本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 應邀管理 GuardDuty 帳戶
若要管理組織外部的帳戶,您可以使用傳統邀請方法。使用此方法時,在另一個帳戶接受您的邀請成為成員帳戶後,您的帳戶便會指定為管理員帳戶。
**注意**
GuardDuty 建議使用 AWS Organizations 而非 GuardDuty 邀請來管理您的成員帳戶。如需詳細資訊,請參閱[透過 AWS Organizations管理帳戶](guardduty_organizations.md)。
如果您的帳戶不是管理員帳戶,您可以接受來自另一個帳戶的邀請。當您接受時,您的帳戶會成為成員帳戶。 AWS 帳戶不能同時是 GuardDuty 管理員帳戶和成員帳戶。
當您接受來自某個帳戶的邀請時,您無法接受來自另一個帳戶的邀請。若要接受來自另一個帳戶的邀請,您必須先取消帳戶與現有管理員帳戶的關聯。或者,管理員帳戶也可以取消關聯並從其組織中移除您的帳戶。
邀請相關聯的帳戶與 相關聯的帳戶具有類似的整體管理員account-to-member關係 AWS Organizations,如中所述[了解 GuardDuty 管理員帳戶與成員帳戶之間的關係](administrator_member_relationships.md)。不過,邀請管理員帳戶使用者無法代表相關聯的成員帳戶啟用 GuardDuty,也無法檢視其 AWS Organizations 組織內的其他非成員帳戶。
**重要**
GuardDuty 使用此方法建立成員帳戶時,可能會發生跨區域資料傳輸。為驗證成員帳戶的電子郵件地址,GuardDuty 會使用僅在美國東部 (維吉尼亞北部) 區域中運作的電子郵件驗證服務。
**Topics**
+ [依邀請新增帳戶](guardduty_become_console.md)
+ [在單一組織下合併 GuardDuty 管理員帳戶](consolidate-orgs.md)
# 依邀請新增帳戶
身為已啟用 GuardDuty 的管理員帳戶,您可以新增成員以開始使用 GuardDuty。新增成員後,您可以邀請他們加入 GuardDuty,他們可以選擇回應您的邀請。
**注意**
GuardDuty 建議使用 AWS Organizations 而非 GuardDuty 邀請來管理您的成員帳戶。如需詳細資訊,請參閱[透過 AWS Organizations管理帳戶](guardduty_organizations.md)。
選擇偏好的存取方法,將 GuardDuty 成員帳戶新增為 GuardDuty 管理員帳戶。
------
#### [ Console ]
**步驟 1:新增帳戶**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**帳戶**。
1. 選擇頂端窗格中的**透過邀請新增帳戶**。
1. 在**新增成員帳戶**頁面上,於**輸入帳戶詳細資訊**下方輸入您要新增與帳戶關聯的 AWS 帳戶 ID 和電子郵件地址。
1. 若要新增其他資料列以一次輸入帳戶詳細資訊,請選擇**新增其他帳戶**。您也可以選擇**上傳包含帳戶詳細資訊的 .csv 檔案**以大量新增帳戶。
**重要**
您的 csv 檔案第一行應包含標頭,如以下範例所示:`Account ID,Email`。每一行後續都必須包含單一有效 AWS 帳戶 ID 及其相關聯的電子郵件地址。僅包含一個 AWS 帳戶 ID 和相關聯的電子郵件地址 (以逗號分隔) 的資料列格式才有效。
```
Account ID,Email
555555555555,user@example.com
```
1. 新增所有帳戶的詳細資訊後,請選擇**下一步**。您可以在「帳戶」表格中檢視新增的帳戶。這些帳戶的**狀態**將為**未傳送邀請**。如需有關傳送邀請至一個或多個新增帳戶的資訊,請參閱[Step 2 - Invite an account](#guardduty_invite_member_proc)。
**步驟 2:邀請帳戶**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**帳戶**。
1. 選取一個或多個您想要邀請至 Amazon GuardDuty 的帳戶。
1. 選擇**動作**下拉式選單,然後選擇**邀請**。
1. 在**邀請至 GuardDuty**對話方塊中,輸入 (選用) 邀請訊息。
如果受邀帳戶無法存取電子郵件,請選取核取方塊 **同時傳送電子郵件通知給受邀者的 上的根使用者, AWS 帳戶 並在受邀者的 中產生提醒 AWS Health 儀板表**。
1. 選擇**傳送邀請**。如果受邀者可存取指定的電子郵件地址,他們可以在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台來檢視邀請。
1. 當受邀者接受邀請時,**狀態**資料欄中的值會變更為**已受邀**。如需有關接受邀請的資訊,請參閱[Step 3 - Accept an invitation](#guardduty_accept_invite_proc)。
