本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 管理 GuardDuty 帳戶 AWS Organizations
<a name="guardduty_organizations"></a>

在 AWS 組織中，管理帳戶可以將此組織中的任何帳戶指定為委派的 GuardDuty 管理員帳戶。對於此管理員帳戶，GuardDuty 只會在目前的 中自動啟用 AWS 區域。根據預設，管理員帳戶可以為該區域內組織中的所有成員帳戶啟用和管理 GuardDuty。管理員帳戶可以檢視成員並將其新增至此 AWS 組織。

以下各節將引導您完成以委派 GuardDuty 管理員帳戶身分執行的各種任務。

**Topics**
+ [搭配 使用 GuardDuty 的考量和建議 AWS Organizations](#delegated_admin_important)
+ [指定委派的 GuardDuty 管理員帳戶所需的許可](organizations_permissions.md)
+ [指定委派的 GuardDuty 管理員帳戶](delegated-admin-designate.md)
+ [設定組織自動啟用偏好設定](set-guardduty-auto-enable-preferences.md)
+ [將成員新增至組織](add-member-accounts-guardduty-organization.md)
+ [（選用） 啟用現有成員帳戶的保護計畫](guardduty_quick_protection_plan_config.md)
+ [在 GuardDuty 中持續管理您的成員帳戶](maintaining-guardduty-organization-delegated-admin.md)
+ [暫停成員帳戶的 GuardDuty](suspending-guardduty-member-account-from-admin.md)
+ [取消 （移除） 成員帳戶與管理員帳戶的關聯](disassociate-remove-member-account-from-admin.md)
+ [從 GuardDuty 組織刪除成員帳戶](delete-member-accounts-guardduty-organization.md)
+ [變更委派的 GuardDuty 管理員帳戶](change-guardduty-delegated-admin.md)

## 搭配 使用 GuardDuty 的考量和建議 AWS Organizations
<a name="delegated_admin_important"></a>

下列考量事項和建議可協助您了解委派的 GuardDuty 管理員帳戶如何在 GuardDuty 中運作：

**委派的 GuardDuty 管理員帳戶最多可管理 50，000 個成員。**  
每個委派的 GuardDuty 管理員帳戶限制為 50，000 個成員帳戶。這包括透過 新增的成員帳戶， AWS Organizations 或接受 GuardDuty 管理員帳戶加入其組織邀請的成員帳戶。不過，您的 AWS 組織中可能有超過 50，000 個帳戶。  
如果您超過 50，000 個成員帳戶限制，您會收到 CloudWatch 的通知 Health 儀板表，以及傳送至指定委派 GuardDuty 管理員帳戶的電子郵件。

**委派的 GuardDuty 管理員帳戶為區域性。**  
與 不同 AWS Organizations，GuardDuty 是區域服務。在您啟用 GuardDuty AWS Organizations 的每個所需區域中，必須透過 新增委派的 GuardDuty 管理員帳戶及其成員帳戶。如果組織管理帳戶僅在美國東部 （維吉尼亞北部） 指定委派的 GuardDuty 管理員帳戶，則委派的 GuardDuty 管理員帳戶只會管理新增至該區域中組織的成員帳戶。如需 GuardDuty 可用區域中功能同位的詳細資訊，請參閱 [區域與端點](guardduty_regions.md)。

**選擇加入區域的特殊案例**  
+ 當委派的 GuardDuty 管理員帳戶選擇退出選擇加入區域時，即使您的組織已將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (`NEW`) 或所有成員帳戶 (`ALL`)，也無法為組織中目前已停用 GuardDuty 的任何成員帳戶啟用 GuardDuty。如需有關成員帳戶組態的資訊，請在 [GuardDuty 主控台](https://console.aws.amazon.com/guardduty/)導覽窗格中開啟**帳戶**，或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。
+ 使用設定為 的 GuardDuty 自動啟用組態時`NEW`，請確定符合下列順序：

  1. 成員帳戶選擇加入 區域。

  1. 在 中將成員帳戶新增至您的組織 AWS Organizations。

  如果您變更這些步驟的順序，使用 的 GuardDuty 自動啟用設定`NEW`**將無法**在特定選擇加入區域中運作，因為成員帳戶不再是組織的新帳戶。GuardDuty 提供兩種替代解決方案：
  + 將 GuardDuty 自動啟用組態設定為 `ALL`，其中包含新的和現有的成員帳戶。在此情況下，這些步驟的順序並不相關。
  + 如果成員帳戶已經是組織的一部分，請使用 GuardDuty 主控台或 API，在特定選擇加入區域中個別管理此帳戶的 GuardDuty 組態。

