指定 Detective 管理员

组织管理账户可以使用 Detective 控制台来指定 Detective 管理员账户。

要管理 Detective 管理员账户，无需启用 Detective。您可以从启用 Detective 页面管理 Detective 管理员账户。

Enable Detective page (Console)

要从 “启用侦探” 页面指定 Detective 管理员，请按照以下步骤操作。

通过 https://console.aws.amazon.com/detective/ 打开 Amazon Detective 控制台。
选择开始。
在管理员账户所需权限面板中，为选择的账户授予必要的权限，使其能够作为 Detective 管理员的身份进行操作，并完全有权访问 Detective 中的所有操作。要以管理员身份进行操作，我们建议将 AmazonDetectiveFullAccess 策略附加到主体。
选择从 IAM 附加策略，直接在 IAM 控制台中查看推荐的策略。
根据在 IAM 控制台中是否拥有权限，请按以下步骤操作：
- 如果您有权在 IAM 控制台中进行操作，请将推荐的策略附加到用于 Detective 的主体。
- 如果您无权在 IAM 控制台中进行操作，请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后，他们就可以代表您附加策略。
在委托管理员下，选择 Detective 管理员账户。

可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。
- 如果您没有 Detective in Organizations 的委托管理员账户，请输入该账户的账户标识符，将其指定为 Detective 管理员账户。
  
  您可能已经拥有管理员账户，并通过手动邀请程序获得了行为图。如果是这样，我们建议将该账户指定为 Detective 管理员账户。
  
  如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户，那么 Detective 会提示你选择其中一个账户。 AWS Security Hub CSPM也可以输入不同的账户。
- 如果您拥有 Detective in Organizations 的委托管理员账户，则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。
选择委托。

如果已启用 Detective，或者是现有行为图中的成员账户，则可以从常规页面指定 Detective 管理员账户。

General page (Console)

要从 “常规” 页面指定 Detective 管理员，请按照以下步骤操作。

通过 https://console.aws.amazon.com/detective/ 打开 Amazon Detective 控制台。
在 Detective 导航窗格中的设置下，选择常规。
在托管式策略面板中，您可以进一步了解 Detective 支持的所有托管式策略。您可以根据希望用户在 Detective 中执行的操作，向账户授予必要的权限。要以管理员身份进行操作，我们建议将 AmazonDetectiveFullAccess 策略附加到主体。
根据在 IAM 控制台中是否拥有权限，请按以下步骤操作：
- 如果您有权在 IAM 控制台中进行操作，请将推荐的策略附加到用于 Detective 的主体。
- 如果您无权在 IAM 控制台中进行操作，请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后，他们就可以代表您附加策略。
可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。
- 如果您没有 Detective in Organizations 的委托管理员账户，请输入该账户的账户标识符，将其指定为 Detective 管理员账户。
  
  您可能已经拥有管理员账户，并通过手动邀请程序获得了行为图。如果是这样，则我们建议将该账户指定为 Detective 管理员账户。
  
  如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户，那么 Detective 会提示你选择其中一个账户。 AWS Security Hub CSPM也可以输入不同的账户。
- 如果您拥有 Detective in Organizations 的委托管理员账户，则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。
选择委托。

Detective API, AWS CLI

要指定 Detective 管理员账户，可以使用 API 调用或 AWS Command Line Interface。必须使用组织管理账户凭证。

如果已经拥有 Detective in Organizations 委托管理员账户，则必须选择该账户或您的账户，我们建议选择委托管理员账户。

要指定 Detective 管理员帐户（Detective API， AWS CLI）

Detective API：使用 EnableOrganizationAdminAccount 操作。必须提供 Detective 管理员账户的 AWS 账户标识符。要获取账户标识符，请执行 ListOrganizationAdminAccounts 操作。

AWS CLI：在命令行处，运行 enable-organization-admin-account 命令。


aws detective enable-organization-admin-account --account-id <admin account ID>

示例


aws detective enable-organization-admin-account --account-id 777788889999

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

指定 Detective 管理员账户

删除 Detective 管理员账号