**步驟 3:接受邀請**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
**重要**
您必須先啟用 GuardDuty,才能檢視或接受成員資格邀請。
1. 只有在尚未啟用 GuardDuty 時才執行下列動作;否則,您可以略過此步驟並繼續下一個步驟。
如果您尚未啟用 GuardDuty,請在 Amazon GuardDuty 頁面上選擇**開始使用**。
在**歡迎使用 GuardDuty** 頁面上,選擇 **啟用 GuardDuty**。
1. 為您的帳戶啟用 GuardDuty 後,請使用下列步驟接受成員資格邀請:
1. 在導覽窗格中,選擇**設定**。
1. 選擇**帳戶**。
1. 在**帳戶**上,務必驗證您接受邀請之帳戶所有者的身分。開啟**接受**以接受成員資格邀請。
1. 在您接受邀請後,您的帳戶便會成為 GuardDuty 成員帳戶。傳送邀請的所有者帳戶會成為 GuardDuty 管理員帳戶。管理員帳戶將知道您已接受邀請。其 GuardDuty 帳戶中的**帳戶**表格將會更新。與您的成員帳戶 ID 對應的**狀態**欄中的值將變更為**已啟用**。管理員帳戶所有者現在可以代表您的帳戶檢視和管理 GuardDuty 和保護計畫組態。管理員帳戶還可以檢視和管理為您的成員帳戶產生的 GuardDuty 調查結果。
------
#### [ API/CLI ]
您可以指定 GuardDuty 管理員帳戶,並透過 API 操作邀請來建立或新增 GuardDuty 成員帳戶。執行下列 GuardDuty API 操作,以在 GuardDuty 中指定管理員帳戶和成員帳戶。
使用您要指定為 GuardDuty 管理員帳戶的 AWS 帳戶 憑證完成下列程序。
**建立或新增成員帳戶**
1. 使用已啟用 GuardDuty 之 AWS 帳戶的登入資料執行 [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) API 操作。這是您想要成為管理員帳戶 GuardDuty 帳戶的帳戶。
您必須指定目前 AWS 帳戶的偵測器 ID,以及您要成為 GuardDuty 成員的帳戶 ID 和電子郵件地址。您可以使用此 API 操作建立一個或多個成員。
您也可以執行下列 CLI 命令,使用 AWS 命令列工具來指定管理員帳戶。請務必使用您自己的有效偵測器 ID、帳戶 ID 和電子郵件。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
```
1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html) 使用已啟用 GuardDuty 之 AWS 帳戶的登入資料來執行 。這是您想要成為管理員帳戶 GuardDuty 帳戶的帳戶。
您必須指定目前 AWS 帳戶的偵測器 ID,以及您要成為 GuardDuty 成員的帳戶 IDs。您可以使用此 API 操作邀請一個或多個成員。
**注意**
您也可以透過使用 `message` 請求參數指定選用的邀請訊息。
您也可以執行下列命令 AWS Command Line Interface ,使用 來指定成員帳戶。請務必為您要邀請的帳戶使用自己的有效偵測器 ID 和有效的帳戶 ID。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
```
**接受邀請**
使用您要指定為 GuardDuty 成員帳戶的每個 AWS 帳戶的憑證完成下列程序。
1. 為每個受邀成為 GuardDuty 成員帳戶且您想要接受邀請 AWS 的帳戶執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html) API 操作。
您必須指定是否要使用 GuardDuty 服務啟用偵測器資源。必須建立和啟用偵測器,GuardDuty 才能運作。您必須先啟用 GuardDuty 再接受邀請。
您也可以使用 AWS 命令列工具,使用以下 CLI 命令來執行此操作。
```
aws guardduty create-detector --enable
```
1. 使用 AWS 帳戶登入資料,針對您想要接受成員資格邀請的每個帳戶執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html) API 操作。
您必須為成員帳戶指定此 AWS 帳戶的偵測器 ID、傳送邀請之管理員帳戶的帳戶 ID,以及您接受之邀請的邀請 ID。您可以在邀請電子郵件中或使用 API 的 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html) 操作來尋找管理員帳戶的帳戶 ID。
您也可以執行下列 CLI 命令,使用 AWS 命令列工具接受邀請。請務必使用有效的偵測器 ID、管理員帳戶 ID 和邀請 ID。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
