本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 變更委派管理員
<a name="change-delegated-admin"></a>



在 中變更委派管理員 AWS Audit Manager 是一個兩步驟的程序。首先，您需要移除目前的委派管理員帳戶。然後，您可以將新帳戶新增為委派管理員。

請依照此頁面上的步驟變更您的委派管理員。

**Contents**
+ [先決條件](#change-delegated-admin-prerequisites)
  + [在您移除目前帳戶之前](#before-you-remove)
  + [新增帳戶之前](#before-you-add)
+ [程序](#change-delegated-admin-procedure)
+ [後續步驟](#change-delegated-admin-next-steps)
+ [其他資源](#change-delegated-admin-additional-resources)

## 先決條件
<a name="change-delegated-admin-prerequisites"></a>

### 在您移除目前帳戶之前
<a name="before-you-remove"></a>

在移除目前的委派管理員帳戶之前，請記住下列考量事項：
+ **證據搜尋工具清除任務** - 如果目前委派管理員 （帳戶 A) 已啟用證據搜尋工具，您必須先執行清除任務，才能將帳戶 B 指派為新的委派管理員。

  在您使用您的管理帳戶移除帳戶 A 之前，請確定帳戶 A 登入 Audit Manager 並停用證據搜尋工具。停用證據搜尋工具會自動刪除啟用證據搜尋工具時帳戶中建立的事件資料存放區。

  如果此任務未完成，事件資料存放區會保留在帳戶 A 中。在此情況下，我們建議原始委派管理員使用 CloudTrail Lake 手動[刪除事件資料存放區](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-eds-disable-termination.html)。

  為了確保您最終不會產生多個事件資料存放區，有必要進行此清理任務。在您移除或變更委派的管理員帳戶後，Audit Manager 會忽略未使用的事件資料存放區。但是，如果您未刪除未使用的事件資料存放區，則事件資料存放區會繼續產生 CloudTrail Lake 儲存成本。
+ **資料刪除** - 當您移除 Audit Manager 的委派管理員帳戶時，不會刪除該帳戶的資料。如果您想要刪除委派管理員帳戶的資源資料，則必須先單獨執行該任務，然後才能移除帳戶。您可以在 Audit Manager 主控台中執行這項操作。或者，您可以使用 Audit Manager 提供的其中一項 API 刪除操作。如需可用刪除操作的清單，請參閱[刪除 Audit Manager 資料](https://docs.aws.amazon.com/audit-manager/latest/userguide/data-protection.html#data-deletion-and-retention)。

  目前，Audit Manager 不提供刪除特定委派管理員證據的選項。相反地，當您註銷 Audit Manager 管理帳戶時，我們會在註銷時對目前的委派管理員帳戶執行清除任務。

### 新增帳戶之前
<a name="before-you-add"></a>

在新增新的委派管理員帳戶之前，請記住下列考量事項：
+ 新帳戶必須是組織的一部分。
+ 指定新的委派管理員之前，您必須先[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。您也必須[設定組織的 Security Hub CSPM 設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-recommendations.html#securityhub-recommendations)。如此一來，Audit Manager 即可從您的成員帳戶收集 Security Hub CSPM 證據。
+ 委派的管理員帳戶必須具有您在設定 Audit Manager 員時提供的 KMS 金鑰的存取權。
+ 您無法在 Audit Manager 中將 AWS Organizations 管理帳戶用作委派管理員。

## 程序
<a name="change-delegated-admin-procedure"></a>

您可以使用 Audit Manager 主控台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager API 來變更委派的管理員。

**警告**  
當您變更委派管理員時，您可以繼續存取先前在舊有委派管理員帳戶下收集的證據。不過，Audit Manager 會停止收集證據，並停止將證據附加至舊有委派管理員帳戶。

------
#### [ Audit Manager console ]

**在 Audit Manager 主控台上變更目前的委派管理員**

1. (選用) 如果目前委派管理員 (帳戶 A) 已啟用證據搜尋工具，請執行下列清除任務：

   1. 將帳戶 B 指派為新的委派管理員之前，請確定帳戶 A 登入 Audit Manager 並停用證據搜尋工具。

     停用證據搜尋工具會自動刪除帳戶 A 啟用證據搜尋工具時建立的事件資料存放區。如果您未完成此步驟，則帳戶 A 必須前往 CloudTrail Lake 並手動[刪除事件資料存放區](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-eds-disable-termination.html)。否則，事件資料存放區會保留在帳戶 A 中，並繼續產生 CloudTrail Lake 儲存費用。

1. 從**一般**設定索引標籤，前往**委派管理員**區段並選擇**移除**。

1. 在出現的快顯視窗中，選擇**移除**以確認移除。

1. 在**委派管理員帳戶 ID**項下，輸入新委派管理員帳戶 ID。

1. 選擇**委派**。

------
#### [ AWS CLI ]

**在 中變更目前的委派管理員 AWS CLI**  
執行 [deregister-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/deregister-organization-admin-account.html) 命令，並使用 `--admin-account-id` 參數來指定目前委派管理員的帳戶 ID。

在下列範例中，將*預留位置文字*取代為您自己的資訊。

```
aws auditmanager deregister-organization-admin-account --admin-account-id 111122223333
```

執行 [register-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/register-organization-admin-account.html) 命令，並使用 `--admin-account-id` 參數來指定新委派管理員的帳戶 ID。

在下列範例中，將*預留位置文字*取代為您自己的資訊。

```
aws auditmanager register-organization-admin-account --admin-account-id 444455556666
```

------
#### [ Audit Manager API ]

**使用 API 變更目前的委派管理員**  
首先，呼叫 [DeregisterOrganizationAdminAccount](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeregisterOrganizationAdminAccount.html) 命令，並使用 [adminAccountId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeregisterOrganizationAdminAccount.html#auditmanager-DeregisterOrganizationAdminAccount-request-adminAccountId) 參數來指定目前委派管理員的帳戶 ID。

然後，呼叫 [RegisterOrganizationAdminAccount](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_RegisterOrganizationAdminAccount.html) 操作，並使用 [adminAccountId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_RegisterOrganizationAdminAccount.html#auditmanager-RegisterOrganizationAdminAccount-request-adminAccountId) 參數來指定新委派管理員的帳戶 ID。

如需詳細資訊，請選擇先前的連結以閱讀 *Audit Manager API 參考*中的更多資訊。這包括有關如何在其中一種語言特定的 AWS SDKs中使用此操作和參數的資訊。

------

## 後續步驟
<a name="change-delegated-admin-next-steps"></a>

若要移除您的委派管理員帳戶，請參閱 [移除委派管理員](remove-delegated-admin.md)。

## 其他資源
<a name="change-delegated-admin-additional-resources"></a>
+ [建立和管理組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)
+ [對委派管理員和 AWS Organizations 問題進行故障診斷](delegated-admin-issues.md)