本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用管理 GuardDuty 账户 AWS Organizations
<a name="guardduty_organizations"></a>

在 AWS 组织中，管理账户可以将该组织内的任何账户指定为委派 GuardDuty 管理员账户。对于此管理员帐户， GuardDuty 仅在当前帐户中自动启用 AWS 区域。默认情况下，管理员账户可以启用和管理 GuardDuty 该区域内组织中的所有成员账户。管理员帐户可以查看该 AWS 组织并向其添加成员。

以下各节将引导您完成作为委派 GuardDuty 管理员帐户可能执行的各种任务。

**Topics**
+ [与 GuardDuty 一起使用的注意事项和建议 AWS Organizations](#delegated_admin_important)
+ [指定委派 GuardDuty 管理员账号所需的权限](organizations_permissions.md)
+ [指定委派 GuardDuty 管理员账号](delegated-admin-designate.md)
+ [设置组织自动启用首选项](set-guardduty-auto-enable-preferences.md)
+ [向组织添加成员](add-member-accounts-guardduty-organization.md)
+ [（可选）为现有成员账户启用防护计划](guardduty_quick_protection_plan_config.md)
+ [持续管理您的会员账户 GuardDuty](maintaining-guardduty-organization-delegated-admin.md)
+ [暂停 GuardDuty 使用会员账号](suspending-guardduty-member-account-from-admin.md)
+ [将成员账户与管理员账户取消关联（移除）](disassociate-remove-member-account-from-admin.md)
+ [从 GuardDuty 组织中删除成员账户](delete-member-accounts-guardduty-organization.md)
+ [更改委派 GuardDuty 管理员账号](change-guardduty-delegated-admin.md)

## 与 GuardDuty 一起使用的注意事项和建议 AWS Organizations
<a name="delegated_admin_important"></a>

以下注意事项和建议可以帮助您了解委派 GuardDuty 管理员账户在中的运作方式 GuardDuty：

**一个委托 GuardDuty 管理员账号最多可以管理 50,000 个成员。**  
每个委托 GuardDuty 管理员账户最多有 50,000 个成员账户。这包括通过添加的成员账户 AWS Organizations 或接受 GuardDuty 管理员账户邀请加入其组织的成员账户。但是，您的 AWS 组织中可能有超过 50,000 个帐户。  
如果您超过了 50,000 个成员账户的限制，您将收到来自 CloudWatch Health Dashboard、的通知以及发送给指定委托 GuardDuty 管理员账户的电子邮件。

**委托 GuardDuty 管理员账户为区域账户。**  
与之不同 GuardDuty 的是 AWS Organizations，是区域服务。必须在您已 GuardDuty 启用的每个所需区域 AWS Organizations 中添加委托 GuardDuty 管理员帐户及其成员帐户。如果组织管理账户仅在美国东部（弗吉尼亚北部）指定委托 GuardDuty 管理员账户，则委派 GuardDuty 管理员账户将仅管理添加到该地区组织的成员账户。有关可用区域中功能对等性的 GuardDuty 更多信息，请参阅[区域和端点](guardduty_regions.md)。

**有关选择加入型区域的特殊场景**  
+ 当委托 GuardDuty 管理员账户选择退出选择加入区域时，即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (`NEW`) 或所有成员账户 (`ALL`)，也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息，请在[GuardDuty 控制台](https://console.aws.amazon.com/guardduty/)导航窗格中打开**账户**或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API。
+ 使用设置为的 GuardDuty 自动启用配置时`NEW`，请确保满足以下顺序：

  1. 成员账户选择加入某个选择加入型区域。

  1. 在 AWS Organizations中将成员账户添加到组织。

  如果您更改这些步骤的顺序，则 GuardDuty 自动启用设置在特定的选择加入区域`NEW`**将不**起作用，因为该组织已不再是成员账户的新用户。 GuardDuty 提供了两种备选解决方案：
  + 将 GuardDuty 自动启用配置设置为`ALL`，包括新的和现有的成员帐户。使用此设置时，这些步骤的顺序将无关紧要。
  + 如果成员账户已经是您组织的一部分，请使用 GuardDuty 控制台或 API 在特定的选择加入区域中单独管理该账户的 GuardDuty 配置。