** AWS 組織在所有 中擁有相同的委派 GuardDuty 管理員帳戶時需要 AWS 區域。**  
您必須指定一個成員帳戶做為啟用 GuardDuty 之所有 的委派 AWS 區域 GuardDuty 管理員帳戶。例如，如果您在歐洲 *（愛爾蘭）* 指定成員帳戶 *111122223333*，則無法在*加拿大 （中部）* 指定其他成員帳戶 *555555555555*。您必須在所有其他區域中使用與委派 GuardDuty 管理員帳戶相同的帳戶。  
您可以隨時指定新的委派 GuardDuty 管理員帳戶。如需移除現有委派 GuardDuty 管理員帳戶的詳細資訊，請參閱 [變更委派的 GuardDuty 管理員帳戶](change-guardduty-delegated-admin.md)。

**不建議將組織的管理帳戶設定為委派的 GuardDuty 管理員帳戶。**  
您組織的管理帳戶可以是委派的 GuardDuty 管理員帳戶。不過， AWS 安全性最佳實務遵循最低權限原則，不建議使用此組態。

**變更委派的 GuardDuty 管理員帳戶不會停用成員帳戶的 GuardDuty。**  
如果您移除委派的 GuardDuty 管理員帳戶，GuardDuty 會移除與此委派的 GuardDuty 管理員帳戶相關聯的所有成員帳戶。對於所有這些成員帳戶，GuardDuty 仍然保持啟用狀態。

# 指定委派的 GuardDuty 管理員帳戶所需的許可
<a name="organizations_permissions"></a>

若要開始使用 Amazon GuardDuty 搭配 AWS Organizations，組織的 AWS Organizations 管理帳戶會將帳戶指定為委派的 GuardDuty 管理員帳戶。這可讓 GuardDuty 成為 中的信任服務 AWS Organizations。它還為委派的 GuardDuty 管理員帳戶啟用 GuardDuty，還允許委派的管理員帳戶為目前區域中組織的其他帳戶啟用和管理 GuardDuty。如需如何授予這些許可的資訊，請參閱[搭配使用 AWS Organizations 與其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。

做為 AWS Organizations 管理帳戶，在您為組織指定委派的 GuardDuty 管理員帳戶之前，請確認您可以執行下列 GuardDuty 動作：`guardduty:EnableOrganizationAdminAccount`。此動作可讓您使用 GuardDuty 為您的組織指定委派的 GuardDuty 管理員帳戶。您還必須確保您可以執行可協助您擷取組織相關資訊 AWS Organizations 的動作。

若要授予這些許可，請在您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式：

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

如果您想要將 AWS Organizations 管理帳戶指定為委派的 GuardDuty 管理員帳戶，則您的帳戶也需要 IAM 動作：`CreateServiceLinkedRole`。此動作可讓您為管理帳戶初始化 GuardDuty。不過，請先檢閱 ，[搭配 使用 GuardDuty 的考量和建議 AWS Organizations](guardduty_organizations.md#delegated_admin_important)再繼續新增許可。

若要繼續將管理帳戶指定為委派的 GuardDuty 管理員帳戶，請將下列陳述式新增至 IAM 政策，並以組織的管理帳戶 AWS 帳戶 ID 取代 *111122223333*：

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# 指定委派的 GuardDuty 管理員帳戶
<a name="delegated-admin-designate"></a>

本節提供在 GuardDuty 組織中指定委派管理員的步驟。

身為 AWS 組織的管理帳戶，請務必閱讀 [考量事項和建議](guardduty_organizations.md#delegated_admin_important)，了解委派的 GuardDuty 管理員帳戶的運作方式。在繼續之前，請確定您擁有 [指定委派的 GuardDuty 管理員帳戶所需的許可](organizations_permissions.md)。

選擇偏好的存取方法，為您的組織指定委派的 GuardDuty 管理員帳戶。只有管理帳戶才能執行此步驟。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   若要登入，請使用 AWS Organizations 組織的管理帳戶登入資料。

1. 使用頁面右上角的 AWS 區域 選取器，選取您要為組織指定委派 GuardDuty 管理員帳戶的區域。

1. 根據目前區域中的管理帳戶是否啟用 GuardDuty，執行下列其中一項操作：
   + 如果未啟用 GuardDuty，請選取 **Amazon GuardDuty - 所有功能**，然後選擇**開始使用**。此動作將帶您前往**歡迎使用 GuardDuty **頁面。
   + 如果已啟用 GuardDuty，請在導覽窗格中選擇**設定**。