```
------
# 在單一組織下合併 GuardDuty 管理員帳戶
GuardDuty 建議透過 使用關聯 AWS Organizations 來管理委派 GuardDuty 管理員帳戶下的成員帳戶。您可以使用以下概述的範例程序,在單一 GuardDuty 委派 GuardDuty 管理員帳戶下,合併組織中邀請相關聯的管理員帳戶和成員。
**注意**
GuardDuty 建議使用 AWS Organizations 而非 GuardDuty 邀請來管理您的成員帳戶。如需詳細資訊,請參閱[透過 AWS Organizations管理帳戶](guardduty_organizations.md)。
已由委派 GuardDuty 管理員帳戶管理的帳戶,或與委派 GuardDuty 管理員帳戶相關聯的作用中成員帳戶,無法新增至不同的委派 GuardDuty 管理員帳戶。每個組織在每個區域只能有一個委派的 GuardDuty 管理員帳戶,而且每個成員帳戶只能有一個委派的 GuardDuty 管理員帳戶。
選擇偏好的存取方法,將 GuardDuty 管理員帳戶合併在單一委派的 GuardDuty 管理員帳戶下。
------
#### [ Console ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
若要登入,請使用組織管理帳戶的憑證。
1. 您要管理 GuardDuty 的所有帳戶都必須屬於組織。如需將 帳戶新增至組織的資訊,請參閱[邀請 AWS 帳戶 加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
1. 確定所有成員帳戶都與您要指定為單一委派 GuardDuty 管理員帳戶的帳戶相關聯。取消仍與預先存在的管理員帳戶相關聯的任何成員帳戶的關聯。
下列步驟可協助您取消成員帳戶與預先存在的管理員帳戶之間的關聯:
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 若要登入,請使用預先存在的管理員帳戶的憑證。
1. 在導覽窗格中,選擇**帳戶**。
1. 在**帳戶**頁面上,選取一個或多個您要取消與管理員帳戶關聯的帳戶。
1. 選擇**動作**,然後選擇**取消帳戶關聯**。
1. 選擇**確認**以完成該步驟。
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
若要登入,請使用管理帳戶憑證。
1. 在導覽窗格中,選擇**設定**。在**設定**頁面上,指定組織的委派 GuardDuty 管理員帳戶。
1. 登入指定的委派 GuardDuty 管理員帳戶。
1. 從組織新增成員。如需詳細資訊,請參閱[使用 管理 GuardDuty 帳戶 AWS Organizations](guardduty_organizations.md)。
------
#### [ API/CLI ]
1. 您要管理 GuardDuty 的所有帳戶都必須屬於組織。如需將 帳戶新增至組織的資訊,請參閱[邀請 AWS 帳戶 加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
1. 確定所有成員帳戶都與您要指定為單一委派 GuardDuty 管理員帳戶的帳戶相關聯。
1. 執行 [DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) 以取消仍與預先存在的管理員帳戶相關聯之任何成員帳戶的關聯。
1. 或者,您可以使用 AWS Command Line Interface 執行下列命令,並將 *777777777777* 取代為您要與成員帳戶取消關聯的現有管理員帳戶的偵測器 ID。將 *666666666666* 取代為您要取消關聯的成員帳戶 AWS 帳戶 ID。
```
aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666
```
1. 執行 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html),將 委派 AWS 帳戶 為委派的 GuardDuty 管理員帳戶。
或者,您可以使用 AWS Command Line Interface 執行下列命令來委派委派的 GuardDuty 管理員帳戶:
```
aws guardduty enable-organization-admin-account --admin-account-id 777777777777
```
1. 從組織新增成員。如需詳細資訊,請參閱[Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api)。
------
**重要**
為了最大限度地提高區域服務 GuardDuty 的有效性,我們建議您指定委派的 GuardDuty 管理員帳戶,並在每個區域中新增所有成員帳戶。