本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Detective 中管理帳戶
當帳戶啟用 Detective 時,它會成為行為圖表的管理員帳戶,並為行為圖表選擇成員帳戶。管理員帳戶可以邀請帳戶加入行為圖表。當帳戶接受邀請時,Detective 會啟用該帳戶作為成員帳戶。透過邀請加入的成員帳戶可將自己從行為圖表中移除。
當帳戶作為成員帳戶啟用時,Detective 會開始提取成員帳戶的資料並擷取到該行為圖表中。
每個行為圖表都包含來自一個或多個帳戶的資料。行為圖表最多可以有 1,200 個成員帳戶。
如果您與 整合 AWS Organizations,則組織管理帳戶會為組織指定 Detective 管理員帳戶。然後,該 Detective 管理員帳戶會成為組織行為圖表的管理員帳戶。Detective 管理員帳戶可以在組織行為圖表中將任何組織帳戶作為成員帳戶啟用。組織帳戶無法將自己從組織行為圖表中移除。
Detective 會就其對各行為圖表提供的資料向每個帳戶收取費用。如需追蹤行為圖表中每個帳戶的資料量的資訊,請參閱[預測和監控 Amazon Detective 成本](https://docs.aws.amazon.com//detective/latest/userguide/tracking-usage-logging.html)。
**Topics**
+ [Detective 中的帳戶限制和建議](accounts-restrictions-recommendations.md)
+ [使用 Organizations 管理行為圖表帳戶](accounts-orgs-transition.md)
+ [指定組織的 Detective 管理員](accounts-designate-admin.md)
+ [帳戶的可用動作](accounts-allowed-actions.md)
+ [檢視帳戶清單](accounts-view-list.md)
+ [以 Detective 成員帳戶管理組織帳戶](accounts-orgs-members.md)
+ [在 Detective 中管理受邀成員帳戶](accounts-invited-members.md)
+ [針對成員帳戶:管理行為圖表邀請和成員資格](member-account-graph-management.md)
+ [帳戶動作對行為圖表的影響](accounts-effects.md)
+ [使用 Detective Python 指令碼來管理帳戶](detective-github-scripts.md)
# Detective 中的帳戶限制和建議
在 Amazon Detective 中管理帳戶時,請注意以下限制與建議。
## 成員帳戶的數目上限
Detective 允許在每個行為圖表中最多容納 1,200 個成員帳戶。
如果您使用 AWS Organizations 來管理帳戶,根據預設,Detective 會在帳戶**管理**頁面上顯示最多 5000 個成員帳戶。如果您想要檢視所有帳戶,請選取**載入所有帳戶**。傳回所有結果可能需要幾分鐘的時間。
## 帳戶和區域
如果您使用 AWS Organizations 來管理帳戶,組織管理帳戶會為組織指定 Detective 管理員帳戶。該 Detective 管理員帳戶會成為組織行為圖表的管理員帳戶。
所有區域的 Detective 管理員帳戶必須相同。組織管理帳戶會分別在每個區域中指定 Detective 管理員帳戶。Detective 管理員帳戶也會分別管理每個區域中的組織行為圖表和成員帳戶。
針對透過邀請建立的成員帳戶,系統只會在邀請寄出的區域建立管理員與成員關聯。管理員帳戶必須在每個區域中啟用 Detective,並且在每個區域中都有獨立的行為圖表。然後,管理員帳戶會邀請每個帳戶在該區域關聯為成員帳戶。
一個帳戶可以是相同區域中多個行為圖表的成員帳戶。一個帳戶在每個區域只能成為一個行為圖表的管理員帳戶。帳戶可以是不同區域的管理員帳戶。
## 管理員帳戶與 Security Hub CSPM 和 GuardDuty 的一致性
為了確保與 AWS Security Hub CSPM 和 Amazon GuardDuty 的整合能夠順利運作,我們建議所有這些服務中的管理員帳戶都是相同的帳戶。
請參閱 [建議與 GuardDuty 和 對齊 AWS Security Hub CSPM](detective-recommendations.md#recommended-service-alignment)。
## 授予管理員帳戶所需的許可
為了確保管理員帳戶具有管理其行為圖表所需的許可,將 [`AmazonDetectiveFullAccess`受管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectivefullaccess)附加到 IAM 主體。
## 反映組織在 Detective 中的更新
對組織的變更不會立即反映在 Detective 中。
針對大多數變更 (例如新增和已移除的組織帳戶),Detective 最多可能需要一小時才會收到通知。
變更組織中指定的 Detective 管理員帳戶所需的傳播時間較短。
# 使用 Organizations 管理行為圖表帳戶
您可能具有現有行為圖表,其中包含接受手動邀請的成員帳戶。如果您已註冊 AWS Organizations,請使用下列步驟使用 Organizations 來啟用和管理成員帳戶,而不是使用手動邀請程序:
1. [為您的組織指定 Detective 管理員帳戶。](#accounts-transition-designate-admin)此舉會建立組織行為圖表。
如果 Detective 管理員帳戶已有行為圖表,則該行為圖表會成爲組織行為圖表。
1. [在組織行為圖表中自動將新組織帳戶作為成員帳戶啟用。](#accounts-transition-members)
如果組織行為圖表具有組織帳戶的現有成員帳戶,則會自動啟用此類帳戶。
下圖顯示轉換前的行為圖表結構、組織中的組態以及轉換後的行為圖表帳戶結構的概觀。
![\[此圖表顯示轉換以使用 AWS Organizations 在組織行為圖表中管理成員帳戶的程序。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/diagram_account_transition.png)
## 為組織指定 Detective 管理員帳戶
組織管理帳戶會指定組織的 Detective 管理員帳戶。請參閱 [指定組織的 Detective 管理員](accounts-designate-admin.md)。
為簡化轉換,Detective 建議您選擇目前的管理員帳戶作為組織的 Detective 管理員帳戶。
如果組織中針對 Detective 有委派的管理員帳戶,則您必須使用該帳戶或組織管理帳戶作為 Detective 管理員帳戶。
否則,當您首次指定非組織管理帳戶的 Detective 管理員帳戶時,Detective 會呼叫組織,使該帳戶成為 Detective 的委派管理員帳戶。
## 啟用組織帳戶作為成員帳戶
Detective 的委派管理員帳戶是 Detective 行為圖表的管理員帳戶。Detective 管理員帳戶選擇要在組織行為圖表中作為成員帳戶啟用的組織帳戶。請參閱 [以 Detective 成員帳戶管理組織帳戶](accounts-orgs-members.md)。
在**帳戶**頁面上,Detective 管理員帳戶可查看組織中的所有帳戶。
如果 Detective 管理員帳戶已經成爲行為圖表的管理員帳戶,則該行為圖表會成爲組織行為圖表。在該行為圖表中已經成爲成員帳戶的組織帳戶,會自動作為成員帳戶啟用。其他組織帳戶的狀態為**非成員**。
組織帳戶具有**依組織**類型,即使它們先前為受邀成員帳戶。
不屬於組織的成員帳戶具有**依邀請**類型。
**帳戶管理**頁面也提供**自動啟用新組織帳戶**選項,以便在新增帳戶至組織時自動啟用新帳戶。請參閱 [將新組織帳戶啟用為 Detective 成員帳戶](accounts-orgs-members-autoenable.md)。該選項最初處於關閉狀態。
當 Detective 管理員帳戶首次顯示**帳戶管理**頁面時,系統會顯示包含**啟用所有組織帳戶**按鈕的訊息。當您選擇**啟用所有組織帳戶**時,Detective 會執行以下動作:
+ 將所有目前組織帳戶作為成員帳戶啟用。
+ 打開自動啟用新組織帳戶的選項。
成員帳戶清單上也有**啟用所有組織帳戶**選項。
# 指定組織的 Detective 管理員
在組織行為圖表中,Detective 管理員帳戶會管理所有組織帳戶的行為圖表成員資格。
Detective 管理員帳戶的管理方式 – 組織管理帳戶會為每個組織指定 Detective 管理員帳戶 AWS 區域。
將 Detective 管理員帳戶設定為委派管理員帳戶 – Detective 管理員帳戶也會成為其中 Detective 的委派管理員帳戶 AWS Organizations。如果組織管理帳戶將自己指定為 Detective 管理員帳戶,則存在例外情況。組織管理帳戶無法成爲組織中委派的管理員。