1. 在**委派管理員**下，輸入您要指定為組織委派 GuardDuty 管理員帳戶之帳戶的 12 位數 AWS 帳戶 ID。

   請務必為新指定的委派 GuardDuty 管理員帳戶啟用 GuardDuty，否則將無法採取任何動作。

1. 選擇**委派**。

1. （建議） 重複上述步驟，在您啟用 GuardDuty 的每個 AWS 區域 中指定委派的 GuardDuty 管理員帳戶。

------
#### [ API/CLI ]

1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html) 使用組織管理帳戶的 AWS 帳戶 登入資料執行 。
   + 或者，您可以使用 AWS Command Line Interface 來執行此操作。下列 AWS CLI 命令只會為您目前的區域指定委派的 GuardDuty 管理員帳戶。執行下列 AWS CLI 命令，並確保將 *111111111111* 取代為您要指定為委派 GuardDuty 管理員帳戶的帳戶 AWS 帳戶 ID：

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     若要為其他區域指定委派的 GuardDuty 管理員帳戶，請在 AWS CLI 命令中指定區域。下列範例示範如何在美國西部 （奧勒岡） 啟用委派的 GuardDuty 管理員帳戶。請務必將 *us-west-2* 取代為您要為其指派委派 GuardDuty 管理員帳戶的區域。

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     如需 GuardDuty 可用 AWS 區域 位置的相關資訊，請參閱 [區域與端點](guardduty_regions.md)。

   如果您的委派 GuardDuty 管理員帳戶已停用 GuardDuty，將無法採取任何動作。如果尚未這麼做，請務必為新指定的委派 GuardDuty 管理員帳戶啟用 GuardDuty。

1. （建議） 重複上述步驟，在您啟用 GuardDuty 的每個 AWS 區域 中指定委派的 GuardDuty 管理員帳戶。

------

# 設定組織自動啟用偏好設定
<a name="set-guardduty-auto-enable-preferences"></a>

GuardDuty 中的自動啟用組織功能可協助您在單一步驟中為組織中的`ALL`現有或`NEW`成員帳戶設定相同的 GuardDuty 和保護計畫狀態。同樣地，您也可以選擇 ，指定您何時不想對成員帳戶採取任何動作`NONE`。下列步驟說明這些設定，並指出您想要何時使用特定設定。

**注意**  
您可以為所有保護計畫設定自動啟用偏好設定，但 除外[S3 的惡意軟體防護](gdu-malware-protection-s3.md)。

選擇偏好的存取方法，以更新組織的自動啟用偏好設定。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   若要登入，請使用 GuardDuty 管理員帳戶登入資料。

1. 在導覽窗格中，選擇**帳戶**。

   **帳戶**頁面會代表屬於組織的成員帳戶，將 GuardDuty 管理員帳戶的組態選項提供給**自動啟用** GuardDuty 和選用的保護計畫。

1. 若要更新現有的自動啟用設定，請選擇**編輯**。  
![\[選取編輯，代表組織中的成員帳戶更新自動啟用偏好設定。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   此支援可用於設定 GuardDuty 和 中所有支援的選用保護計畫 AWS 區域。您可以代表您的成員帳戶為 GuardDuty 選取下列其中一個組態選項：
   + **為所有帳戶啟用 (`ALL`)** – 選取 以啟用組織中所有帳戶的對應選項。這包括加入組織的新帳戶，以及可能已暫停或從組織中移除的帳戶。這也包含委派的 GuardDuty 管理員帳戶。
**注意**  
更新所有成員帳戶的組態最多可能需要 24 小時。
   + **自動為新帳戶啟用 (`NEW`)** – 選取 以在新成員帳戶加入您的組織時，自動為新成員帳戶啟用 GuardDuty 或選用的保護計畫。
   + **請勿啟用 (`NONE`)** – 選取 以防止啟用組織中新帳戶的對應選項。在此情況下，GuardDuty 管理員帳戶會個別管理每個帳戶。

     當您從 `ALL`或 更新自動啟用設定`NEW`至 時`NONE`，此動作不會停用現有帳戶的對應選項。此組態將套用至加入組織的新帳戶。更新自動啟用設定後，沒有任何新帳戶會具有啟用的對應選項。
**注意**  
當委派的 GuardDuty 管理員帳戶選擇退出選擇加入區域時，即使您的組織已將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (`NEW`) 或所有成員帳戶 (`ALL`)，也無法為組織中目前已停用 GuardDuty 的任何成員帳戶啟用 GuardDuty。如需有關成員帳戶組態的資訊，請在 [GuardDuty 主控台](https://console.aws.amazon.com/guardduty/)導覽窗格中開啟**帳戶**，或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。

