本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Detective 中管理受邀成員帳戶
<a name="accounts-invited-members"></a>

Detective 管理員帳戶可以在其行為圖表中邀請帳戶成為成員帳戶。行為圖表最多可容納 1,200 個成員帳戶。當成員帳戶接受邀請並啟用時，Amazon Detective 就會開始擷取成員帳戶的資料，並將其擷取到該行為圖表中。

若要邀請個別帳戶，您可以手動指定要邀請的成員帳戶，將其資料貢獻至行為圖表。如果您想要新增成員帳戶清單，您可以選擇提供 .csv 檔案，其中包含要邀請加入行為圖表的成員帳戶清單。

對於組織行為圖表以外的行為圖表，所有成員帳戶都是受邀帳戶。Detective 管理員帳戶也可以邀請非組織帳戶的帳戶加入組織行為圖表。

在高層級中，邀請帳戶提供行為圖表的程序如下。

1. 對於每個要新增的成員帳戶，管理員帳戶會提供 AWS 帳戶識別符和根使用者電子郵件地址。

1. Detective 會驗證電子郵件地址是否為帳戶的根使用者電子郵件地址。如果帳戶資訊有效，Detective 會將邀請傳送至成員帳戶。

   Detective 不會執行此驗證或傳送電子郵件邀請給這些區域中的成員帳戶：
   + AWS GovCloud （美國東部） 區域
   + AWS GovCloud （美國西部） 區域

   對於其他區域，您可以使用 Detective API 的 `DisableEmailNotification` [CreateMembers](https://docs.aws.amazon.com//detective/latest/APIReference/API_CreateMembers.html) 操作。如果 `DisableEmailNotification` 設為 true，則 Detective 不會傳送邀請給成員帳戶。對於集中管理的帳戶，這是一個有用的設定。

1. 成員帳戶將接受或拒絕邀請。

   即使管理員帳戶未發送邀請電子郵件，成員帳戶仍然必須回應邀請。

1. 成員帳戶接受邀請後，Detective 會開始將成員帳戶的資料擷取至行為圖表。

1. 一旦成員帳戶符合啟用資格，Detective 會自動將成員帳戶狀態變更為**已啟用**。

   例如，如果管理員帳戶移除其他成員帳戶以為帳戶騰出空間，成員帳戶狀態會變更為**已啟用**。

   如果超過一個帳戶**未啟用**，則 Detective 會以帳戶受邀順序啟用帳戶。檢查是否啟用任何**未啟用**帳戶的程序將每小時執行一次。

   管理員帳戶也可以手動啟用帳戶，而不必等待自動程序。例如，管理員帳戶可能想要選取要啟用的帳戶。如需如何啟用成員帳戶的資訊，請參閱 [啟用未啟用的成員帳戶](graph-admin-unblock-account.md)。

   請注意，Detective 在 2021 年 5 月 12 日開始自動啟用**未啟用**的帳戶。系統不會自動啟用之前**未啟用**的帳戶。管理員帳戶必須手動啟用此類帳戶。

管理員帳戶可以從行為圖表中移除受邀成員帳戶。Detective 不會從行為圖表中移除任何現有資料，而此類資料會跨成員帳戶彙總資料。

**Topics**
+ [邀請個別帳戶加入行為圖表](accounts-invited-members-add-individual.md)
+ [邀請成員帳戶清單至行為圖表](accounts-invited-members-add-csv.md)
+ [啟用未啟用的成員帳戶](graph-admin-unblock-account.md)
+ [從行為圖表移除成員帳戶](accounts-invited-remove.md)

# 邀請個別帳戶加入行為圖表
<a name="accounts-invited-members-add-individual"></a>

您可以手動指定要邀請的成員帳戶，以便將其資料提供至行為圖表。

------
#### [ Console ]