在組織中設定委派的管理員帳戶之後,組織管理帳戶只能選擇委派的管理員帳戶或他們自己的帳戶作為 Detective 管理員帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
建立和管理組織行為圖表 – 當組織管理帳戶選擇 Detective 管理員帳戶時,Detective 會為該帳戶建立新的行為圖表。該行為圖表是組織行為圖表。
如果 Detective 管理員帳戶是現有行為圖表的管理員帳戶,則該行為圖表會成爲組織行為圖表。
Detective 管理員帳戶會在組織行為圖表中選擇要啟用的組織帳戶做為成員帳戶。
![\[此圖顯示組織管理帳戶如何為組織選擇 Detective 管理員帳戶。Detective 管理員帳戶是組織行為圖表的管理員帳戶,以及組織中委派的管理員帳戶。Detective 管理員帳戶可以存取所有組織帳戶。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/diagram_account_delegation.png)
Detective 管理員帳戶也可以傳送邀請至不屬於組織的帳戶。如需詳細資訊,請參閱[以 Detective 成員帳戶管理組織帳戶](accounts-orgs-members.md)及[在 Detective 中管理受邀成員帳戶](accounts-invited-members.md)。
設定 Detective 管理員帳戶所需的許可 – 為確保組織管理帳戶能夠設定 Detective 管理員帳戶,您可以將 [`AmazonDetectiveOrganizationsAccess`受管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy)連接到您的 AWS Identity and Access Management (IAM) 實體。
# 指定 Detective 管理員
組織管理帳戶可以使用 Detective 主控台來指定 Detective 管理員帳戶。
您無需啟用 Detective 即可管理 Detective 管理員帳戶。您可以從**啟用 Detective** 頁面管理 Detective管理員帳戶。
------
#### [ Enable Detective page (Console) ]
若要從**啟用 Detective 頁面指定 Detective** 管理員,請遵循下列步驟。
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 選擇**開始使用**。
1. 在**管理員帳戶所需的許可**面板中,為您選擇的帳戶授予必要的許可,以便他們能夠以 Detective 管理員的身分操作,並具有對 Detective 中所有動作的完整存取許可。若要以管理員身分操作,建議將 `AmazonDetectiveFullAccess` 政策附加至主體。
1. 選擇**從 IAM 附加政策**,直接在 IAM 主控台中檢視建議的政策。
1. 根據您是否在 IAM 主控台中擁有許可,執行以下步驟:
+ 如果您有在 IAM 主控台中操作的許可,請將建議的政策附加到您用於 Detective 的主體。
+ 如果您沒有在 IAM 主控台中操作的許可,請複製政策的 Amazon Resource Name (ARN),並將其提供給 IAM 管理員。然後,他們可以代表您附加政策。
1. 在**委派管理員**下,選擇 Detective 管理員帳戶。
可用的選項取決於您是否擁有組織中 Detective 的委派管理員帳戶。
+ 如果您沒有組織中 Detective 的委派管理員帳戶,請輸入帳戶的帳戶識別符,將其指定為 Detective 管理員帳戶。
在手動邀請程序中,您可能已有現有管理員帳戶和行為圖表。如果的確如此,我們建議您將該帳戶指定為 Detective 管理員帳戶。
如果您在 Organizations for Amazon GuardDuty AWS Security Hub CSPM或 Amazon Macie 中有委派管理員帳戶,則 Detective 會提示您選取其中一個帳戶。您也可以輸入不同的帳戶。
+ 如果您確實擁有組織中 Detective的委派管理員帳戶,系統會提示您選擇該帳戶或您的帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
1. 選擇**委派**。
如果您已啟用 Detective,或者是現有行為圖表中的成員帳戶,則您可以從**一般**頁面指定 Detective 管理員帳戶。
------
#### [ General page (Console) ]
若要從**一般**頁面指定 Detective 管理員,請遵循下列步驟。
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,於**設定**下選擇**通用**。
1. 在**受管政策**面板中,您可進一步了解 Detective 支援的所有受管政策。您可以根據您希望使用者在 Detective 中執行的動作,向帳戶授予必要的許可。若要以管理員身分操作,建議將 `AmazonDetectiveFullAccess` 政策附加至主體。
1. 根據您是否在 IAM 主控台中擁有許可,執行以下步驟:
+ 如果您有在 IAM 主控台中操作的許可,請將建議的政策附加到您用於 Detective 的主體。
+ 如果您沒有在 IAM 主控台中操作的許可,請複製政策的 Amazon Resource Name (ARN),並將其提供給 IAM 管理員。然後,他們可以代表您附加政策。
可用的選項取決於您是否擁有組織中 Detective 的委派管理員帳戶。
+ 如果您沒有組織中 Detective 的委派管理員帳戶,請輸入帳戶的帳戶識別符,將其指定為 Detective 管理員帳戶。
在手動邀請程序中,您可能已有現有管理員帳戶和行為圖表。如果的確如此,則我們建議您將該帳戶指定為 Detective 管理員帳戶。
如果您在 Organizations for Amazon GuardDuty AWS Security Hub CSPM或 Amazon Macie 中有委派管理員帳戶,則 Detective 會提示您選取其中一個帳戶。您也可以輸入不同的帳戶。
+ 如果您確實擁有組織中 Detective的委派管理員帳戶,系統會提示您選擇該帳戶或您的帳戶。我們建議您在所有區域中選擇委派的管理員帳戶。
1. 選擇**委派**。
------
#### [ Detective API, AWS CLI ]
若要指定 Detective 管理員帳戶,您可以使用 API 呼叫或 AWS Command Line Interface。您必須使用組織的管理帳戶憑證。
如果您已經擁有組織中 Detective 的委派管理員帳戶,則您必須選擇該帳戶或您的帳戶,我們建議您選擇委派的管理員帳戶。
**指定 Detective 管理員帳戶 (Detective API AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html) 操作。您必須提供 Detective 管理員 AWS 帳戶的帳戶識別符。若要取得帳戶識別符,使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html) 操作。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html) 命令。
```
aws detective enable-organization-admin-account --account-id
```
**範例**
```
aws detective enable-organization-admin-account --account-id 777788889999
```
------
# 移除 Detective 管理員帳戶
組織管理帳戶可以移除區域中目前的 Detective 管理員帳戶。當您移除 Detective 管理員帳戶時,Detective 只會將其從目前的區域中移除。它不會變更組織中的委派管理員帳戶。
當組織管理帳戶移除區域中的 Detective 管理員帳戶時,Detective 會刪除組織行為圖表。已移除的 Detective 管理員帳戶將停用 Detective。
若要移除 Detective 目前委派的管理員帳戶,您可以使用組織 API。當您移除組織中 Detective 的委派管理員帳戶時,Detective 會刪除所有組織行為圖表,其中委派的管理員帳戶是 Detective 管理員帳戶。將組織管理帳戶作為 Detective 管理員帳戶的組織行為圖表不會受到影響。
------
#### [ Console ]
您可以從 Detective 主控台移除 Detective 管理員帳戶。
當您移除 Detective 管理員帳戶時,系統會停用該帳戶的 Detective,並且會刪除組織行為圖表。Detective 管理員帳戶僅會在目前區域中移除。