** AWS 组织必须拥有相同的委托 GuardDuty 管理员帐户 AWS 区域。**  
您必须将一个成员帐户指定为所有启用 AWS 区域 位置 GuardDuty 的委托 GuardDuty 管理员帐户。例如，如果您在中指定了成员帐户*Europe (Ireland)*，则无法*111122223333*在*555555555555*中指定其他成员帐户*Canada (Central)*。在所有其他区域，您必须使用与委托 GuardDuty 管理员账户相同的账户。  
您可以随时指定新的委派 GuardDuty 管理员帐户。有关删除现有委派 GuardDuty 管理员账户的更多信息，请参阅[更改委派 GuardDuty 管理员账号](change-guardduty-delegated-admin.md)。

**不建议将贵组织的管理账号设置为委派 GuardDuty 管理员账号。**  
您组织的管理账号可以是委派的 GuardDuty 管理员账号。但是， AWS 安全最佳实践遵循最低权限原则，不建议使用此配置。

**更改委派 GuardDuty 管理员账户不会 GuardDuty 对成员账户禁用。**  
如果您移除委派 GuardDuty 管理员账号，则 GuardDuty 会移除与该委派 GuardDuty 管理员账号关联的所有成员账号。 GuardDuty 所有这些成员帐户仍保持启用状态。

# 指定委派 GuardDuty 管理员账号所需的权限
<a name="organizations_permissions"></a>

要开始 GuardDuty 使用 Amazon AWS Organizations，该组织的 AWS Organizations 管理账户会将一个账户指定为委托 GuardDuty 管理员账户。这可以 GuardDuty 作为可信的服务在中启用 AWS Organizations。它还 GuardDuty 支持委派 GuardDuty 管理员账户，还允许委派管理员账户启用和管理 GuardDuty 当前区域组织中的其他账户。有关如何授予这些权限的信息，请参阅[与其他 AWS 服务 AWS Organizations 一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。

作为 AWS Organizations 管理账户，在为组织指定委派 GuardDuty 管理员账户之前，请确认您可以执行以下 GuardDuty 操作：`guardduty:EnableOrganizationAdminAccount`。此操作允许您使用为您的组织指定委派 GuardDuty 管理员帐户 GuardDuty。您还必须确保允许您执行有助于检索组织信息的 AWS Organizations 操作。

要授予这些权限，请在账户的 AWS Identity and Access Management (IAM) 策略中加入以下声明：

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

如果您想将自己的 AWS Organizations 管理账户指定为委派 GuardDuty 管理员账户，则您的账户还需要执行 IAM 操作：`CreateServiceLinkedRole`。此操作允许您为管理账户 GuardDuty 进行初始化。但请首先检查[与 GuardDuty 一起使用的注意事项和建议 AWS Organizations](guardduty_organizations.md#delegated_admin_important)，然后再继续添加权限。

要继续将管理账户指定为委派 GuardDuty 管理员账户，请将以下语句添加到 IAM 策略中，并*111122223333*替换为组织管理账户的 AWS 账户 ID：

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# 指定委派 GuardDuty 管理员账号
<a name="delegated-admin-designate"></a>

本节介绍了在 GuardDuty组织中指定委托管理员的步骤。

作为 AWS 组织的管理账户，请务必通读委派 GuardDuty 管理员账户的运作方式。[注意事项和建议](guardduty_organizations.md#delegated_admin_important)在继续操作之前，请确保您拥有[指定委派 GuardDuty 管理员账号所需的权限](organizations_permissions.md)。

选择首选访问方法，为您的组织指定委派 GuardDuty 管理员帐户。只有管理账户才能执行此步骤。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   若要登录，请使用 AWS Organizations 组织的管理账户凭证。