1. 選擇**儲存變更**。

1. （選用） 如果您想要在每個區域中使用相同的偏好設定，請分別更新每個支援區域中的偏好設定。

   有些選用的保護計畫可能無法在所有提供 GuardDuty AWS 區域 的 中使用。如需詳細資訊，請參閱[區域與端點](guardduty_regions.md)。

------
#### [ API/CLI ]

1. 使用委派 GuardDuty 管理員帳戶的登入資料[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)來執行 ，以自動為組織在該區域中設定 GuardDuty 和選用的保護計畫。如需有關各種自動啟用組態的資訊，請參閱 [autoEnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。

   若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

   若要為您區域中任何支援的選用保護計畫設定自動啟用偏好設定，請依照每個保護計畫對應文件章節中提供的步驟進行。

1. 您可以驗證目前區域中組織的偏好設定。執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)。請務必指定委派 GuardDuty 管理員帳戶的偵測器 ID。
**注意**  
最多可能需要 24 小時才會更新所有成員帳戶的組態。

1. 或者，執行下列 AWS CLI 命令，將偏好設定設定為針對加入組織的新帳戶 (`NEW`)、所有帳戶 (`ALL`)，或組織中沒有帳戶 (`NONE`)，在該區域中自動啟用或停用 GuardDuty。如需詳細資訊，請參閱 [autoEnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。根據您的偏好設定，您可能需要使用 `ALL` 或 `NONE` 取代 `NEW`。如果您使用 設定保護計畫`ALL`，則也會為委派的 GuardDuty 管理員帳戶啟用保護計畫。請務必指定管理組織組態之委派 GuardDuty 管理員帳戶的偵測器 ID。

   若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. 您可以驗證目前區域中組織的偏好設定。使用委派 GuardDuty 管理員帳戶的偵測器 ID 來執行下列 AWS CLI 命令。

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

（建議） 使用委派的 GuardDuty 管理員帳戶偵測器 ID，在每個區域中重複上述步驟。

**注意**  
當委派的 GuardDuty 管理員帳戶選擇退出選擇加入區域時，即使您的組織已將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (`NEW`) 或所有成員帳戶 (`ALL`)，也無法為組織中目前已停用 GuardDuty 的任何成員帳戶啟用 GuardDuty。如需有關成員帳戶組態的資訊，請在 [GuardDuty 主控台](https://console.aws.amazon.com/guardduty/)導覽窗格中開啟**帳戶**，或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。

------

# 將成員新增至組織
<a name="add-member-accounts-guardduty-organization"></a>

做為委派的 GuardDuty 管理員帳戶，您可以將一或多個 AWS 帳戶 新增至 GuardDuty 組織。當您將帳戶新增為 GuardDuty 成員時，該帳戶會自動在該區域中啟用 GuardDuty。組織管理帳戶有例外狀況。必須先啟用 GuardDuty，才能將管理帳戶新增為 GuardDuty 成員。

選擇偏好的方法，將成員帳戶新增至您的 GuardDuty 組織。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   若要登入，請使用委派的 GuardDuty 管理員帳戶憑證。

1. 在導覽窗格中，選擇**帳戶**。

   帳戶資料表會顯示所有作用中 （未暫停 AWS 帳戶) 且可能與委派 GuardDuty 管理員帳戶相關聯的成員帳戶。如果成員帳戶與組織的管理員帳戶相關聯，則**類型**將是下列其中一項：**透過組織**或透過**邀請**。如果成員帳戶未與組織的 GuardDuty 管理員帳戶相關聯，則此成員帳戶的**類型****不是成員**。

1. 選取您要新增為成員的一或多個帳戶 IDs。這些帳戶 ID 必須具有**透過組織**的**類型**。

   透過邀請新增的帳戶不屬於您組織的一部分。您可以單獨管理此類帳戶。如需詳細資訊，請參閱[應邀管理帳戶](guardduty_invitations.md)。

1. 選擇**動作**下拉式清單，然後選擇**新增成員**。將此帳戶新增為成員後，將套用自動啟用 GuardDuty 組態。根據 [設定組織自動啟用偏好設定](set-guardduty-auto-enable-preferences.md) 中的設定，這些帳戶的 GuardDuty 組態可能會變更。