**重要**
移除 Detective 管理員帳戶不會影響組織中委派的管理員帳戶。
**若要移除 Detective 管理員帳戶 (**啟用 Detective** 頁面)**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 選擇**開始使用**。
1. 在**委派的管理員**下,選擇**停用 Amazon Detective**。
1. 在確認對話方塊上,輸入 **disable**,然後選擇**停用 Amazon Detective**。
**若要移除 Detective 管理員帳戶 (**一般**頁面)**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,於**設定**下選擇**通用**。
1. 在**委派的管理員**下,選擇**停用 Amazon Detective**。
1. 在確認對話方塊上,輸入 **disable**,然後選擇**停用 Amazon Detective**。
------
#### [ Detective API, AWS CLI ]
若要移除 Detective 管理員帳戶,您可以使用 API 呼叫或 AWS CLI。您必須使用組織的管理帳戶憑證。
當您移除 Detective 管理員帳戶時,系統會停用該帳戶的 Detective,並且會刪除組織行為圖表。
**重要**
移除 Detective 管理員帳戶不會影響組織中委派的管理員帳戶。
**若要移除 Detective 管理員帳戶 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html) 操作。
當您使用 Detective API 移除 Detective 管理員帳戶時,只會在發出 API 呼叫或指令的區域中移除該帳戶。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html) 命令。
```
aws detective disable-organization-admin-account
```
------
## 移除委派管理員帳戶
移除 Detective 管理員帳戶並不會自動移除組織中委派的管理員帳戶。若要移除 Detective 的委派管理員帳戶,您可以使用組織 API。
當您移除委派的管理員帳戶時,這會刪除委派管理員帳戶為 Detective 管理員帳戶的所有組織行為圖表。此舉還會停用此類區域中帳戶的 Detective。
**若要移除委派管理員帳戶 (Organizations API) AWS CLI**
+ **組織 API:**使用 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。您必須提供 Detective 管理員帳戶的帳戶識別符,以及 Detective 的服務主體,即 `detective.amazonaws.com`。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 命令。
```
aws organizations deregister-delegated-administrator --account-id --service-principal
```
**範例**
```
aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com
```
# 帳戶的可用動作
管理員和成員帳戶可以存取以下 Detective 動作。在資料表中,值具有以下含義:
+ **任何**:帳戶可對同一 Detective 管理員帳戶下的所有帳戶執行動作。
+ **自我**:帳戶只能在自己的帳戶上執行動作。
+ 破折號 (–):帳戶無法執行動作。
在組織行為圖表中,Detective 管理員帳戶會判斷要將哪些組織帳戶作為成員帳戶啟用。他們可以設定 Detective,使其自動將新組織帳戶作為成員帳戶啟用,或手動啟用組織帳戶。
管理員帳戶可以在行為圖表中邀請帳戶成為成員帳戶。當成員帳戶接受邀請並啟用時,Amazon Detective 就會開始擷取成員帳戶的資料,並將其擷取到該行為圖表中。
對於非組織行為圖表的行為圖表,所有成員帳戶均爲受邀帳戶。
以下資料表反映管理員帳戶與成員帳戶的預設許可。您可以使用自訂IAM原則來限制進一步存取 Detective 功能和功能。
| 動作 | 管理員帳戶 (組織) | 管理員帳戶 (邀請) | 成員 (組織) | 成員 (邀請) |
| --- | --- | --- | --- | --- |
| 檢視帳戶 | 任何 | 任何 | 自我 (檢視管理員帳戶) | 自我 (檢視管理員帳戶) |
| 移除成員帳戶 | 任何 移除受邀帳戶 組織帳戶已解除關聯 | 任何 | – | 自我 |
| 新增或移除選用的資料來源套件 | 任何 (設定適用於所有成員帳戶) | 任何 (設定適用於所有成員帳戶) | – | – |
| 停用 Detective | 自我 | 自我 | – | – |
| 檢視行為圖表資料 | 任何 | 任何 | – | – |
| 啟用或停用選用的資料來源套件 | 全部 | 全部 | – | – |
# 檢視帳戶清單
管理員帳戶可以使用 Detective 主控台或 API 來檢視帳戶清單。清單包括:
+ 管理員帳戶受邀加入行為圖表的帳戶。此類帳戶具有**依邀請**類型。
+ 針對組織行為圖表,則為組織中所有帳戶。此類帳戶的類型為**依組織**。
結果不包括拒絕邀請的受邀成員帳戶,或從行為圖表中移除的管理員帳戶。清單只包含以下狀態的帳戶。
**正在進行中的驗證**
針對受邀帳戶,Detective 會在傳送邀請之前驗證帳戶電子郵件地址。
針對組織帳戶,Detective 會驗證帳戶是否屬於組織。Detective 也會驗證啟用此帳戶的 Detective 管理員帳戶。
**驗證失敗**
驗證失敗。邀請未傳送,或組織帳戶未啟用為成員。
**已邀請**
針對受邀帳戶。邀請已傳送,但成員帳戶尚未回應。
**非成員**
針對組織行為圖表中的組織帳戶。組織帳戶目前非成員帳戶。它不會將資料提供至組織行為圖表。
**已啟用**
針對受邀帳戶,成員帳戶接受邀請,並將資料提供至行為圖表。
針對組織行為圖表中的組織帳戶,Detective 管理員帳戶會將帳戶啟用為成員帳戶。帳戶將資料提供至組織行為圖表。
**未啟用**
針對受邀帳戶,成員帳戶已接受邀請,但無法啟用。
針對組織行為圖表中的組織帳戶,Detective 管理員帳戶會嘗試啟用帳戶,但該帳戶無法得到啟用。
對於受邀帳戶,Detective 會檢查成員帳戶的數量。行為圖表中成員帳戶的數目上限為 1,200。如果行為圖表已包含 1,200 個成員帳戶,則無法啟用新帳戶。
Detective 會檢查您的資料磁碟區是否在 Detective 配額內。流入行為圖表的資料量必須小於 Detective 允許的最大值。如果目前擷取的磁碟區超過行為圖表資料磁碟區每天 10 TB 的限制,則 Detective 將不會允許您新增其他成員帳戶。
## 列出帳戶 (主控台)
您可以使用 AWS 管理主控台 查看和篩選帳戶清單。
**若要顯示帳戶清單 (主控台)**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
成員帳戶清單包含以下帳戶:
+ 您的帳戶
+ 您邀請向行為圖表提供資料的帳戶
+ 在組織行為圖表中,則為所有組織帳戶
針對每個帳戶,清單都會顯示以下資訊:
+ AWS 帳戶識別符。
+ 針對組織帳戶,則為帳戶名稱。
+ 帳戶類型 (**按邀請**或**按組織**)。
+ 針對受邀帳戶,則爲帳戶根使用者電子郵件地址。
+ 帳戶狀態。
+ 帳戶的每日資料量。Detective 無法擷取未啟用為成員帳戶的帳戶資料量。
+ 上次更新帳戶狀態的日期。
您可以使用資料表頂端的標籤,根據成員帳戶狀態篩選清單。每個標籤都會顯示相符成員帳戶的數目。
+ 選擇**全部**以檢視所有成員帳戶。
+ 選擇**已啟用**以檢視狀態為**已啟用**的帳戶。
+ 選擇**未啟用**以檢視狀態為**已啟用**以外的帳戶。
您還可以將其他篩選條件添加到成員帳戶清單中。
**若要將篩選條件新增至行為圖表中的帳戶清單 (主控台)**
1. 選擇篩選條件方塊。
1. 選擇您要用於篩選清單的欄位:
1. 針對指定欄位,選擇要用於篩選的值。
1. 若要移除篩選條件,選擇右上角的 **x** 圖示。
1. 如需更新清單以包含最新狀態資訊,則請選擇右上角的重新整理圖示。
## 列出您的成員帳戶 (Detective API AWS CLI)
您可以使用 API 呼叫或 AWS Command Line Interface 檢視行為圖表中的成員帳戶清單。
若要取得行為圖表的 ARN 以供在請求中使用,請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。