**使用 Detective 主控台手動選取要邀請的成員帳戶。**

1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。

1. 在 Detective 導覽窗格中，選擇**帳戶管理**。

1. 選擇**動作**。然後選擇**邀請帳戶**。

1. 在**新增帳戶**下，選擇**新增個別帳戶**。

1. 若要將成員帳戶新增至邀請清單，請執行以下步驟。

   1. 選擇**新增帳戶**。

   1. 針對**AWS 帳戶 ID**，輸入 AWS 帳戶 ID。

   1. 針對**電子郵件**，輸入帳戶的根使用者電子郵件地址。

1. 若要從清單中移除帳戶，為該帳戶選擇**移除**帳戶。

1. 在**個人化邀請電子郵件**下，在邀請電子郵件中新增自訂內容。

   例如，您可以使用該區域提供聯絡資訊。或者將其用於提醒成員帳戶，他們需要將必要的 IAM 政策附加到其使用者或角色，然後才能接受邀請。

1. **成員帳戶 IAM 政策**包含成員帳戶所需的 IAM 政策文本。電子郵件邀請函包含此政策文字。若要複製政策文本，選擇**複製**。

1. 選擇 **Invite** (邀請)。

------
#### [ Detective API/AWS CLI ]

您可以使用 Detective API 或 AWS Command Line Interface 來邀請成員帳戶將其資料貢獻至行為圖表。若要取得行為圖表的 ARN 以供在請求中使用，請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。

**邀請成員帳戶加入行為圖表 (Detective API) AWS CLI**
+ **Detective API：**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) 操作。您必須提供圖表 ARN。針對每個帳戶，指定帳戶識別符和根使用者電子郵件地址。

  若取消向成員帳戶發送邀請電子郵件，請設置 `DisableEmailNotification` 為 true。`DisableEmailNotification` 預設為 false。

  如果您確實發送邀請電子郵件，則可以選擇提供自訂文本以新增至邀請電子郵件中。
+ **AWS CLI：**在命令列中執行 `create-members` 命令。

  ```
  aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --message "<Custom message text>"
  ```

  **範例**

  ```
  aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."
  ```

  要指示不發送邀請電子郵件到成員帳戶，則加入 `--disable-email-notification`。

  ```
  aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --disable-email-notification
  ```

  **範例**

  ```
  aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
  ```

------

# 邀請成員帳戶清單至行為圖表
<a name="accounts-invited-members-add-csv"></a>

在 Detective 主控台中，您可以提供包含待邀請加入至行為圖表的成員帳戶清單的 `.csv` 檔案。

系統會將檔案第一行做為標頭列。每個帳戶都會列在單獨的行上。每個成員帳戶項目都包含 AWS 帳戶 ID 和帳戶的根使用者電子郵件地址。

範例：

```
Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```

Detective 在處理檔案時，會忽略已受邀帳戶，除非該帳戶狀態為**驗證失敗**。該狀態表示為帳戶提供的電子郵件地址與帳戶的根使用者電子郵件地址不符。在這種情況下，Detective 會刪除原始邀請，然後再次嘗試驗證電子郵件地址並傳送邀請。

此選項還會提供範本，供您用於建立帳戶清單。

**從 .csv 清單邀請成員帳戶 (主控台)**

1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。

1. 在 Detective 導覽窗格中，選擇**帳戶管理**。

1. 選擇**動作**。然後選擇**邀請帳戶**。

1. 在**新增帳戶**下，選擇**從 .csv 新增**。

1. 若要下載要使用的範本檔案，請選擇**下載 .csv 範本**。

1. 若要選取包含帳戶清單的檔案，請選擇**選擇 .csv 檔案**。

1. 在**檢閱成員帳戶**下，確認 Detective 在檔案中找到的成員帳戶清單。

1. 在**個人化邀請電子郵件**下，在邀請電子郵件中新增自訂內容。

   例如，您可以提供聯絡資訊，或提醒成員帳戶有關必要的 IAM 政策。

1. **成員帳戶 IAM 政策**包含成員帳戶所需的 IAM 政策文本。電子郵件邀請函包含此政策文字。若要複製政策文本，選擇**複製**。

1. 選擇 **Invite** (邀請)。

## 新增跨區域的成員帳戶清單
<a name="accounts-invited-add-script"></a>

Detective 在 GitHub 中提供開放原始碼 Python 指令碼，可讓您執行下列動作：
+ 將指定的成員帳戶清單新增至跨區域特定清單的管理員帳戶行為圖表。
+ 如果管理員帳戶在區域中沒有行為圖表，則指令碼也會啟用 Detective，並在該區域中建立行為圖表。
+ 傳送邀請電子郵件到成員帳戶。
+ 自動接受成員帳戶的邀請。

如需如何設定和使用 GitHub 指令碼的相關資訊，請參閱 [使用 Detective Python 指令碼來管理帳戶](detective-github-scripts.md)。

# 啟用未啟用的成員帳戶
<a name="graph-admin-unblock-account"></a>

成員帳戶接受邀請後，Amazon Detective 會檢查成員帳戶的數量。行為圖表中成員帳戶的數目上限為 1,200。如果行為圖表已包含 1,200 個成員帳戶，則無法啟用新帳戶。如果 Detective 無法啟用成員帳戶，則會將成員帳戶狀態設定為**未啟用**。

**未啟用**的成員帳戶不會將資料提供至行為圖表。

Detective 會自動啟用帳戶，因為行為圖表可以容納帳戶。

您也可以嘗試手動啟用**未啟用**成員帳戶的成員帳戶。例如，您可以移除現有的成員帳戶以減少資料量。您可以嘗試啟用**未啟用**成員帳戶，不必等待啟用帳戶的自動程序。

------
#### [ Console ]

成員帳戶清單包括用於啟用**未啟用**的選取成員帳戶的選項。

**若要啟用未啟用的成員帳戶**

1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。

1. 在 Detective 導覽窗格中，選擇**帳戶管理**。

1. 在**我的成員帳戶**下，選取要啟用的每個成員帳戶的核取方塊。

   您只能啟用狀態為**未啟用**的成員帳戶。

1. 選擇**啟用帳戶**。

Detective 會決定是否可以啟用成員帳戶。如果可以啟用成員帳戶，狀態會變更為**已啟用**。

------
#### [ Detective API/CLI ]

您可以使用 API 呼叫或 AWS Command Line Interface 來啟用**未啟用**的單一成員帳戶。若要取得行為圖表的 ARN 以供在請求中使用，請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。

**若要啟用未啟用的成員帳戶**
+ **Detective API：**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html) API 操作。您必須提供行為圖表 ARN。若要識別成員帳戶，請使用 AWS 帳戶識別符。
+ **AWS CLI：**執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html](https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html)命令。