1. 您可以選取**狀態**資料欄的向下箭頭，依**不是成員**狀態排序帳戶，然後選擇目前區域中未啟用 GuardDuty 的每個帳戶。

   如果帳戶表格中列出的帳戶尚未新增為成員，您可以為目前區域中的所有組織帳戶啟用 GuardDuty。在頁面頂端的橫幅中選擇**啟用**。此動作會自動開啟**自動啟用** GuardDuty 組態，以便為加入組織的任何新帳戶啟用 GuardDuty。

1. 選擇**確認**以將帳戶新增為成員。此動作也會為所有選取的帳戶啟用 GuardDuty。這些帳戶的**狀態**將變更為**已啟用**。

1. （建議） 在每個步驟中重複這些步驟 AWS 區域。這可確保委派的 GuardDuty 管理員帳戶可以管理您已啟用 GuardDuty 的所有區域中成員帳戶的調查結果和其他組態。

   自動啟用功能可為組織的所有未來成員啟用 GuardDuty。這可讓您委派的 GuardDuty 管理員帳戶管理在組織內建立或新增至組織的任何新成員。當成員帳戶的數量達到 50，000 的限制時，自動啟用功能會自動關閉。如果您移除成員帳戶，且成員總數減少到少於 50，000，則自動啟用功能會重新開啟。

------
#### [ API/CLI ]
+ 使用委派 GuardDuty 管理員帳戶的登入資料[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)來執行 。

  您必須指定委派 GuardDuty 管理員帳戶的區域偵測器 ID，以及您要新增為 GuardDuty 成員之帳戶的帳戶詳細資訊 (AWS 帳戶 IDs 和對應的電子郵件地址）。您可以使用此 API 操作建立一個或多個成員。

  當您CreateMembers在組織中執行 時，當新成員帳戶加入您的組織時，將套用新成員的自動啟用偏好設定。當您CreateMembers使用現有成員帳戶執行 時，組織組態也會套用至現有成員。這可能會變更現有成員帳戶的目前組態。

  在 *AWS Organizations API 參考*[https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)中執行 ，以檢視 AWS 組織中的所有帳戶。
  + 或者，您可以使用 AWS Command Line Interface。執行下列 AWS CLI 命令，並確保使用您的有效偵測器 ID、 AWS 帳戶 ID 以及與帳戶 ID 相關聯的電子郵件地址。

    若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    您可以執行下列 AWS CLI 命令來檢視所有組織成員的清單：

    ```
    aws organizations list-accounts
    ```

  將此帳戶新增為成員後，將套用自動啟用 GuardDuty 組態。

------

# （選用） 啟用現有成員帳戶的保護計畫
<a name="guardduty_quick_protection_plan_config"></a>

下列程序包含使用帳戶****頁面為現有成員帳戶啟用保護計劃的步驟。如需使用 API 或 執行此操作的步驟 AWS CLI，請參閱與特定保護計畫相關的文件。

您可以透過帳戶頁面啟用個別**帳戶的**保護計劃。

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   使用委派的 GuardDuty 管理員帳戶登入資料。

1. 在導覽窗格中，選擇**帳戶**。

1. 選擇您要設定保護計畫的一個或多個帳戶。針對您想要設定的每個保護計畫，重複下列步驟：

   1. 選擇**編輯保護計畫**。

   1. 從保護計畫清單中，選擇一個您想要設定的保護計畫。

   1. 選擇您要針對此保護計畫執行的其中一個動作，然後選擇**確認**。

   1. 對於選取的帳戶，與設定的保護計畫對應的資料欄會將更新後的組態顯示為**已啟用**或**未啟用**。

# 在 GuardDuty 中持續管理您的成員帳戶
<a name="maintaining-guardduty-organization-delegated-admin"></a>

身為委派的 GuardDuty 管理員帳戶，您必須負責維護 GuardDuty 的組態，以及每個支援 中組織中所有帳戶的選用保護計畫 AWS 區域。以下各節提供有關維護 GuardDuty 或其任何選用保護計劃的組態狀態的選項：

**維護每個區域中整個組織的組態狀態**
+ **使用 GuardDuty 主控台為整個組織設定自動啟用偏好設定** – 您可以為組織中的所有 (`ALL`) 成員或加入組織的新 (`NEW`) 成員自動啟用 GuardDuty，或選擇不 (`NONE`) 自動啟用組織中的任何成員。

