本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Detective 中的帳戶限制和建議
<a name="accounts-restrictions-recommendations"></a>

在 Amazon Detective 中管理帳戶時，請注意以下限制與建議。

## 成員帳戶的數目上限
<a name="accounts-maximum-members"></a>

Detective 允許在每個行為圖表中最多容納 1,200 個成員帳戶。

如果您使用 AWS Organizations 來管理帳戶，根據預設，Detective 會在帳戶**管理**頁面上顯示最多 5000 個成員帳戶。如果您想要檢視所有帳戶，請選取**載入所有帳戶**。傳回所有結果可能需要幾分鐘的時間。

## 帳戶和區域
<a name="accounts-regions"></a>

如果您使用 AWS Organizations 來管理帳戶，組織管理帳戶會為組織指定 Detective 管理員帳戶。該 Detective 管理員帳戶會成為組織行為圖表的管理員帳戶。

所有區域的 Detective 管理員帳戶必須相同。組織管理帳戶會分別在每個區域中指定 Detective 管理員帳戶。Detective 管理員帳戶也會分別管理每個區域中的組織行為圖表和成員帳戶。

針對透過邀請建立的成員帳戶，系統只會在邀請寄出的區域建立管理員與成員關聯。管理員帳戶必須在每個區域中啟用 Detective，並且在每個區域中都有獨立的行為圖表。然後，管理員帳戶會邀請每個帳戶在該區域關聯為成員帳戶。

一個帳戶可以是相同區域中多個行為圖表的成員帳戶。一個帳戶在每個區域只能成為一個行為圖表的管理員帳戶。帳戶可以是不同區域的管理員帳戶。

## 管理員帳戶與 Security Hub CSPM 和 GuardDuty 的一致性
<a name="accounts-alignment"></a>

為了確保與 AWS Security Hub CSPM 和 Amazon GuardDuty 的整合能夠順利運作，我們建議所有這些服務中的管理員帳戶都是相同的帳戶。

請參閱 [建議與 GuardDuty 和 對齊 AWS Security Hub CSPM](detective-recommendations.md#recommended-service-alignment)。

## 授予管理員帳戶所需的許可
<a name="accounts-admin-permissions"></a>

為了確保管理員帳戶具有管理其行為圖表所需的許可，將 [`AmazonDetectiveFullAccess`受管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectivefullaccess)附加到 IAM 主體。

## 反映組織在 Detective 中的更新
<a name="accounts-orgs-update-notification"></a>

對組織的變更不會立即反映在 Detective 中。

針對大多數變更 (例如新增和已移除的組織帳戶)，Detective 最多可能需要一小時才會收到通知。

變更組織中指定的 Detective 管理員帳戶所需的傳播時間較短。