  ```
  start-monitoring-member --graph-arn <behavior graph ARN> --account-id <AWS account ID>
  ```

  例如：

  ```
  start-monitoring-member --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --account-id 444455556666
  ```

------

# 從行為圖表移除成員帳戶
<a name="accounts-invited-remove"></a>

管理員帳戶可以隨時從行為圖表中移除受邀的成員帳戶。

Detective 會自動移除終止於 的成員帳戶 AWS，但 AWS GovCloud （美國東部） 和 AWS GovCloud （美國西部） 區域除外。

從行為圖表中移除受邀成員帳戶時，會發生以下情況。
+ 成員帳戶已從**我的成員帳戶**中移除。
+ Amazon Detective 停止從已移除的帳戶擷取資料。

Detective 不會從行為圖表中移除任何現有資料，而此類資料會跨成員帳戶彙總資料。

------
#### [ Console ]

您可以使用 AWS 管理主控台 從行為圖表中移除受邀的成員帳戶。

**若要移除成員帳戶 (主控台)**

1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。

1. 在 Detective 導覽窗格中，選擇**帳戶管理**。

1. 在帳戶清單中，選取要移除成員帳戶的核取方塊。

   您無法從清單中移除自己的帳戶。

1. 選擇**動作**。然後選擇**停用帳戶**。

------
#### [ Detective API/CLI  ]

您可以使用 Detective API 或 AWS Command Line Interface 從行為圖表中移除受邀的成員帳戶。若要取得行為圖表的 ARN 以供在請求中使用，請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。

**從行為圖表中移除受邀的成員帳戶 (Detective API) AWS CLI**
+ **Detective API：**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) 操作。指定圖表 ARN 和要移除成員帳戶的帳戶識別符清單。
+ **AWS CLI：**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) 命令。

  ```
  aws detective delete-members --account-ids <account ID list> --graph-arn <behavior graph ARN>
  ```

  範例：

  ```
  aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
  ```

------
#### [ Python script ]

Detective 在 GitHub 中提供了開放原始指令碼。您可以是該指令碼，將指定的成員帳戶清單從跨區域特定清單的管理員帳戶行為圖表中移除。

如需如何設定和使用 GitHub 指令碼的相關資訊，請參閱 [使用 Detective Python 指令碼來管理帳戶](detective-github-scripts.md)。

------