**擷取成員帳戶的清單 (Detective API AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html) 操作。若要識別預期行為圖表,指定行為圖表 ARN。
請注意,針對組織行為圖表,[https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html) 不會傳回您未啟用為成員帳戶或與行為圖表解除關聯的組織帳戶。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/list-members.html) 命令。
```
aws detective list-members --graph-arn
```
範例:
```
aws detective list-members --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
**若要擷取行為圖表中特定成員帳戶的詳細資訊 (Detective API AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_GetMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_GetMembers.html) 操作。指定行為圖表標 ARN 和成員帳戶的帳戶識別符清單。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/get-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/get-members.html) 命令。
```
aws detective get-members --account-ids --graph-arn
```
範例:
```
aws detective get-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
# 以 Detective 成員帳戶管理組織帳戶
在組織行為圖表中,Detective 管理員帳戶會判斷要將哪些組織帳戶作為成員帳戶啟用。根據預設,新組織帳戶不會啟用為成員帳戶。他們的狀態為**非成員**。Detective 管理員可以將 Detective 設定自動將新組織帳戶作為成員帳戶在組織管理圖表中啟用。
Detective 管理員可以設定 Detective,以自動將新組織帳戶啟用為成員帳戶。當您選擇自動啟用組織帳戶時,Detective 會在將新帳戶新增到組織時開始將新帳戶作為成員帳戶啟用。Detective 不會啟用尚未啟用的現有組織帳戶。
如果您不想自動啟用新的組織帳戶,Detective 可以手動將組織帳戶啟用為成員帳戶。他們也可以手動啟用取消關聯的組織帳戶。如果組織行為圖表已啟用最多 1,200 個帳戶,Detective 管理員就無法將組織帳戶啟用為成員帳戶。在此情況下,組織帳戶狀態仍然為**非成員**。
Detective 管理員也可以取消組織帳戶與組織行為圖表的關聯。若要停止從組織行為圖表中的組織帳戶擷取資料,您可以取消與帳戶的關聯。該帳戶的現有資料會保留在行為圖表中。
**Topics**
+ [將新組織帳戶啟用為 Detective 成員帳戶](accounts-orgs-members-autoenable.md)
+ [將組織帳戶啟用為 Detective 成員帳戶](accounts-orgs-members-enable.md)
+ [將組織帳戶取消關聯為 Detective 成員帳戶](accounts-orgs-members-disassociate.md)
# 將新組織帳戶啟用為 Detective 成員帳戶
Detective 管理員可以將 Detective 設定自動將新組織帳戶作為成員帳戶在組織管理圖表中啟用。
將新帳戶新增至組織時,此類帳戶會新增至**帳戶管理**頁面上的清單中。針對組織帳戶,**類型**為**依組織**。
根據預設,新組織帳戶不會啟用為成員帳戶。他們的狀態為**非成員**。
當您選擇自動啟用組織帳戶時,Detective 會在將新帳戶新增到組織時開始將新帳戶作為成員帳戶啟用。Detective 不會啟用尚未啟用的現有組織帳戶。
Detective 只有在行為圖表的成員帳戶數目上限為 1,200 時,才能將組織帳戶啟用為成員帳戶。如果行為圖表已包含 1,200 個成員帳戶,則無法啟用新帳戶。
------
#### [ Console ]
在**帳戶管理**頁面上,**自動啟用新組織帳戶**設定可決定是否在帳戶新增至組織時自動啟用帳戶。
**要自動將新組織帳戶作為成員帳戶啟用**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 切換**自動啟用新組織帳戶**至開啟位置。
------
#### [ DetectiveAPI/AWS CLI ]
若要判斷是否要將新組織帳戶自動啟用為 Detective 成員帳戶,管理員帳戶可以使用 Detective API 或 AWS Command Line Interface。
若要檢視和管理組態,您必須提供行為圖表 ARN。若要取得 ARN,使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。
**若要檢視自動啟用組織帳戶的目前組態**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DescribeOrganizationConfiguration.html) 操作。
在回應中,如果自動啟用新組織帳戶,則 `AutoEnable` 為 `true`。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/describe-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/detective/describe-organization-configuration.html) 命令。
```
aws detective describe-organization-configuration --graph-arn
```
**範例**
```
aws detective describe-organization-configuration --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
**若要自動啟用新組織帳戶**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_UpdateOrganizationConfiguration.html) 操作。若要自動啟用新組織帳戶,則將 `AutoEnable` 設定為 `true`。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/detective/update-organization-configuration.html) 命令。
```
aws detective update-organization-configuration --graph-arn --auto-enable | --no-auto-enable
```
範例
```
aws detective update-organization-configuration --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --auto-enable
```
------
# 將組織帳戶啟用為 Detective 成員帳戶
如果您未自動啟用新組織帳戶,則可以手動啟用此類帳戶。您亦需手動啟用已解除關聯的帳戶。
## 決定是否可以啟用帳戶
如果組織行為圖表已啟用高達 1,200 個帳戶,則無法將組織帳戶作為成員帳戶啟用。在此情況下,組織帳戶狀態仍然為**非成員**。帳戶不會將資料提供至行為圖表。
一旦成員帳戶得以啟用,Detective 會自動將成員帳戶狀態變更為**已啟用**。例如,如果管理員帳戶移除其他成員帳戶以為帳戶騰出空間,成員帳戶狀態會變更為**已啟用**。
------
#### [ Console ]
在**帳戶管理**頁面中,您可以將組織帳戶作為成員帳戶啟用。
**若要將組織帳戶作為成員帳戶啟用**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 若要檢視目前未啟用的帳戶清單,選擇**未啟用**。
1. 您可以選取特定的組織帳戶,或啟用所有組織帳戶。
若要啟用已選取的組織帳戶:
1. 選取您要啟用的每個組織帳戶。
1. 選擇**啟用帳戶**。
若要啟用所有組織帳戶,選擇**啟用所有組織帳戶**。
------
#### [ Detective API/AWS CLI ]
您可以使用 Detective API 或 AWS Command Line Interface ,在組織行為圖表中將組織帳戶啟用為成員帳戶。若要取得行為圖表的 ARN 以供在請求中使用,請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。