1. 使用页面右上角的 AWS 区域 选择器，选择要为组织指定委派 GuardDuty 管理员帐户的区域。

1. 根据您的管理账户在当前区域 GuardDuty 是否已启用，执行以下任一操作：
   + 如果 GuardDuty 未启用，请选择 **Amazon GuardDuty -所有功能**，然后选择**入门**。此操作将带您进入 “**欢迎来到 GuardDuty**” 页面。
   + 如果已启 GuardDuty 用，请在导航窗格中选择 “**设置**”。

1. 在 “**委托管理员**” 下，输入要指定为组织委派 GuardDuty 管理员帐户的账户的 12 位 AWS 账户 ID。

   请务必 GuardDuty 为您新指定的委派 GuardDuty 管理员账户启用，否则它将无法执行任何操作。

1. 选择 **Delegate（委派）**。

1. （推荐）重复上述步骤，在每个已 GuardDuty 启用的 AWS 区域 位置指定委派 GuardDuty 管理员帐户。

------
#### [ API/CLI ]

1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)使用组织管理账户 AWS 账户 的凭据运行。
   + 或者，您可以使用 AWS Command Line Interface 来执行此操作。以下 AWS CLI 命令仅为您当前的区域指定委派 GuardDuty 管理员帐户。运行以下 AWS CLI 命令，并确保将其*111111111111*替换为要指定为委派 GuardDuty 管理员帐户的帐户的 AWS 账户 ID：

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     要为其他区域指定委派 GuardDuty 管理员帐户，请在 AWS CLI 命令中指定区域。以下示例演示如何在美国西部（俄勒冈）启用委托 GuardDuty 管理员账户。请务必*us-west-2*替换为要为其分配委派 GuardDuty 管理员帐户的区域。

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     有关可用 AWS 区域 位置 GuardDuty 的信息，请参阅[区域和端点](guardduty_regions.md)。

    GuardDuty 如果您的委托 GuardDuty 管理员账户被禁用，它将无法执行任何操作。如果尚未启用，请确保 GuardDuty 为新指定的委派 GuardDuty 管理员帐户启用。

1. （推荐）重复上述步骤，在已 GuardDuty 启用的每个 AWS 区域 位置指定委派 GuardDuty 管理员帐户。

------

# 设置组织自动启用首选项
<a name="set-guardduty-auto-enable-preferences"></a>

中的自动启用组织功能 GuardDuty 可帮助您一步为组织中的`ALL`现有帐户或`NEW`成员帐户设置相同的 GuardDuty 保护计划状态。同样，您也可以通过选择 `NONE` 来指定何时不想对成员账户执行任何操作。以下步骤解释了这些设置，此外还说明了何时需要使用特定的设置。

**注意**  
您可以为除 [S3 恶意软件防护](gdu-malware-protection-s3.md) 外的所有防护计划设置自动启用首选项。

选择一种您偏好的访问方法，更新组织的自动启用首选项。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   要登录，请使用 GuardDuty 管理员帐户凭据。

1. 在导航窗格中，选择**账户**。

   “**帐户**” 页面为 GuardDuty 管理员帐户提供要**自动启用的**配置选项， GuardDuty 以及代表属于该组织的成员帐户的可选保护计划。

1. 要更新现有的自动启用设置，请选择**编辑**。  
![\[选择编辑，代表组织中的成员账户更新自动启用的首选项。\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   此支持可用于配置 GuardDuty 以及您的所有受支持的可选保护计划 AWS 区域。您可以代表您的成员账户选择以下配置选项之一： GuardDuty 
   + **为所有账户启用 (`ALL`)**：选择此选项将为组织中的所有账户启用相应的选项。这包括加入组织的新账户，以及可能已被暂停或从组织中删除的账户。这还包括委派 GuardDuty 管理员帐户。
**注意**  
更新所有成员账户的配置可能最长需要 24 小时。
   + **为新帐户自动启用 (`NEW`)**-选择仅在新成员帐户加入您的组织时自动启用 GuardDuty 或可选的保护计划。
   + **不启用 (`NONE`)**：选择此选项将阻止为组织中的新账户启用相应的选项。在这种情况下， GuardDuty 管理员帐户将单独管理每个帐户。

