和用逗号分隔的关联电子邮件地址，则该行的格式是有效的。  

   ```
   Account ID,Email
                                   555555555555,user@example.com
   ```

1. 添加所有账户的详细信息后，选择**下一步**。您可以在账户表中查看新添加的账户。这些账户的**状态**是**未发送邀请**。有关向一个或多个添加的账户发送邀请的信息，请参阅 [Step 2 - Invite an account](#guardduty_invite_member_proc)。

**步骤 2：邀请账户**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择**账户**。

1. 选择一个或多个您想要邀请加入 Amazon 的账户 GuardDuty。

1. 选择**操作**下拉菜单，然后选择**邀请**。

1. 在 GuardDuty “**邀请加**入” 对话框中，输入（可选）邀请消息。

   如果受邀账户无权访问电子邮件，请选中 “**同时向被邀请人的 root 用户发送电子邮件通知， AWS 账户 并在被邀请人的电子邮件中生成警报”** 复选框。 AWS Health Dashboard

1. 选择 **Send invitation** (发送邀请)。如果被邀请人有权访问指定的电子邮件地址，则可以通过打开 GuardDuty 控制台来查看邀请。[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. 受邀者接受邀请后，**状态**列中的值将变为**已邀请**。有关接受邀请的信息，请参阅 [Step 3 - Accept an invitation](#guardduty_accept_invite_proc)。

**步骤 3：接受邀请**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
**重要**  
必须 GuardDuty 先启用，然后才能查看或接受成员资格邀请。

1. 只有在 GuardDuty 尚未启用的情况下才执行以下操作；否则，可以跳过此步骤继续下一步。

   如果您尚未启用 GuardDuty，请在 Amazon GuardDuty 页面上选择 “**开始**”。

   在**欢迎使用 GuardDuty**页面上，选择**启用 GuardDuty**。

1.  GuardDuty 为您的账户启用后，请按照以下步骤接受成员资格邀请：

   1. 在导航窗格中，选择**设置**。

   1. 选择 ** 账户**。

   1. 在**账户**上，确保验证您接受邀请的账户的所有者。打开**接受**以接受成员资格邀请。

1. 接受邀请后，您的账户将成为 GuardDuty 成员账户。所有者发送邀请的账户成为 GuardDuty 管理员账户。管理员账户就会知道您已接受邀请。他们**账户**中的 GuardDuty账户表将会更新。与成员账户 ID 对应的**状态**列中的值将变为**已启用**。管理员账户所有者现在可以代表您的账户查看 GuardDuty 、管理和保护计划配置。管理员账户还可以查看和管理为您的成员账户生成的 GuardDuty 调查结果。

------
#### [ API/CLI ]

您可以指定 GuardDuty 管理员账户，也可以通过 API 操作通过邀请创建或添加 GuardDuty 成员账户。运行以下 GuardDuty API 操作以在中指定管理员帐户和成员帐户 GuardDuty。

使用要指定为 GuardDuty 管理员帐户 AWS 账户 的凭据完成以下过程。

**创建或添加成员账户**

1. 使用已 GuardDuty 启用的 AWS 账户的凭据运行 [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)API 操作。这是您想要成为管理员帐户帐户的 GuardDuty 帐户。

   您必须指定当前 AWS 账户的检测器 ID 以及想要成为 GuardDuty 成员的账户的账户 ID 和电子邮件地址。可以使用此 API 操作创建一个或多个成员。

   您也可以使用 AWS 命令行工具通过运行以下 CLI 命令来指定管理员帐户。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。

   要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   ```
   aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
   ```

1. 使用已 GuardDuty 启用的 AWS 账户的凭据运行[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html)。这是您想要成为管理员帐户帐户的 GuardDuty 帐户。

    您必须指定当前 AWS 账户的检测器 ID 和要成为 GuardDuty成员 IDs 的账户的账户。可以使用此 API 操作邀请一个或多个成员。
**注意**  
您也可以使用 `message` 请求参数指定可选的邀请消息。

   您还可以通过运行以下命令 AWS Command Line Interface 来指定成员帐户。 IDs 对于要邀请的帐户，请务必使用自己的有效探测器 ID 和有效的帐户。

   要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   ```
   aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
   ```

**接受邀请**

使用要指定为 GuardDuty 成员账户的每个 AWS 账户的凭据完成以下过程。

1. 为每个受邀成为 GuardDuty 成员 AWS 账户并希望接受邀请的账户运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html)API 操作。

