本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 指定組織的 Detective 管理員
在組織行為圖表中,Detective 管理員帳戶會管理所有組織帳戶的行為圖表成員資格。
Detective 管理員帳戶的管理方式 – 組織管理帳戶會為每個組織指定 Detective 管理員帳戶 AWS 區域。
將 Detective 管理員帳戶設定為委派管理員帳戶 – Detective 管理員帳戶也會成為其中 Detective 的委派管理員帳戶 AWS Organizations。如果組織管理帳戶將自己指定為 Detective 管理員帳戶,則存在例外情況。組織管理帳戶無法成爲組織中委派的管理員。
在組織中設定委派的管理員帳戶之後,組織管理帳戶只能選擇委派的管理員帳戶或他們自己的帳戶作為 Detective 管理員帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
建立和管理組織行為圖表 – 當組織管理帳戶選擇 Detective 管理員帳戶時,Detective 會為該帳戶建立新的行為圖表。該行為圖表是組織行為圖表。
如果 Detective 管理員帳戶是現有行為圖表的管理員帳戶,則該行為圖表會成爲組織行為圖表。
Detective 管理員帳戶會在組織行為圖表中選擇要啟用的組織帳戶做為成員帳戶。
![\[此圖顯示組織管理帳戶如何為組織選擇 Detective 管理員帳戶。Detective 管理員帳戶是組織行為圖表的管理員帳戶,以及組織中委派的管理員帳戶。Detective 管理員帳戶可以存取所有組織帳戶。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/diagram_account_delegation.png)
Detective 管理員帳戶也可以傳送邀請至不屬於組織的帳戶。如需詳細資訊,請參閱[以 Detective 成員帳戶管理組織帳戶](accounts-orgs-members.md)及[在 Detective 中管理受邀成員帳戶](accounts-invited-members.md)。
設定 Detective 管理員帳戶所需的許可 – 為確保組織管理帳戶能夠設定 Detective 管理員帳戶,您可以將 [`AmazonDetectiveOrganizationsAccess`受管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy)連接到您的 AWS Identity and Access Management (IAM) 實體。
# 指定 Detective 管理員
組織管理帳戶可以使用 Detective 主控台來指定 Detective 管理員帳戶。
您無需啟用 Detective 即可管理 Detective 管理員帳戶。您可以從**啟用 Detective** 頁面管理 Detective管理員帳戶。
------
#### [ Enable Detective page (Console) ]
若要從**啟用 Detective 頁面指定 Detective** 管理員,請遵循下列步驟。
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 選擇**開始使用**。
1. 在**管理員帳戶所需的許可**面板中,為您選擇的帳戶授予必要的許可,以便他們能夠以 Detective 管理員的身分操作,並具有對 Detective 中所有動作的完整存取許可。若要以管理員身分操作,建議將 `AmazonDetectiveFullAccess` 政策附加至主體。
1. 選擇**從 IAM 附加政策**,直接在 IAM 主控台中檢視建議的政策。
1. 根據您是否在 IAM 主控台中擁有許可,執行以下步驟:
+ 如果您有在 IAM 主控台中操作的許可,請將建議的政策附加到您用於 Detective 的主體。
+ 如果您沒有在 IAM 主控台中操作的許可,請複製政策的 Amazon Resource Name (ARN),並將其提供給 IAM 管理員。然後,他們可以代表您附加政策。
1. 在**委派管理員**下,選擇 Detective 管理員帳戶。
可用的選項取決於您是否擁有組織中 Detective 的委派管理員帳戶。
+ 如果您沒有組織中 Detective 的委派管理員帳戶,請輸入帳戶的帳戶識別符,將其指定為 Detective 管理員帳戶。
在手動邀請程序中,您可能已有現有管理員帳戶和行為圖表。如果的確如此,我們建議您將該帳戶指定為 Detective 管理員帳戶。
如果您在 Organizations for Amazon GuardDuty AWS Security Hub CSPM或 Amazon Macie 中有委派管理員帳戶,則 Detective 會提示您選取其中一個帳戶。您也可以輸入不同的帳戶。
+ 如果您確實擁有組織中 Detective的委派管理員帳戶,系統會提示您選擇該帳戶或您的帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
1. 選擇**委派**。
如果您已啟用 Detective,或者是現有行為圖表中的成員帳戶,則您可以從**一般**頁面指定 Detective 管理員帳戶。
------
#### [ General page (Console) ]
若要從**一般**頁面指定 Detective 管理員,請遵循下列步驟。
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,於**設定**下選擇**通用**。
1. 在**受管政策**面板中,您可進一步了解 Detective 支援的所有受管政策。您可以根據您希望使用者在 Detective 中執行的動作,向帳戶授予必要的許可。若要以管理員身分操作,建議將 `AmazonDetectiveFullAccess` 政策附加至主體。
1. 根據您是否在 IAM 主控台中擁有許可,執行以下步驟:
+ 如果您有在 IAM 主控台中操作的許可,請將建議的政策附加到您用於 Detective 的主體。
+ 如果您沒有在 IAM 主控台中操作的許可,請複製政策的 Amazon Resource Name (ARN),並將其提供給 IAM 管理員。然後,他們可以代表您附加政策。
可用的選項取決於您是否擁有組織中 Detective 的委派管理員帳戶。
+ 如果您沒有組織中 Detective 的委派管理員帳戶,請輸入帳戶的帳戶識別符,將其指定為 Detective 管理員帳戶。