     当您将自动启用设置从 `ALL` 或 `NEW` 更新为 `NONE` 时，此操作不会禁用现有账户的相应选项。此配置将应用到加入组织的新账户。更新自动启用设置后，任何新账户都不会启用相应的选项。
**注意**  
当委托 GuardDuty 管理员账户选择退出选择加入区域时，即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (`NEW`) 或所有成员账户 (`ALL`)，也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息，请在[GuardDuty 控制台](https://console.aws.amazon.com/guardduty/)导航窗格中打开**账户**或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API。

1. 选择**保存更改**。

1. （可选）如果要在每个区域使用相同的首选项，请分别更新每个受支持区域的首选项。

   某些可选的保护计划可能并非在所有可用 AWS 区域 的地方都可 GuardDuty 用。有关更多信息，请参阅 [区域和端点](guardduty_regions.md)。

------
#### [ API/CLI ]

1. 使用[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)委派 GuardDuty 管理员账户的凭据运行，在该区域为您的组织自动配置保护计划 GuardDuty 和可选保护计划。有关各种自动启用配置的信息，请参阅[autoEnableOrganization成员](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。

   要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   要为您所在区域中任何受支持的可选保护计划设置自动启用首选项，请按照每个保护计划的相应文档部分中提供的步骤进行操作。

1. 您可以验证当前区域中组织的首选项。运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)。请务必指定委派 GuardDuty 管理员账户的检测器 ID。
**注意**  
更新所有成员账户的配置可能最长需要 24 小时。

1. 或者，运行以下 AWS CLI 命令将首选项设置为 GuardDuty 在该区域自动启用或禁用加入组织的新帐户 (`NEW`)、组织中的所有帐户 (`ALL`) 或不包含任何帐户 (`NONE`)。有关更多信息，请参阅[autoEnableOrganization成员](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。根据您的首选项，可能需要将 `NEW` 替换为 `ALL` 或 `NONE`。如果您使用配置保护计划`ALL`，则还会为委派的 GuardDuty 管理员帐户启用保护计划。请务必指定管理组织配置的委派 GuardDuty 管理员帐户的检测器 ID。

   要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. 您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员帐户的检测器 ID 运行以下 AWS CLI 命令。

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

（推荐）使用委派 GuardDuty 管理员账户检测器 ID 在每个区域重复前面的步骤。

**注意**  
当委托 GuardDuty 管理员账户选择退出选择加入区域时，即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (`NEW`) 或所有成员账户 (`ALL`)，也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息，请在[GuardDuty 控制台](https://console.aws.amazon.com/guardduty/)导航窗格中打开**账户**或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API。

------

# 向组织添加成员
<a name="add-member-accounts-guardduty-organization"></a>

作为委托 GuardDuty 管理员帐户，您可以向 GuardDuty 组织中添加一个或多个 AWS 账户 帐户。当您将账户添加为 GuardDuty 成员时，该账户将在该地区自动 GuardDuty 启用。组织管理账户有一个例外。在将管理账户账户添加为 GuardDuty 成员之前，必须将其 GuardDuty启用。

选择向您的 GuardDuty 组织添加成员帐户的首选方法。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   要登录，请使用委派 GuardDuty 管理员账户证书。

1. 在导航窗格中，选择**账户**。

   账户表显示所有处于活动状态（未暂停状态 AWS 账户）且可能与委派 GuardDuty 管理员账户关联的成员账户。如果成员账户已与组织的管理员账户关联，则**类型**将为以下之一：**通过 Organizations** 或**通过邀请**。如果成员账户未与组织的 GuardDuty 管理员账户关联，则该成员账户的**类型**为 “**非成员**”。

1. 选择一个或多个 IDs 要添加为成员的帐户。这些账户的**类型 IDs 必须为 Via Org** **anization** s。

   通过邀请添加的账户不属于您的组织。您可以单独管理此类账户。有关更多信息，请参阅 [通过邀请管理账户](guardduty_invitations.md)。

1. 选择**操作**下拉菜单，然后选择**添加成员**。将此账户添加为成员后，将应用自动启用 GuardDuty 配置。根据中的设置[设置组织自动启用首选项](set-guardduty-auto-enable-preferences.md)，这些帐户的 GuardDuty 配置可能会发生变化。

