本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 變更委派的 GuardDuty 管理員帳戶
<a name="change-guardduty-delegated-admin"></a>

您可以在每個區域中移除組織的委派 GuardDuty 管理員帳戶，然後在每個區域中委派新的管理員。若要維持組織成員帳戶在區域中的安全狀態，您必須在該區域中擁有委派的 GuardDuty 管理員帳戶。

**注意**  
移除委派的 GuardDuty 管理員帳戶之前，您必須取消與委派的 GuardDuty 管理員帳戶相關聯的所有成員帳戶關聯，然後從 GuardDuty 組織刪除這些帳戶。如需這些步驟的詳細資訊，請參閱下列文件：  
[取消 （移除） 成員帳戶與管理員帳戶的關聯](disassociate-remove-member-account-from-admin.md)
[從 GuardDuty 組織刪除成員帳戶](delete-member-accounts-guardduty-organization.md)

## 移除現有的委派 GuardDuty 管理員帳戶
<a name="remove-existing-guardduty-delegated-admin"></a>

**步驟 1 - 移除每個區域中現有的委派 GuardDuty 管理員帳戶**

1. 作為現有的委派 GuardDuty 管理員帳戶，請列出與您的管理員帳戶相關聯的所有成員帳戶。[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) 使用 執行 `OnlyAssociated=false`。

1. 如果 GuardDuty 或任何選用保護計畫的自動啟用偏好設定設為 `ALL`，則執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) 將組織組態更新為 `NEW`或 `NONE`。當您在下一個步驟取消所有成員帳戶的關聯時，此動作將防止發生錯誤。

1. 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) 以取消與管理員帳戶相關聯的所有成員帳戶關聯。

1. 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)以刪除管理員帳戶與成員帳戶之間的關聯。

1. 作為組織管理帳戶，請執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html) 以移除現有的委派 GuardDuty 管理員帳戶。

1. 在您擁有此委派 GuardDuty 管理員帳戶的每個 AWS 區域 中重複這些步驟。

**步驟 2 - 在 AWS Organizations （一次性全域動作） 中取消註冊現有的委派 GuardDuty 管理員帳戶**
+ 在 *AWS Organizations API 參考*中執行 [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)，以取消註冊現有的委派 GuardDuty 管理員帳戶 AWS Organizations。

  或者，您可以執行下列 AWS CLI 命令：

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  請務必將 *111122223333* 取代為現有的委派 GuardDuty 管理員帳戶。

  取消註冊舊的委派 GuardDuty 管理員帳戶後，您可以將其新增為新的委派 GuardDuty 管理員帳戶的成員帳戶。

## 在每個區域中指定新的委派 GuardDuty 管理員帳戶
<a name="designate-new-guardduty-delegated-admin"></a>

1. 使用您偏好的存取方法 - GuardDuty 主控台或 API 或 ，在每個區域中指定新的委派 GuardDuty 管理員帳戶 AWS CLI。如需詳細資訊，請參閱[指定委派的 GuardDuty 管理員帳戶](delegated-admin-designate.md)。

1. 執行 [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html) 以檢視組織的目前自動啟用組態。
**重要**  
將任何成員新增至新的委派 GuardDuty 管理員帳戶之前，您必須驗證組織的自動啟用組態。此組態專屬於新的委派 GuardDuty 管理員帳戶和選取的區域，並且與 無關 AWS Organizations。當您在新的委派 GuardDuty 管理員帳戶下新增 （新的或現有的） 組織成員帳戶時，新委派 GuardDuty 管理員帳戶的自動啟用組態將在啟用 GuardDuty 或其任何選用保護計劃時套用。

   使用您偏好的存取方法 - GuardDuty 主控台或 API 或 ，變更新委派 GuardDuty 管理員帳戶的組織組態 AWS CLI。如需詳細資訊，請參閱[設定組織自動啟用偏好設定](set-guardduty-auto-enable-preferences.md)。