  您也可以為 GuardDuty 內的任何保護計畫設定相同或不同的設定。

  最多可能需要 24 小時才能更新組織中所有成員帳戶的組態。
+ **使用 API 更新自動啟用偏好設定** – 執行 [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)，以自動為組織設定 GuardDuty 及其選用的保護計畫。當您執行 [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) 在您的組織中新增新成員帳戶時，設定的設定將自動套用。當您CreateMembers使用現有的成員帳戶執行 時，組織組態也會套用至現有的成員。這可能會變更現有成員帳戶的目前組態。

  若要檢視組織中的所有帳戶，請在 *AWS Organizations API 參考*中執行 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)。

**在每個區域中個別維護成員帳戶的組態狀態**
+ 若要檢視組織中的所有帳戶，請在 *AWS Organizations API 參考*中執行 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)。
+ 當您希望選擇性成員帳戶具有不同的組態狀態時，請個別為每個成員帳戶執行 [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)。

  您可以使用 GuardDuty 主控台，透過導覽至 GuardDuty 主控台中的**帳戶**頁面來執行相同的任務。

  如需使用主控台或 API 為個別帳戶啟用保護計劃的資訊，請參閱對應保護計劃的設定頁面。

# 暫停成員帳戶的 GuardDuty
<a name="suspending-guardduty-member-account-from-admin"></a>

身為委派的 GuardDuty 管理員帳戶，您可以暫停組織中成員帳戶的 GuardDuty 服務。如果您這樣做，成員帳戶仍會保留在您的 GuardDuty 組織中。您也可以稍後為這些成員帳戶重新啟用 GuardDuty。不過，如果您最終想要取消與此成員帳戶的關聯 （移除），則在遵循本節中的步驟**之後**，您必須遵循中的步驟[取消 （移除） 成員帳戶與管理員帳戶的關聯](disassociate-remove-member-account-from-admin.md)。

當您在成員帳戶中暫停 GuardDuty 時，您可以預期下列變更：
+ GuardDuty 不再監控 AWS 環境的安全性，或產生新的問題清單。
+ 成員帳戶中現有的問題清單保持不變。
+ GuardDuty 暫停的成員帳戶不會對 GuardDuty 產生任何費用。

  如果成員帳戶已為其帳戶中的一或多個儲存貯體啟用了 S3 的惡意軟體防護，則暫停 GuardDuty 不會影響 S3 的惡意軟體防護組態。成員帳戶將繼續產生 S3 惡意軟體防護的使用成本。若要讓成員帳戶停止使用 S3 的惡意軟體防護，他們必須為受保護的儲存貯體停用此功能。如需詳細資訊，請參閱[停用受保護儲存貯體的 S3 惡意軟體防護](disable-malware-s3-protected-bucket.md)。

選擇偏好的方法來暫停組織中成員帳戶的 GuardDuty。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   若要登入，請使用委派 GuardDuty 管理員帳戶的登入資料。

1. 在導覽窗格中，選擇**帳戶**。

1. 在帳戶頁面中，選取您要暫停 GuardDuty 的一或多個帳戶。

1. 選擇**動作**下拉式功能表，然後選擇**暫停 GuardDuty**。

1. 選擇**暫停 GuardDuty** 以確認選擇。

   這會將成員帳戶**的狀態**變更為**已停用 （已暫停）**。

   在您要取消關聯或移除成員帳戶的每個額外區域中重複上述步驟。

------
#### [ API ]

1. 若要擷取您要暫停 GuardDuty 的成員帳戶 ID，請使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。在您的請求中包含 `OnlyAssociated` 參數。如果您將此參數的值設定為 `true`，GuardDuty 會傳回`members`陣列，僅提供目前為 GuardDuty 成員之帳戶的詳細資訊。

   或者，您可以使用 AWS Command Line Interface (AWS CLI) 來執行下列命令：

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   將 *us-east-1* 替換為您想要為此帳戶暫停 GuardDuty 的區域。

1. 若要暫停一或多個 GuardDuty 成員帳戶，請執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html)以暫停成員帳戶的 GuardDuty。

   或者，您可以使用 AWS CLI 執行下列命令：

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   將 *us-east-1* 替換為您要暫停此帳戶的區域。如果您有想要移除的帳戶 IDs 清單，請以空格字元分隔。

------

如果您進一步想要取消關聯 （移除） 此成員帳戶，請遵循中的步驟[取消 （移除） 成員帳戶與管理員帳戶的關聯](disassociate-remove-member-account-from-admin.md)。