**若要將組織帳戶作為成員帳戶啟用**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) 操作。您必須提供圖表 ARN。
針對每個帳戶,指定帳戶識別符。組織行為圖表中的組織帳戶不會收到邀請。您不需要提供電子郵件地址或其他邀請資訊。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/create-members.html) 命令。
```
aws detective create-members --accounts AccountId= --graph-arn
```
**範例**
```
aws detective create-members --accounts AccountId=444455556666 AccountId=123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
------
# 將組織帳戶取消關聯為 Detective 成員帳戶
若要停止從組織行為圖表中的組織帳戶擷取資料,您可以取消與帳戶的關聯。該帳戶的現有資料會保留在行為圖表中。
當您取消組織成員帳戶的關聯時,該帳戶的狀態會變更為**非成員**。Detective 不會再將該帳戶的資料擷取到您的行為圖表。此帳戶的現有資料會保留在行為圖表中,而帳戶會保留在清單中。
------
#### [ Console ]
在**帳戶管理**頁面中,您可以取消組織帳戶作為成員帳戶的關聯。取消組織帳戶作為成員帳戶的關聯 (主控台)
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 若要顯示已啟用帳戶的清單,選擇**啟用**。
1. 選取要取消關聯帳戶的核取方塊。
1. 選擇**動作**。然後選擇**停用帳戶**。
已解除關聯帳戶的帳戶狀態會變更為**非成員**。
------
#### [ Detective API/AWS CLI ]
若要取得行為圖表的 ARN 以供在請求中使用,請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。
**取消組織帳戶與組織行為圖表的關聯**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) 操作。指定圖表 ARN 和要取消關聯成員帳戶的帳戶識別符清單。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) 命令。
```
aws detective delete-members --account-ids --graph-arn
```
**範例**
```
aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
------
# 在 Detective 中管理受邀成員帳戶
Detective 管理員帳戶可以在其行為圖表中邀請帳戶成為成員帳戶。行為圖表最多可容納 1,200 個成員帳戶。當成員帳戶接受邀請並啟用時,Amazon Detective 就會開始擷取成員帳戶的資料,並將其擷取到該行為圖表中。
若要邀請個別帳戶,您可以手動指定要邀請的成員帳戶,將其資料貢獻至行為圖表。如果您想要新增成員帳戶清單,您可以選擇提供 .csv 檔案,其中包含要邀請加入行為圖表的成員帳戶清單。
對於組織行為圖表以外的行為圖表,所有成員帳戶都是受邀帳戶。Detective 管理員帳戶也可以邀請非組織帳戶的帳戶加入組織行為圖表。
在高層級中,邀請帳戶提供行為圖表的程序如下。
1. 對於每個要新增的成員帳戶,管理員帳戶會提供 AWS 帳戶識別符和根使用者電子郵件地址。
1. Detective 會驗證電子郵件地址是否為帳戶的根使用者電子郵件地址。如果帳戶資訊有效,Detective 會將邀請傳送至成員帳戶。
Detective 不會執行此驗證或傳送電子郵件邀請給這些區域中的成員帳戶:
+ AWS GovCloud (美國東部) 區域
+ AWS GovCloud (美國西部) 區域
對於其他區域,您可以使用 Detective API 的 `DisableEmailNotification` [CreateMembers](https://docs.aws.amazon.com//detective/latest/APIReference/API_CreateMembers.html) 操作。如果 `DisableEmailNotification` 設為 true,則 Detective 不會傳送邀請給成員帳戶。對於集中管理的帳戶,這是一個有用的設定。
1. 成員帳戶將接受或拒絕邀請。
即使管理員帳戶未發送邀請電子郵件,成員帳戶仍然必須回應邀請。
1. 成員帳戶接受邀請後,Detective 會開始將成員帳戶的資料擷取至行為圖表。
1. 一旦成員帳戶符合啟用資格,Detective 會自動將成員帳戶狀態變更為**已啟用**。
例如,如果管理員帳戶移除其他成員帳戶以為帳戶騰出空間,成員帳戶狀態會變更為**已啟用**。
如果超過一個帳戶**未啟用**,則 Detective 會以帳戶受邀順序啟用帳戶。檢查是否啟用任何**未啟用**帳戶的程序將每小時執行一次。
管理員帳戶也可以手動啟用帳戶,而不必等待自動程序。例如,管理員帳戶可能想要選取要啟用的帳戶。如需如何啟用成員帳戶的資訊,請參閱 [啟用未啟用的成員帳戶](graph-admin-unblock-account.md)。
請注意,Detective 在 2021 年 5 月 12 日開始自動啟用**未啟用**的帳戶。系統不會自動啟用之前**未啟用**的帳戶。管理員帳戶必須手動啟用此類帳戶。
管理員帳戶可以從行為圖表中移除受邀成員帳戶。Detective 不會從行為圖表中移除任何現有資料,而此類資料會跨成員帳戶彙總資料。
**Topics**
+ [邀請個別帳戶加入行為圖表](accounts-invited-members-add-individual.md)
+ [邀請成員帳戶清單至行為圖表](accounts-invited-members-add-csv.md)
+ [啟用未啟用的成員帳戶](graph-admin-unblock-account.md)
+ [從行為圖表移除成員帳戶](accounts-invited-remove.md)
# 邀請個別帳戶加入行為圖表
您可以手動指定要邀請的成員帳戶,以便將其資料提供至行為圖表。
------
#### [ Console ]
**使用 Detective 主控台手動選取要邀請的成員帳戶。**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 選擇**動作**。然後選擇**邀請帳戶**。
1. 在**新增帳戶**下,選擇**新增個別帳戶**。
1. 若要將成員帳戶新增至邀請清單,請執行以下步驟。
1. 選擇**新增帳戶**。
1. 針對**AWS 帳戶 ID**,輸入 AWS 帳戶 ID。
1. 針對**電子郵件**,輸入帳戶的根使用者電子郵件地址。
1. 若要從清單中移除帳戶,為該帳戶選擇**移除**帳戶。
1. 在**個人化邀請電子郵件**下,在邀請電子郵件中新增自訂內容。
例如,您可以使用該區域提供聯絡資訊。或者將其用於提醒成員帳戶,他們需要將必要的 IAM 政策附加到其使用者或角色,然後才能接受邀請。
1. **成員帳戶 IAM 政策**包含成員帳戶所需的 IAM 政策文本。電子郵件邀請函包含此政策文字。若要複製政策文本,選擇**複製**。
1. 選擇 **Invite** (邀請)。
------
#### [ Detective API/AWS CLI ]
您可以使用 Detective API 或 AWS Command Line Interface 來邀請成員帳戶將其資料貢獻至行為圖表。若要取得行為圖表的 ARN 以供在請求中使用,請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。
**邀請成員帳戶加入行為圖表 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) 操作。您必須提供圖表 ARN。針對每個帳戶,指定帳戶識別符和根使用者電子郵件地址。
若取消向成員帳戶發送邀請電子郵件,請設置 `DisableEmailNotification` 為 true。`DisableEmailNotification` 預設為 false。
如果您確實發送邀請電子郵件,則可以選擇提供自訂文本以新增至邀請電子郵件中。
+ **AWS CLI:**在命令列中執行 `create-members` 命令。
```
aws detective create-members --accounts AccountId=,EmailAddress= --graph-arn --message ""
```
**範例**
```
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."