   您必须指定是否要使用该 GuardDuty 服务启用探测器资源。必须创建并启用探测器 GuardDuty 才能投入运行。 GuardDuty 在接受邀请之前，必须先启用。

   您也可以使用 AWS 命令行工具使用以下 CLI 命令来执行此操作。

   ```
   aws guardduty create-detector --enable
   ```

1. 使用每个要接受成员资格邀请的 AWS 账号使用该账户的凭证运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html)API 操作。

   您必须为成员账户指定此 AWS 账户的探测器 ID、发送邀请的管理员账户的账户 ID 以及您正在接受的邀请的邀请 ID。您可以在邀请电子邮件中或使用 API 的 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html) 操作查找管理员账户的账户 ID。

   您也可以使用 AWS 命令行工具通过运行以下 CLI 命令来接受邀请。务必使用有效的检测器 ID、管理员账户 ID 和邀请 ID。

   要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   ```
   aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
   ```

------

# 将 GuardDuty 管理员帐户整合到一个组织下
<a name="consolidate-orgs"></a>

GuardDuty 建议使用关联 AWS Organizations 来管理委派 GuardDuty 管理员账户下的成员账户。您可以使用下面概述的示例流程，将组织中受邀关联的管理员帐户和成员整合到一个 GuardDuty 委派的 GuardDuty 管理员账户下。

**注意**  
GuardDuty 建议使用 AWS Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息，请参阅 [使用 AWS Organizations管理账户](guardduty_organizations.md)。

已由委派 GuardDuty 管理员账户管理的账户或与委派 GuardDuty 管理员账户关联的活跃成员账户无法添加到其他委托 GuardDuty 管理员账户。每个组织在每个区域只能有一个委托 GuardDuty 管理员账户，每个成员账户只能有一个委托 GuardDuty 管理员账户。

选择首选访问方法，将 GuardDuty 管理员帐户合并到单个委派 GuardDuty 管理员帐户下。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   若要登录，请使用组织的管理账户凭证。

1. 您要管理的所有账户都 GuardDuty 必须是您的组织的一部分。有关向组织添加账户的信息，请参阅[邀请 AWS 账户 加入您的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。

1. 确保所有成员账户都与您想要指定为单一委派 GuardDuty 管理员账户的账户相关联。取消关联仍与原有管理员账户关联的成员账户。

   以下步骤可帮助您取消成员账户与原有管理员账户的关联：

   1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   1. 若要登录，请使用原有管理员账户凭证。

   1. 在导航窗格中，选择**账户**。

   1. 在**账户**页面上，选择一个或多个要与管理员账户取消关联的账户。

   1. 选择**操作**，然后选择**取消关联账户**。

   1. 选择**确认**以完成该步骤。

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   若要登录，请使用管理账户凭证。

1. 在导航窗格中，选择**设置**。在 **“设置**” 页面上，为组织指定委派 GuardDuty 管理员帐户。

1. 登录指定的委派 GuardDuty 管理员账号。

1. 添加组织中的成员。有关更多信息，请参阅 [使用管理 GuardDuty 账户 AWS Organizations](guardduty_organizations.md)。

------
#### [ API/CLI ]

1. 您要管理的所有账户都 GuardDuty 必须是您的组织的一部分。有关向组织添加账户的信息，请参阅[邀请 AWS 账户 加入您的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。

1. 确保所有成员账户都与您想要指定为单一委派 GuardDuty 管理员账户的账户相关联。

   1. 运行[DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)以取消仍与先前存在的管理员帐户关联的所有成员帐户的关联。

   1. 或者，您可以使用 AWS Command Line Interface 运行以下命令并替换为要取消*777777777777*与成员帐户关联的先前存在的管理员帐户的检测器 ID。*666666666666*替换为您要取消关联的成员账户的 AWS 账户 ID。

      ```
      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666    
      ```

1. 运行[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)以委托 GuardDuty 管理员帐户的 AWS 账户 身份进行委托。

   或者，您可以使用 AWS Command Line Interface 运行以下命令来委托委派 GuardDuty 管理员帐户：

   ```
   aws guardduty enable-organization-admin-account --admin-account-id 777777777777
   ```

1. 添加组织中的成员。有关更多信息，请参阅 [Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api)。

------

**重要**  
为了最大限度地提高区域服务的效率，我们建议您指定您的委托 GuardDuty 管理员账户，并在每个地区添加所有成员账户。 GuardDuty