# 取消 （移除） 成員帳戶與管理員帳戶的關聯
<a name="disassociate-remove-member-account-from-admin"></a>

當您想要停止設定 GuardDuty 設定並從成員帳戶存取資料時，請將該帳戶移除為 GuardDuty 成員帳戶。您可以透過取消該帳戶與 GuardDuty 管理員帳戶的關聯 （移除） 來執行此操作。

當您取消與 GuardDuty 成員帳戶的關聯時，會發生下列情況：
+ GuardDuty 保持為目前 中的帳戶啟用 AWS 區域，但帳戶與委派的 GuardDuty 管理員帳戶取消關聯。
+ 取消關聯的帳戶會繼續顯示在帳戶庫存中。
+ GuardDuty 管理員帳戶無法再存取此獨立帳戶的調查結果。
+ 帳戶擁有者不會收到取消關聯的通知。

您可以稍後再次將取消關聯的帳戶新增至您的組織。

選擇偏好的方法來取消 （移除） 成員帳戶與組織的關聯。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   若要登入，請使用委派 GuardDuty 管理員帳戶的登入資料。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**帳戶**表格中，您可以移除**類型**為**透過組織**且**狀態**為**已啟用**的帳戶。

   選取一個或多個具有相同**類型**和**狀態**的帳戶。

1. 從**動作**下拉式功能表中，選擇**取消帳戶關聯**。

1. 選擇**取消關聯帳戶**以確認您的選擇。

1. 所選帳戶**的狀態**值會變更為**非成員**。帳戶頁面右上角的 **Via Organizations (Active/All)** 計數會變更以反映更新。

   在您要取消成員帳戶關聯的每個額外區域中重複上述步驟。

------
#### [ API ]

1. 若要擷取您要移除之成員帳戶的帳戶 ID，請使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。在您的請求中包含 `OnlyAssociated` 參數。如果您將此參數的值設定為 `true`，GuardDuty 會傳回`members`陣列，僅提供目前為 GuardDuty 成員之帳戶的詳細資訊。

   或者，您可以使用 AWS Command Line Interface (AWS CLI) 來執行下列命令：

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   以您要移除此帳戶的區域取代 *us-east-1*。

1. 若要移除一或多個 GuardDuty 成員帳戶，請執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) 以移除與管理員帳戶相關聯的成員帳戶。

   或者，您可以使用 AWS CLI 執行下列命令：

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   以您要移除此帳戶的 區域取代 *us-east-1*。如果您有想要移除的帳戶 IDs清單，請以空格字元分隔。

------

# 從 GuardDuty 組織刪除成員帳戶
<a name="delete-member-accounts-guardduty-organization"></a>

身為委派的 GuardDuty 管理員帳戶，在取消成員帳戶關聯且您不想再將該成員帳戶保留在 GuardDuty 組織中之後，您可以從 GuardDuty 組織刪除該成員帳戶。此成員帳戶不會再出現在您的帳戶庫存中。不過，如果此成員帳戶中未暫停 GuardDuty，GuardDuty 和專用保護計畫的組態會保持不變。此帳戶現在將成為獨立帳戶，並且可以[停用 GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html) 本身。

此步驟不會從您的 AWS 組織刪除成員帳戶。

選擇偏好的方法，從您的 GuardDuty 組織刪除成員帳戶。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   若要登入，請使用委派 GuardDuty 管理員帳戶的登入資料。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**帳戶**表格中，您可以移除**類型**為**透過組織**且**狀態**為**已移除 （已取消關聯）** 的帳戶。

   選取一或多個具有相同**類型**和**狀態**的帳戶。

1. 從**動作**下拉式功能表中，選擇**刪除帳戶**。

1. 選擇**刪除帳戶**以確認您的選擇。選取的帳戶成員不會再出現在您的帳戶資料表中。

   在您想要刪除此成員帳戶的每個額外區域中重複上述步驟。

------
#### [ API/CLI ]

1. 若要擷取您要刪除之成員帳戶的帳戶 ID，請使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。在您的請求中包含 `OnlyAssociated` 參數。如果您將此參數的值設定為 `false`，GuardDuty 會傳回`members`陣列，僅提供目前取消關聯 GuardDuty 成員之帳戶的詳細資訊。

   或者，您可以使用 AWS Command Line Interface (AWS CLI) 來執行下列命令：

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   將 *12abc34d567e8fa901bc2d34EXAMPLE* 取代為委派的 GuardDuty 管理員帳戶偵測器 ID，並將 *us-east-1* 取代為您要移除此帳戶的區域。