```
要指示不發送邀請電子郵件到成員帳戶,則加入 `--disable-email-notification`。
```
aws detective create-members --accounts AccountId=,EmailAddress= --graph-arn --disable-email-notification
```
**範例**
```
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
```
------
# 邀請成員帳戶清單至行為圖表
在 Detective 主控台中,您可以提供包含待邀請加入至行為圖表的成員帳戶清單的 `.csv` 檔案。
系統會將檔案第一行做為標頭列。每個帳戶都會列在單獨的行上。每個成員帳戶項目都包含 AWS 帳戶 ID 和帳戶的根使用者電子郵件地址。
範例:
```
Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```
Detective 在處理檔案時,會忽略已受邀帳戶,除非該帳戶狀態為**驗證失敗**。該狀態表示為帳戶提供的電子郵件地址與帳戶的根使用者電子郵件地址不符。在這種情況下,Detective 會刪除原始邀請,然後再次嘗試驗證電子郵件地址並傳送邀請。
此選項還會提供範本,供您用於建立帳戶清單。
**從 .csv 清單邀請成員帳戶 (主控台)**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 選擇**動作**。然後選擇**邀請帳戶**。
1. 在**新增帳戶**下,選擇**從 .csv 新增**。
1. 若要下載要使用的範本檔案,請選擇**下載 .csv 範本**。
1. 若要選取包含帳戶清單的檔案,請選擇**選擇 .csv 檔案**。
1. 在**檢閱成員帳戶**下,確認 Detective 在檔案中找到的成員帳戶清單。
1. 在**個人化邀請電子郵件**下,在邀請電子郵件中新增自訂內容。
例如,您可以提供聯絡資訊,或提醒成員帳戶有關必要的 IAM 政策。
1. **成員帳戶 IAM 政策**包含成員帳戶所需的 IAM 政策文本。電子郵件邀請函包含此政策文字。若要複製政策文本,選擇**複製**。
1. 選擇 **Invite** (邀請)。
## 新增跨區域的成員帳戶清單
Detective 在 GitHub 中提供開放原始碼 Python 指令碼,可讓您執行下列動作:
+ 將指定的成員帳戶清單新增至跨區域特定清單的管理員帳戶行為圖表。
+ 如果管理員帳戶在區域中沒有行為圖表,則指令碼也會啟用 Detective,並在該區域中建立行為圖表。
+ 傳送邀請電子郵件到成員帳戶。
+ 自動接受成員帳戶的邀請。
如需如何設定和使用 GitHub 指令碼的相關資訊,請參閱 [使用 Detective Python 指令碼來管理帳戶](detective-github-scripts.md)。
# 啟用未啟用的成員帳戶
成員帳戶接受邀請後,Amazon Detective 會檢查成員帳戶的數量。行為圖表中成員帳戶的數目上限為 1,200。如果行為圖表已包含 1,200 個成員帳戶,則無法啟用新帳戶。如果 Detective 無法啟用成員帳戶,則會將成員帳戶狀態設定為**未啟用**。
**未啟用**的成員帳戶不會將資料提供至行為圖表。
Detective 會自動啟用帳戶,因為行為圖表可以容納帳戶。
您也可以嘗試手動啟用**未啟用**成員帳戶的成員帳戶。例如,您可以移除現有的成員帳戶以減少資料量。您可以嘗試啟用**未啟用**成員帳戶,不必等待啟用帳戶的自動程序。
------
#### [ Console ]
成員帳戶清單包括用於啟用**未啟用**的選取成員帳戶的選項。
**若要啟用未啟用的成員帳戶**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 在**我的成員帳戶**下,選取要啟用的每個成員帳戶的核取方塊。
您只能啟用狀態為**未啟用**的成員帳戶。
1. 選擇**啟用帳戶**。
Detective 會決定是否可以啟用成員帳戶。如果可以啟用成員帳戶,狀態會變更為**已啟用**。
------
#### [ Detective API/CLI ]
您可以使用 API 呼叫或 AWS Command Line Interface 來啟用**未啟用**的單一成員帳戶。若要取得行為圖表的 ARN 以供在請求中使用,請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。
**若要啟用未啟用的成員帳戶**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html) API 操作。您必須提供行為圖表 ARN。若要識別成員帳戶,請使用 AWS 帳戶識別符。
+ **AWS CLI:**執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html](https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html)命令。
```
start-monitoring-member --graph-arn --account-id
```
例如:
```
start-monitoring-member --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --account-id 444455556666
```
------
# 從行為圖表移除成員帳戶
管理員帳戶可以隨時從行為圖表中移除受邀的成員帳戶。
Detective 會自動移除終止於 的成員帳戶 AWS,但 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 區域除外。
從行為圖表中移除受邀成員帳戶時,會發生以下情況。
+ 成員帳戶已從**我的成員帳戶**中移除。
+ Amazon Detective 停止從已移除的帳戶擷取資料。
Detective 不會從行為圖表中移除任何現有資料,而此類資料會跨成員帳戶彙總資料。
------
#### [ Console ]
您可以使用 AWS 管理主控台 從行為圖表中移除受邀的成員帳戶。
**若要移除成員帳戶 (主控台)**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 在帳戶清單中,選取要移除成員帳戶的核取方塊。
您無法從清單中移除自己的帳戶。
1. 選擇**動作**。然後選擇**停用帳戶**。
------
#### [ Detective API/CLI ]
您可以使用 Detective API 或 AWS Command Line Interface 從行為圖表中移除受邀的成員帳戶。若要取得行為圖表的 ARN 以供在請求中使用,請使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 操作。
**從行為圖表中移除受邀的成員帳戶 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) 操作。指定圖表 ARN 和要移除成員帳戶的帳戶識別符清單。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) 命令。
```
aws detective delete-members --account-ids --graph-arn
```
範例:
```
aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
------
#### [ Python script ]
Detective 在 GitHub 中提供了開放原始指令碼。您可以是該指令碼,將指定的成員帳戶清單從跨區域特定清單的管理員帳戶行為圖表中移除。
如需如何設定和使用 GitHub 指令碼的相關資訊,請參閱 [使用 Detective Python 指令碼來管理帳戶](detective-github-scripts.md)。
------
# 針對成員帳戶:管理行為圖表邀請和成員資格
Amazon Detective 會針對每個成員帳戶所提供的每個行為圖表,收取擷取的資料費用。
透過**帳戶管理**頁面,成員帳戶可以查看其所屬行為圖表的管理員帳戶。
受邀加入行為圖表的成員帳戶可以檢視並回應其邀請。他們也可以將自己的帳戶從行為圖表中移除。
針對組織行為圖表,組織帳戶不會控制其帳戶是否為成員帳戶。Detective 管理員帳戶會選擇要作為成員帳戶啟用或停用的組織帳戶。
**Topics**
+ [成員帳戶所需的 IAM 政策](member-account-iam-policy.md)
+ [檢視行為圖表的邀請清單](member-view-graph-invitations.md)
+ [回應行為圖表邀請](member-invitation-response.md)
+ [從行為圖表中移除帳戶](member-remove-self-from-graph.md)
# 成員帳戶所需的 IAM 政策
成員帳戶必須先將必要 IAM 政策附加到其主體上,才能檢視和管理邀請。主體可以是現有使用者或角色,您也可以建立新使用者或角色以供 Detective 使用。
理想情況下,管理員帳戶會讓其 IAM 管理員附加必要政策。
成員帳戶 IAM 政策授予成員帳戶在 Amazon Detective 中的存取動作。提供行為圖表的電子郵件邀請包含該 IAM 政策的文本。
若要使用此政策,請以圖表 ARN 取代 ``。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:DisassociateMembership",
"detective:RejectInvitation"
],
"Resource": "arn:aws:detective:us-east-1:123456789012:graph/*"
},
{
"Effect":"Allow",
"Action":[
"detective:BatchGetMembershipDatasources",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations"
],
"Resource":"*"
}
]
}
```
------
請注意,組織行為圖表中的組織帳戶不會收到邀請,也無法取消其帳戶與組織行為圖表的關聯。如果它們不屬於其他行為圖表,則只需要 `ListInvitations` 許可即可。透過 `ListInvitations`,使用者可以查看行為圖表的管理員帳戶。管理邀請和取消成員資格的許可僅適用於透過邀請的成員資格。
# 檢視行為圖表的邀請清單
從 Amazon Detective 主控台、Detective API 或 AWS Command Line Interface成員帳戶可以看到其行為圖表邀請。
## 檢視行為圖表邀請 (主控台)
您可以從 檢視行為圖表邀請 AWS 管理主控台。
**若要檢視行為圖表邀請 (主控台)**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
在**帳戶管理**頁面上,**我的管理員帳戶**包含您在當前區域中開啟和已接受的行為圖表邀請。針對組織帳戶,**我的管理員帳戶**也包含組織行為圖表。