1. 您可以选择 “**状态**” 列的向下箭头，按非**成员状态对账户进行排序，然后选择当前区域中未** GuardDuty 启用的每个账户。

   如果尚未将账户表中列出的账户添加为成员，则可以在当前区域 GuardDuty 中为所有组织账户启用。在页面顶部的横幅中选择**启用**。此操作会自动**开启自动启用** GuardDuty 配置， GuardDuty 以便为任何加入组织的新账户启用该配置。

1. 选择**确认**，添加账户作为成员。此操作还 GuardDuty 适用于所有选定的帐户。账户的**状态**将变为**已启用**。

1. （推荐）在每个步骤中重复这些步骤 AWS 区域。这样可以确保委派 GuardDuty 管理员账户可以在您 GuardDuty 启用的所有区域中管理成员账户的发现结果和其他配置。

   自动启用功能 GuardDuty 适用于组织中的所有 future 成员。这样，您的委托 GuardDuty 管理员帐户就可以管理在组织内创建或添加到组织中的任何新成员。当成员账户的数量达到 5 万的上限时，自动启用功能会自动关闭。如果移除了某个账户，并且成员总数减少到 5 万以下，自动启用功能将重新开启。

------
#### [ API/CLI ]
+ 使用[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)委派 GuardDuty 管理员账户的凭据运行。

  您必须指定委派 GuardDuty 管理员账户的区域探测器 ID 以及要添加为 GuardDuty 成员的账户的账户详细信息（AWS 账户 IDs 和相应的电子邮件地址）。可以使用此 API 操作创建一个或多个成员。

  当您在组织中运行 CreateMembers 时，新成员的自动启用首选项将在新成员账户加入组织时应用。当您使用某个现有成员账户运行 CreateMembers 时，组织配置也将应用到现有的成员。这可能会更改现有成员账户的当前配置。

  [https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)在 *AWS Organizations API 参考*中运行，查看 AWS 组织中的所有账户。
  + 或者，你可以使用 AWS Command Line Interface。运行以下 AWS CLI 命令，并确保使用您自己的有效检测器 ID、 AWS 账户 ID 以及与账户 ID 关联的电子邮件地址。

    要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    您可以通过运行以下 AWS CLI 命令来查看所有组织成员的列表：

    ```
    aws organizations list-accounts
    ```

  将此账户添加为成员后，将应用自动启用 GuardDuty配置。

------

# （可选）为现有成员账户启用防护计划
<a name="guardduty_quick_protection_plan_config"></a>

以下步骤包括使用**账户**页面为现有成员账户启用防护计划的步骤。有关使用 API 或执行此操作的步骤 AWS CLI，请参阅与特定保护计划相关的文档。

您可以通过**账户**页面为单个账户启用防护计划。

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使用委派 GuardDuty 管理员账户证书。

1. 在导航窗格中，选择**账户**。

1. 选择要为其配置保护计划的一个或多个账户。对要配置的每个保护计划重复以下步骤：

   1. 选择**编辑保护计划**。

   1. 从保护计划列表中，选择您要配置的一个保护计划。

   1. 选择要为此保护计划执行的操作之一，然后选择**确认**。

   1. 对于选定账户，与配置的保护计划对应的列将显示更新的配置为**已启用**或**未启用**。

# 持续管理您的会员账户 GuardDuty
<a name="maintaining-guardduty-organization-delegated-admin"></a>

作为委托 GuardDuty 管理员帐户，您负责维护组织中每个受支持的帐户的配置 GuardDuty 及其可选保护计划 AWS 区域。以下各节提供了有关维护其任何可选保护计划的配置状态 GuardDuty 或其任何可选保护计划的选项：

**维护整个组织在每个区域的配置状态**
+ **使用 GuardDuty 控制台为整个组织设置 GuardDuty自动启用首选项** — 您可以为组织中的所有 (`ALL`) 成员或加入该组织的新 (`NEW`) 成员自动启用，也可以选择不 (`NONE`) 为组织中的任何成员自动启用首选项。