1. 若要刪除一或多個 GuardDuty 成員帳戶，[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)請執行 從 GuardDuty 組織刪除成員帳戶。

   或者，您可以使用 AWS CLI 執行下列命令：

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   將 *12abc34d567e8fa901bc2d34EXAMPLE* 取代為委派的 GuardDuty 管理員帳戶偵測器 ID，並將 *us-east-1* 取代為您要移除此帳戶的區域。如果您有想要移除的帳戶 IDs清單，請以空格字元分隔。

------

# 變更委派的 GuardDuty 管理員帳戶
<a name="change-guardduty-delegated-admin"></a>

您可以在每個區域中移除組織的委派 GuardDuty 管理員帳戶，然後在每個區域中委派新的管理員。若要維持組織成員帳戶在區域中的安全狀態，您必須在該區域中擁有委派的 GuardDuty 管理員帳戶。

**注意**  
移除委派的 GuardDuty 管理員帳戶之前，您必須取消與委派的 GuardDuty 管理員帳戶相關聯的所有成員帳戶關聯，然後從 GuardDuty 組織刪除這些帳戶。如需這些步驟的詳細資訊，請參閱下列文件：  
[取消 （移除） 成員帳戶與管理員帳戶的關聯](disassociate-remove-member-account-from-admin.md)
[從 GuardDuty 組織刪除成員帳戶](delete-member-accounts-guardduty-organization.md)

## 移除現有的委派 GuardDuty 管理員帳戶
<a name="remove-existing-guardduty-delegated-admin"></a>

**步驟 1 - 移除每個區域中現有的委派 GuardDuty 管理員帳戶**

1. 作為現有的委派 GuardDuty 管理員帳戶，請列出與您的管理員帳戶相關聯的所有成員帳戶。[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) 使用 執行 `OnlyAssociated=false`。

1. 如果 GuardDuty 或任何選用保護計畫的自動啟用偏好設定設為 `ALL`，則執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) 將組織組態更新為 `NEW`或 `NONE`。當您在下一個步驟取消所有成員帳戶的關聯時，此動作將防止發生錯誤。

1. 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) 以取消與管理員帳戶相關聯的所有成員帳戶關聯。

1. 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)以刪除管理員帳戶與成員帳戶之間的關聯。

1. 作為組織管理帳戶，請執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html) 以移除現有的委派 GuardDuty 管理員帳戶。

1. 在您擁有此委派 GuardDuty 管理員帳戶的每個 AWS 區域 中重複這些步驟。

**步驟 2 - 在 AWS Organizations （一次性全域動作） 中取消註冊現有的委派 GuardDuty 管理員帳戶**
+ 在 *AWS Organizations API 參考*中執行 [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)，以取消註冊現有的委派 GuardDuty 管理員帳戶 AWS Organizations。

  或者，您可以執行下列 AWS CLI 命令：

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  請務必將 *111122223333* 取代為現有的委派 GuardDuty 管理員帳戶。

  取消註冊舊的委派 GuardDuty 管理員帳戶後，您可以將其新增為新的委派 GuardDuty 管理員帳戶的成員帳戶。

## 在每個區域中指定新的委派 GuardDuty 管理員帳戶
<a name="designate-new-guardduty-delegated-admin"></a>

1. 使用您偏好的存取方法 - GuardDuty 主控台或 API 或 ，在每個區域中指定新的委派 GuardDuty 管理員帳戶 AWS CLI。如需詳細資訊，請參閱[指定委派的 GuardDuty 管理員帳戶](delegated-admin-designate.md)。

1. 執行 [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html) 以檢視組織的目前自動啟用組態。
**重要**  
將任何成員新增至新的委派 GuardDuty 管理員帳戶之前，您必須驗證組織的自動啟用組態。此組態專屬於新的委派 GuardDuty 管理員帳戶和選取的區域，並且與 無關 AWS Organizations。當您在新的委派 GuardDuty 管理員帳戶下新增 （新的或現有的） 組織成員帳戶時，新委派 GuardDuty 管理員帳戶的自動啟用組態將在啟用 GuardDuty 或其任何選用保護計劃時套用。

   使用您偏好的存取方法 - GuardDuty 主控台或 API 或 ，變更新委派 GuardDuty 管理員帳戶的組織組態 AWS CLI。如需詳細資訊，請參閱[設定組織自動啟用偏好設定](set-guardduty-auto-enable-preferences.md)。