如果您的帳戶目前處於免費試用期,頁面也會顯示免費試用的剩餘天數。
清單中不包含您拒絕的邀請、您放棄的成員資格或是管理員帳戶移除的成員資格。
每個邀請都會顯示管理員帳戶、接受邀請的日期以及邀請的目前狀態。
+ 針對您尚未回應的邀請,狀態為**已邀請**。
+ 針對您接受的邀請,狀態為**已啟用**或**未啟用**。
如果狀態為**已啟用**,則您的帳戶會將資料提供至行為圖表。
如果狀態為**未啟用**,則您的帳戶不會將資料提供至行為圖表。
在 Detective 檢查您是否已啟用 GuardDuty,以及您的帳戶是否因此導致行為圖表的資料量超出 Detective 的配額上限時,您的帳戶狀態會初始設為**未啟用**。
如果您的帳戶不會造成行為圖表超出配額,則 Detective 會將您的帳戶狀態更新為**已啟用**。否則,狀態會保持為**未啟用**。
當行為圖表能夠容納您帳戶的資料量時,Detective 會自動將其更新為**已啟用**。例如,管理員帳戶可能會移除其他成員帳戶,以便啟用您的帳戶。管理員帳戶也可以手動啟用您的帳戶。
## 檢視行為圖表邀請 (Detective API) AWS CLI
您可以從 Detective API 或 AWS Command Line Interface列出行為圖表邀請。
**擷取行為圖表的開啟和接受邀請清單 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListInvitations.html) 操作。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/detective/list-invitations.html) 命令。
```
aws detective list-invitations
```
# 回應行為圖表邀請
在您接受邀請後,Detective 會檢查成員帳戶的數量。行為圖表中成員帳戶的數目上限為 1,200。如果行為圖表已包含 1,200 個成員帳戶,則無法啟用新帳戶。
接受邀請後,Detective 會在您的帳戶中啟用。Detective 會檢查您的資料磁碟區是否在 Detective 配額內。流入行為圖表的資料量必須小於 Detective 允許的最大值。如果目前擷取的磁碟區超過每天 10 TB 的限制,您無法新增更多帳戶,且 Detective 會停用進一步的資料擷取。Detective 主控台會顯示通知,指出資料磁碟區太大且狀態保持**未啟用**。
如果您拒絕邀請,則該邀請會從邀請清單中移除,且 Detective 不會在行為圖表中使用您的帳戶資料。
## 回應行為圖表邀請 (主控台)
您可以使用 AWS 管理主控台 來回應電子郵件邀請,其中包含 Detective 主控台的連結。您只能回應狀態為**已邀請**的邀請。
**若要回應行為圖表邀請 (主控台)**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 在**我的管理員帳戶**下,若要接受邀請並開始向行為圖表貢獻資料,選擇**接受邀請**。
若要拒絕邀請並將其從清單中移除,選擇**拒絕**。
## 回應行為圖表邀請 (Detective API) AWS CLI
您可以從 Detective API 或 AWS Command Line Interface回應行為圖表邀請。
**接受行為圖表邀請 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_AcceptInvitation.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_AcceptInvitation.html) 操作。您必須指定圖表 ARN。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/accept-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/detective/accept-invitation.html) 命令。
```
aws detective accept-invitation --graph-arn
```
範例:
```
aws detective accept-invitation --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
**拒絕行為圖表邀請 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_RejectInvitation.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_RejectInvitation.html) 操作。您必須指定圖表 ARN。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/reject-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/detective/reject-invitation.html) 命令。
```
aws detective reject-invitation --graph-arn
```
範例:
```
aws detective reject-invitation --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
# 從行為圖表中移除帳戶
接受邀請後,您可以隨時從行為圖表中移除帳戶。當您從行為圖表中移除帳戶時,Amazon Detective 會停止將您帳戶中的資料擷取至行為圖表中。現有資料會保留在行為圖表中。
只有受邀帳戶可以從行為圖表中移除其帳戶。組織帳戶無法從組織行為圖表中移除其帳戶。
## 從行為圖表中移除您的帳戶 (主控台)
您可以使用 從行為圖表 AWS 管理主控台 中移除您的帳戶。
**若要從行為圖表 (主控台) 移除帳戶**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**帳戶管理**。
1. 在**我的管理員帳戶**下,針對您要放棄的行為圖表,選擇**放棄**。
## 從行為圖表中移除您的帳戶 (Detective API) AWS CLI
您可以使用 Detective API 或 從行為圖表 AWS Command Line Interface 中移除您的帳戶。
**從行為圖表中移除您的帳戶 (Detective API) AWS CLI**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisassociateMembership.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisassociateMembership.html) 操作。您必須指定圖表 ARN。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/disassociate-membership.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disassociate-membership.html) 命令。
```
aws detective disassociate-membership --graph-arn
```
範例:
```
aws detective disassociate-membership --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
# 帳戶動作對行為圖表的影響
此類動作對 Amazon Detective 資料和存取有以下影響。
## Detective 遭到停用
當管理員帳戶停用 Detective 時,會發生以下情況:
+ 行為圖表遭到移除。
+ Detective 會停止從管理員帳戶及該行為圖表的成員帳戶擷取資料。
## 成員帳戶遭到從行為圖表中移除
從行為圖表中移除成員帳戶時,Detective 會停止從該帳戶擷取資料。
行為圖表中的現有資料不會受到影響。
對於受邀帳戶,該帳戶會從**我的成員帳戶**清單中移除。
對於組織行為圖表中的組織帳戶,帳戶狀態會變更為**非成員**。
## 成員帳戶離開組織
當成員帳戶離開組織時,會發生以下情況:
+ 該帳戶會從組織行為圖表的**我的成員帳戶**清單中移除。
+ Detective 停止從該帳戶中擷取資料。
行為圖表中的現有資料不會受到影響。
## AWS 帳戶已暫停
當管理員帳戶暫停時 AWS,帳戶會失去在 Detective 中檢視行為圖表的許可。Detective 停止將資料擷取至行為圖表中。
當成員帳戶暫停時 AWS,Detective 會停止擷取該帳戶的資料。
90 天後,帳戶將被終止或重新激活。當管理員帳戶重新啟用時,系統會還原其 Detective 許可。Detective 會恢復從帳戶擷取資料。重新啟用成員帳戶後,Detective 會繼續從該帳戶擷取資料。
## AWS 帳戶已關閉
當 AWS 帳戶關閉時,Detective 會回應關閉,如下所示。
+ 針對管理員帳戶,Detective 會刪除行為圖表。
+ 針對成員帳戶,Detective 會從行為圖表中移除該帳戶。
AWS 從管理員帳戶關閉的生效日期起, 會保留帳戶的政策資料 90 天。在 90 天期間結束時, 會 AWS 永久刪除帳戶的所有政策資料。
+ 若要保留問題清單超過 90 天,您可以封存政策。您也可以將自訂動作與 EventBridge 規則搭配使用,將問題清單存放在 S3 儲存貯體中。
+ 只要 AWS 保留政策資料,當您重新開啟已關閉的帳戶時, 會將該帳戶 AWS 重新指派為服務管理員,並復原該帳戶的服務政策資料。
+ 如需詳細資訊,請參閱[關閉帳戶](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)。
**重要**
對於 AWS GovCloud (US) 區域中的客戶:
在關閉帳戶前,請先備份帳戶資源,然後刪除。在您關閉帳戶後,您將沒有存取這些的權限。
# 使用 Detective Python 指令碼來管理帳戶
Amazon Detective 在 GitHub 儲存庫 ([amazon-detective-multiaccount-scripts](https://github.com/aws-samples/amazon-detective-multiaccount-scripts)) 中提供了一組開放原始 Python 指令碼。此類指令碼需要 Python 3。
您可透過下屬操作執行以下任務:
+ 為跨區域的管理員帳戶啟用 Detective。
啟用 Detective 後,您可以將標籤指派給行為圖表。
+ 將成員帳戶新增至管理員帳戶的跨區域行為圖表。
+ 可以選擇向成員帳戶發送邀請電子郵件。您還可以將請求設定為不發送邀請電子郵件。
+ 將成員帳戶從管理員帳戶的跨區域行為圖表中移除。