  您也可以为其中的任何保护计划配置相同或不同的设置 GuardDuty。

  更新组织中所有成员账户的配置可能最长需要 24 小时。
+ **使用 API 更新自动启用的首选项** — 运行[UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)以自动配置组织 GuardDuty及其可选保护计划。当你在组织中[CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)添加新的成员账户时，配置的设置将自动应用。当您使用某个现有成员账户运行 CreateMembers 时，组织配置也将应用到现有的成员。这可能会更改现有成员账户的当前配置。

  要查看组织中的所有账户，请[ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)在 *AWS Organizations API 参考*中运行。

**在每个区域中单独维护成员账户的配置状态**
+ 要查看组织中的所有账户，请[ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)在 *AWS Organizations API 参考*中运行。
+ 如果您希望选定的成员帐户具有不同的配置状态，请分别[UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)为每个成员帐户运行。

  您可以通过导航到 GuardDuty 控制台中的 “**帐户**” 页面，使用 GuardDuty 控制台来执行相同的任务。

  有关使用控制台或 API 为单个账户启用防护计划的信息，请参阅相应防护计划的配置页面。

# 暂停 GuardDuty 使用会员账号
<a name="suspending-guardduty-member-account-from-admin"></a>

作为委托 GuardDuty 管理员账户，您可以暂停组织中成员账户的 GuardDuty 服务。如果您这样做，则成员帐户仍保留在您的 GuardDuty组织中。您也可以在 GuardDuty 以后重新启用这些成员帐户。但是，如果您最终想将该成员账户取消关联（移除），则在按照本节中的步骤操作**后**，必须按照[将成员账户与管理员账户取消关联（移除）](disassociate-remove-member-account-from-admin.md)中的步骤操作。

当你暂 GuardDuty 停会员账户时，你可以预期会有以下变化：
+ GuardDuty 不再监视 AWS 环境的安全性，也不再生成新的调查结果。
+ 该成员账户中的现有调查发现将保持不变。
+ 被 GuardDuty 暂停的会员帐户不会产生任何费用. GuardDuty 

  如果成员账户已为其账户中的一个或多个存储桶启用了 S3 恶意软件防护，则暂停 GuardDuty 不会影响 S3 恶意软件防护的配置。该成员账户将继续产生 S3 恶意软件防护的使用成本。要使成员账户停止使用 S3 恶意软件防护，必须为受保护的存储桶禁用此功能。有关更多信息，请参阅 [为受保护的存储桶禁用 S3 恶意软件防护](disable-malware-s3-protected-bucket.md)。

选择一种首选的方法来暂停 GuardDuty 组织中的成员帐户。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   要登录，请使用委派 GuardDuty 管理员账户的证书。

1. 在导航窗格中，选择**账户**。

1. 在 “帐户” 页面中，选择要暂停的一个或多个帐户 GuardDuty。

1. 选择 “**操作**” 下拉菜单，然后选择 “**暂停**” GuardDuty。

1. 选择 “**暂停**” GuardDuty 以确认选择。

   这会使该成员账户的**状态**变为**已禁用（已暂停）**。

   在要将该成员账户取消关联或移除的每个其他区域中重复上述步骤。

------
#### [ API ]

1. 要检索您要暂停的成员账户账号 ID GuardDuty，请使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API。在您的请求中包含 `OnlyAssociated` 参数。如果将此参数的值设置为`true`，则 GuardDuty 返回一个`members`数组，该数组仅提供有关当前为 GuardDuty 成员的账户的详细信息。

   或者，也可以使用 AWS Command Line Interface (AWS CLI) 运行以下命令：

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   *us-east-1*替换为您要暂停该账户 GuardDuty 的区域。

1. 要暂停一个或多个 GuardDuty 成员账户，[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html)请运行 GuardDuty 暂停一个成员账户。

   或者 AWS CLI ，您可以使用运行以下命令：

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *us-east-1*替换为您要暂停此账户的区域。如果您有要删除的帐户列表 IDs，请用空格字符分隔它们。

------

如果您还想将该成员账户取消关联（移除），请按照[将成员账户与管理员账户取消关联（移除）](disassociate-remove-member-account-from-admin.md)中的步骤操作。