在手動邀請程序中,您可能已有現有管理員帳戶和行為圖表。如果的確如此,則我們建議您將該帳戶指定為 Detective 管理員帳戶。
如果您在 Organizations for Amazon GuardDuty AWS Security Hub CSPM或 Amazon Macie 中有委派管理員帳戶,則 Detective 會提示您選取其中一個帳戶。您也可以輸入不同的帳戶。
+ 如果您確實擁有組織中 Detective的委派管理員帳戶,系統會提示您選擇該帳戶或您的帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
1. 選擇**委派**。
------
#### [ Detective API, AWS CLI ]
若要指定 Detective 管理員帳戶,您可以使用 API 呼叫或 AWS Command Line Interface。您必須使用組織的管理帳戶憑證。
如果您已經擁有組織中 Detective 的委派管理員帳戶,則您必須選擇該帳戶或您的帳戶,我們建議您選擇委派的管理員帳戶。
**指定 Detective 管理員帳戶 (Detective API AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html) 操作。您必須提供 Detective 管理員 AWS 帳戶的帳戶識別符。若要取得帳戶識別符,使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html) 操作。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html) 命令。
```
aws detective enable-organization-admin-account --account-id
```
**範例**
```
aws detective enable-organization-admin-account --account-id 777788889999
```
------
# 移除 Detective 管理員帳戶
組織管理帳戶可以移除區域中目前的 Detective 管理員帳戶。當您移除 Detective 管理員帳戶時,Detective 只會將其從目前的區域中移除。它不會變更組織中的委派管理員帳戶。
當組織管理帳戶移除區域中的 Detective 管理員帳戶時,Detective 會刪除組織行為圖表。已移除的 Detective 管理員帳戶將停用 Detective。
若要移除 Detective 目前委派的管理員帳戶,您可以使用組織 API。當您移除組織中 Detective 的委派管理員帳戶時,Detective 會刪除所有組織行為圖表,其中委派的管理員帳戶是 Detective 管理員帳戶。將組織管理帳戶作為 Detective 管理員帳戶的組織行為圖表不會受到影響。
------
#### [ Console ]
您可以從 Detective 主控台移除 Detective 管理員帳戶。
當您移除 Detective 管理員帳戶時,系統會停用該帳戶的 Detective,並且會刪除組織行為圖表。Detective 管理員帳戶僅會在目前區域中移除。
**重要**
移除 Detective 管理員帳戶不會影響組織中委派的管理員帳戶。
**若要移除 Detective 管理員帳戶 (**啟用 Detective** 頁面)**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 選擇**開始使用**。
1. 在**委派的管理員**下,選擇**停用 Amazon Detective**。
1. 在確認對話方塊上,輸入 **disable**,然後選擇**停用 Amazon Detective**。
**若要移除 Detective 管理員帳戶 (**一般**頁面)**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,於**設定**下選擇**通用**。
1. 在**委派的管理員**下,選擇**停用 Amazon Detective**。
1. 在確認對話方塊上,輸入 **disable**,然後選擇**停用 Amazon Detective**。
------
#### [ Detective API, AWS CLI ]
若要移除 Detective 管理員帳戶,您可以使用 API 呼叫或 AWS CLI。您必須使用組織的管理帳戶憑證。
當您移除 Detective 管理員帳戶時,系統會停用該帳戶的 Detective,並且會刪除組織行為圖表。
**重要**
移除 Detective 管理員帳戶不會影響組織中委派的管理員帳戶。
**若要移除 Detective 管理員帳戶 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html) 操作。
當您使用 Detective API 移除 Detective 管理員帳戶時,只會在發出 API 呼叫或指令的區域中移除該帳戶。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html) 命令。
```
aws detective disable-organization-admin-account
```
------
## 移除委派管理員帳戶
移除 Detective 管理員帳戶並不會自動移除組織中委派的管理員帳戶。若要移除 Detective 的委派管理員帳戶,您可以使用組織 API。
當您移除委派的管理員帳戶時,這會刪除委派管理員帳戶為 Detective 管理員帳戶的所有組織行為圖表。此舉還會停用此類區域中帳戶的 Detective。
**若要移除委派管理員帳戶 (Organizations API) AWS CLI**
+ **組織 API:**使用 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。您必須提供 Detective 管理員帳戶的帳戶識別符,以及 Detective 的服務主體,即 `detective.amazonaws.com`。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 命令。
```
aws organizations deregister-delegated-administrator --account-id --service-principal
```
**範例**
```
aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com
```