+ 為跨區域的管理員帳戶停用 Detective。當管理員帳戶停用 Detective 時,系統會停用每個區域中的管理員帳戶行為圖表。
## `enableDetective.py` 指令碼概觀
`enableDetective.py` 指令碼會執行以下操作:
1. 如果管理員帳戶尚未在該區域中啟用 Detective,則為每個指定區域中的管理員帳戶啟用 Detective。
當您使用指令碼啟用 Detective 後,您可以將標籤指派給行為圖表。
1. 可以選擇將管理員帳戶發送的要求傳送至各行為圖表的指定成員帳戶。
邀請電子郵件訊息會使用預設訊息內容,且無法自訂。
您還可以將請求設定為不發送邀請電子郵件。
1. 自動接受成員帳戶的邀請。
由於指令碼會自動接受邀請,因此成員帳戶可以忽略此類訊息。
我們建議您直接與成員帳戶聯絡,通知他們邀請已自動接受。
## `disableDetective.py` 指令碼概觀
`disableDetective.py` 指令碼會從指定區域的管理員帳戶行為圖表中刪除指定的成員帳戶。
它還提供了一個選項,以在跨指定區域中停用管理員帳戶的 Detective。
## 指令碼的必要許可
指令碼需要管理員帳戶中的預先存在 AWS 角色,以及您新增或移除的所有成員帳戶中的預先存在角色。
**注意**
所有帳戶中的角色名稱必須相同。
IAM 政策[建議的最佳實務](https://docs.aws.amazon.com/detective/latest/userguide/security_iam_id-based-policy-examples.html#security_iam_service-with-iam-policy-best-practices)是使用最小範圍的角色。若要執行指令碼的[建立圖表](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html)、[建立成員](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html)以及[將成員新增至圖表](https://docs.aws.amazon.com/detective/latest/APIReference/API_AcceptInvitation.html)的工作流程,必要的許可如下:
+ detective:CreateGraph
+ detective:CreateMembers
+ detective:DeleteGraph
+ detective:DeleteMembers
+ detective:ListGraphs
+ detective:ListMembers
+ detective:AcceptInvitation
**角色信任關係**
角色信任關係必須允許您的執行個體或本機憑證擔任該角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/john_doe"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
如果您沒有包含必要許可的共同角色,則必須在每個成員帳戶中建立至少具有此類許可的角色。您還需在管理員帳戶中建立角色。
在您建立角色後,請確認執行以下操作:
+ 在每個帳戶中使用相同的角色名稱。
+ 在上方新增必要的許可 (建議) 或選取 [AmazonDetectiveFullAccess](https://docs.aws.amazon.com/detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess) 受管政策。
+ 如上所述,新增角色信任關係區塊。
若要自動化此程序,您可以使用 `EnableDetective.yaml` CloudFormation 範本。由於範本只會建立全域資源,因此可以在任何區域中執行。
## 為 Python 指令碼設置執行環境
您可以從 EC2 執行個體或本機電腦執行指令碼。
### 啟動和設定 EC2 執行個體
執行指令碼的一個選項是透過 EC2 執行個體進行執行。
**若要啟動和設定 EC2 執行個體**
1. 在管理員帳戶中啟動 EC2 執行個體。如需如何啟動 EC2 執行個體的詳細資訊,請參閱《[Amazon EC2 使用者指南》中的 Amazon EC2 Linux 執行個體入門](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html)。 *Amazon EC2 *
1. 將 IAM 角色附加至執行個體,該角色具有允許執行個體在管理員帳戶中呼叫 `AssumeRole` 的許可。
如果您使用 `EnableDetective.yaml` CloudFormation 範本,則會`EnableDetective`建立具有名為 設定檔的執行個體角色。
否則,如需建立執行個體角色的相關資訊,請參閱部落格文章[使用 EC2 主控台輕鬆取代或連接 IAM 角色至現有 EC2 執行個體](https://aws.amazon.com/blogs//security/easily-replace-or-attach-an-iam-role-to-an-existing-ec2-instance-by-using-the-ec2-console/)。
1. 安裝所需的軟體:
+ **APT:**`sudo apt-get -y install python3-pip python3 git`
+ **RPM:**`sudo yum -y install python3-pip python3 git`
+ **Boto (最低版本 1.15):**`sudo pip install boto3`
1. 將儲存庫複製到 EC2 執行個體。
```
git clone https://github.com/aws-samples/amazon-detective-multiaccount-scripts.git
```
### 設定本機電腦以執行指令碼
您也可以從本機電腦中執行指令碼。
**設定本機電腦以執行指令碼**
1. 請確定您已針對具有呼叫 `AssumeRole` 許可的管理員帳戶設定本機電腦憑證。
1. 安裝所需的軟體:
+ Python 3
+ Boto (最低版本 1.15)
+ GitHub 指令碼
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/detective-github-scripts.html)
## 建立要新增或移除的成員帳戶 `.csv` 清單
若要識別要新增至行為圖表或從行為圖表中移除的成員帳戶,您需要提供包含帳戶清單的 `.csv` 檔案。
在單獨的行上列出各個帳戶。每個成員帳戶項目都包含 AWS 帳戶 ID 和帳戶的根使用者電子郵件地址。
請參閱下列範例:
```
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```
## 執行 `enableDetective.py`
您可以從 EC2 `enableDetective.py` 執行個體或本機電腦執行指令碼。
**請執行 `enableDetective.py`。**
1. 將 `.csv` 檔案複製到 EC2 執行個體或本機電腦上的 `amazon-detective-multiaccount-scripts` 目錄。
1. 切換至 `amazon-detective-multiaccount-scripts` 目錄。
1. 執行 `enableDetective.py` 指令碼。
```
enableDetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --tags tagValueList --enabled_regions regionList --disable_email
```
執行指令碼時,請取代以下值:
`administratorAccountID`
管理員 AWS 帳戶的帳戶 ID。
`roleName`
要在管理員帳戶和每個成員帳戶中擔任 AWS 的角色名稱。
`inputFileName`
包含要新增至管理員帳戶行為圖表的成員帳戶清單的 `.csv` 檔案名稱。
`tagValueList`
(選用) 要指派給新行為圖表的標籤值清單 (以逗號分隔)。
針對每個標籤值,格式為 `key=value`。例如:
```
--tags Department=Finance,Geo=Americas
```
`regionList`
(選用) 以逗號分隔的區域清單,可在其中將成員帳戶新增至管理員帳戶的行為圖表。例如:
```
--enabled_regions us-east-1,us-east-2,us-west-2
```
管理員帳戶可能尚未在區域中啟用 Detective。在這種情況下,指令碼會啟用 Detective,並為管理員帳戶建立新行為圖表。
如果您未提供區域清單,則指令碼會在 Detective 支援的所有區域中運作。
`--disable_email`
(選用) 如果包含,則 Detective 不會向成員帳戶發送邀請電子郵件。
## 執行 `disableDetective.py`
您可以從 EC2 `disableDetective.py` 執行個體或本機電腦執行指令碼。
**請執行 `disableDetective.py`。**
1. 將 `.csv` 檔案複製至 `amazon-detective-multiaccount-scripts` 目錄。
1. 若要在指定的區域清單中使用 `.csv` 檔案以從管理員帳戶的行為圖表中刪除列出的成員帳戶,請執行 `disableDetective.py` 指令碼,如下所示:
```
disabledetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --disabled_regions regionList
```
1. 若要在所有區域中停用管理員帳戶的 Detective,請執行標有 `--delete-master` 標記的 `disableDetective.py` 指令碼。
```
disabledetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --disabled_regions regionList --delete_master
```
執行指令碼時,請取代以下值:
`administratorAccountID`
管理員 AWS 帳戶的帳戶 ID。
`roleName`
要在管理員帳戶和每個成員帳戶中擔任 AWS 的角色名稱。
`inputFileName`
包含要從管理員帳戶行為圖表移除的成員帳戶清單的 `.csv` 檔案名稱。
即使您停用 Detective,也必須提供 `.csv` 檔案。
`regionList`
(選用) 要執行以下其中一項動操作的區域清單 (以逗號分隔):
+ 從管理員帳戶的行為圖表中移除成員帳戶。
+ 如果包含 `--delete-master` 標記,請停用 Detective。
例如:
```
--disabled_regions us-east-1,us-east-2,us-west-2
```
如果您未提供區域清單,則指令碼會在 Detective 支援的所有區域中運作。