# 将成员账户与管理员账户取消关联（移除）
<a name="disassociate-remove-member-account-from-admin"></a>

如果您想停止配置 GuardDuty 设置和访问成员帐户中的数据，请将该帐户作为 GuardDuty 成员帐户删除。您可以通过取消该帐户与 GuardDuty 管理员帐户的关联（删除）来实现。

当您取消关联 GuardDuty 成员账户时，会发生以下情况：
+ GuardDuty 当前账户仍处于启用状态 AWS 区域，但该账户将取消与委派 GuardDuty 管理员账户的关联。
+ 取消关联后的成员账户会继续显示在账户清单中。
+  GuardDuty 管理员账户无法再访问此独立账户的调查结果。
+ 账户所有者不会收到取消关联的通知。

您可以稍后再将该取消关联的账户添加到您的组织中。

选择一种您偏好的方法，将组织中的成员账户取消关联（移除）。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   要登录，请使用委派 GuardDuty 管理员账户的证书。

1. 在导航窗格中，选择**账户**。

1. 在**账户**表中，您可以移除**类型**为**通过 Organizations** 且**状态**为**已启用**的账户。

   选择一个或多个为同样**类型**和**状态**的账户。

1. 从**操作**下拉菜单中选择**将账户取消关联**。

1. 选择**将账户取消关联**以确认您的选择。

1. 所选账户的**状态**值将变为**非成员**。“账户”页面右上角的**通过 Organizations（活动/全部）**计数将发生变化，以反映更新。

   在要将该成员账户取消关联的每个其他区域中重复上述步骤。

------
#### [ API ]

1. 要检索您想移除的成员账户的账户 ID，请使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。在您的请求中包含 `OnlyAssociated` 参数。如果将此参数的值设置为`true`，则 GuardDuty 返回一个`members`数组，该数组仅提供有关当前为 GuardDuty 成员的账户的详细信息。

   或者，也可以使用 AWS Command Line Interface (AWS CLI) 运行以下命令：

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   *us-east-1*用您要移除此账户的地区替换。

1. 要删除一个或多个 GuardDuty 成员帐户，[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)请运行删除与管理员帐户关联的成员帐户。

   或者 AWS CLI ，您可以使用运行以下命令：

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *us-east-1*用您要移除此账户的地区替换。如果您有要删除的帐户列表 IDs，请用空格字符分隔它们。

------

# 从 GuardDuty 组织中删除成员账户
<a name="delete-member-accounts-guardduty-organization"></a>

作为委托 GuardDuty 管理员账户，在解除成员账户的关联并且不再想在组织中保留该成员账户后，您可以从 GuardDuty 组织中删除该成员账户。 GuardDuty 该成员账户将不再会出现在您的账户清单中。但是，如果 GuardDuty 未在此成员帐户中暂停，则专用保护计划的配置 GuardDuty 和专用保护计划将保持不变。此账户现在将成为独立账户，可以 GuardDuty自行[禁用](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html)。

此步骤不会从您的 AWS 组织中删除成员帐户。

选择从 GuardDuty组织中删除成员帐户的首选方法。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   要登录，请使用委派 GuardDuty 管理员账户的证书。

1. 在导航窗格中，选择**账户**。

1. 在**账户**表中，您可以删除**类型**为**通过 Organizations** 且**状态**为**已移除（取消关联）**的账户。

   选择一个或多个为同样**类型**和**状态**的账户。

1. 在**操作**下拉菜单中，选择**删除账户**。

1. 选择**删除账户**以确认您的选择。选定的成员账户将不再显示在您的账户表中。

   在要删除该成员账户的每个其他区域中重复上述步骤。

------
#### [ API/CLI ]

1. 要检索您想删除的成员账户的账户 ID，请使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。在您的请求中包含 `OnlyAssociated` 参数。如果将此参数的值设置为`false`，则 GuardDuty 返回一个`members`数组，该数组仅提供有关当前已取消关联 GuardDuty成员的帐户的详细信息。

   或者，也可以使用 AWS Command Line Interface (AWS CLI) 运行以下命令：

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*替换为委派 GuardDuty 管理员账户检测器 ID 和*us-east-1*要移除此账户的区域。

1. 要删除一个或多个 GuardDuty 成员帐户，[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)请运行从 GuardDuty 组织中删除该成员帐户。

   或者 AWS CLI ，您可以使用运行以下命令：

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*替换为委派 GuardDuty 管理员账户检测器 ID 和*us-east-1*要移除此账户的区域。如果您有要删除的帐户列表 IDs，请用空格字符分隔它们。

------

# 更改委派 GuardDuty 管理员账号
<a name="change-guardduty-delegated-admin"></a>

您可以删除每个区域中贵组织的委托 GuardDuty 管理员帐户，然后在每个区域委派新的管理员。要保持组织在某个区域的成员账户的安全状态，您必须在该区域拥有委托 GuardDuty 管理员账户。

**备注**  
在移除委派 GuardDuty 管理员账号之前，必须先解除与委派 GuardDuty 管理员账号关联的所有成员账号，然后将其从 GuardDuty 组织中删除。有关这些步骤的更多信息，请参阅以下文档：  
[将成员账户与管理员账户取消关联（移除）](disassociate-remove-member-account-from-admin.md)
[从 GuardDuty 组织中删除成员账户](delete-member-accounts-guardduty-organization.md)

## 移除现有的委派 GuardDuty 管理员账号
<a name="remove-existing-guardduty-delegated-admin"></a>

**第 1 步-删除每个区域中现有的委托 GuardDuty 管理员账户**

1. 作为现有的委托 GuardDuty 管理员账户，列出与您的管理员账户关联的所有成员账户。使用 `OnlyAssociated=false` 参数运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)。

1. 如果将 GuardDuty 或任何可选保护计划的自动启用首选项设置为`ALL`，则运行[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)以将组织配置更新为`NEW`或`NONE`。此操作将防止您在下一步中将所有成员账户取消关联时出错。

1. 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) 以将与管理员账户关联的所有成员账户取消关联。

1. 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) 以删除管理员账户和成员账户之间的关联。

1. 以组织管理帐户的身份运行[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)以删除现有的委派 GuardDuty 管理员帐户。

1. 在您拥有此委派 GuardDuty 管理员帐户的每个 AWS 区域 位置重复这些步骤。

**第 2 步-在 AWS Organizations （一次性全局操作）中注销现有委派 GuardDuty 管理员账户**
+ [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)在 *AWS Organizations API 参考*中运行，注销中现有的委派 GuardDuty 管理员账户。 AWS Organizations

  或者，你可以运行以下 AWS CLI 命令：

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  请务必*111122223333*替换为现有的委派 GuardDuty 管理员账号。

  注销旧的委托 GuardDuty 管理员账号后，可以将其作为成员账号添加到新的委托 GuardDuty 管理员账号中。

## 在每个区域指定一个新的委托 GuardDuty 管理员账户
<a name="designate-new-guardduty-delegated-admin"></a>

1. 使用您的首选访问方式（ GuardDuty 控制台、API 或）在每个区域指定一个新的委托 GuardDuty 管理员账户 AWS CLI。有关更多信息，请参阅 [指定委派 GuardDuty 管理员账号](delegated-admin-designate.md)。

1. 运行[DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)以查看您的组织当前的自动启用配置。
**重要**  
在向新的委派 GuardDuty 管理员账户添加任何成员之前，必须验证组织的自动启用配置。此配置特定于新的委派 GuardDuty 管理员账户和所选区域，与无关 AWS Organizations。当您在新的委派 GuardDuty 管理员账户下添加（新的或现有的）组织成员账户时，新的委派 GuardDuty 管理员账户的自动启用配置将在启用 GuardDuty 或其任何可选保护计划时适用。

   使用您的首选访问方法（ GuardDuty 控制台、API 或）更改新委派 GuardDuty 管理员账户的组织配置 AWS CLI。有关更多信息，请参阅 [设置组织自动启用首选项](set-guardduty-auto-enable-preferences.md)。