本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 指定 Detective 管理员
<a name="accounts-designate-admin-console"></a>

组织管理账户可以使用 Detective 控制台来指定 Detective 管理员账户。

要管理 Detective 管理员账户，无需启用 Detective。您可以从**启用 Detective** 页面管理 Detective 管理员账户。

------
#### [ Enable Detective page (Console) ]

要从 “**启用侦探**” 页面指定 Detective 管理员，请按照以下步骤操作。

1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。

1. 选择**开始**。

1. 在**管理员账户所需权限**面板中，为选择的账户授予必要的权限，使其能够作为 Detective 管理员的身份进行操作，并完全有权访问 Detective 中的所有操作。要以管理员身份进行操作，我们建议将 `AmazonDetectiveFullAccess` 策略附加到主体。

1. 选择**从 IAM 附加策略**，直接在 IAM 控制台中查看推荐的策略。

1. 根据在 IAM 控制台中是否拥有权限，请按以下步骤操作：
   + 如果您有权在 IAM 控制台中进行操作，请将推荐的策略附加到用于 Detective 的主体。
   + 如果您无权在 IAM 控制台中进行操作，请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后，他们就可以代表您附加策略。

1.  在**委托管理员**下，选择 Detective 管理员账户。

   可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。
   + 如果您没有 Detective in Organizations 的委托管理员账户，请输入该账户的账户标识符，将其指定为 Detective 管理员账户。

     您可能已经拥有管理员账户，并通过手动邀请程序获得了行为图。如果是这样，我们建议将该账户指定为 Detective 管理员账户。

     如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户，那么 Detective 会提示你选择其中一个账户。 AWS Security Hub CSPM也可以输入不同的账户。
   + 如果您拥有 Detective in Organizations 的委托管理员账户，则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。

1. 选择**委托**。

如果已启用 Detective，或者是现有行为图中的成员账户，则可以从**常规**页面指定 Detective 管理员账户。

------
#### [ General page (Console) ]

要从 “**常规**” 页面指定 Detective 管理员，请按照以下步骤操作。

1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。

1. 在 Detective 导航窗格中的**设置**下，选择**常规**。

1. 在**托管式策略**面板中，您可以进一步了解 Detective 支持的所有托管式策略。您可以根据希望用户在 Detective 中执行的操作，向账户授予必要的权限。要以管理员身份进行操作，我们建议将 `AmazonDetectiveFullAccess` 策略附加到主体。

1. 根据在 IAM 控制台中是否拥有权限，请按以下步骤操作：
   + 如果您有权在 IAM 控制台中进行操作，请将推荐的策略附加到用于 Detective 的主体。
   + 如果您无权在 IAM 控制台中进行操作，请复制策略的 Amazon 资源名称 (ARN) 并提供给 IAM 管理员。然后，他们就可以代表您附加策略。

   可用的选项取决于是否拥有 Detective in Organizations 的委托管理员账户。
   + 如果您没有 Detective in Organizations 的委托管理员账户，请输入该账户的账户标识符，将其指定为 Detective 管理员账户。

     您可能已经拥有管理员账户，并通过手动邀请程序获得了行为图。如果是这样，则我们建议将该账户指定为 Detective 管理员账户。

     如果你在 Organizations for Amazon 或 Amaz GuardDuty on Macie 中有一个委托管理员账户，那么 Detective 会提示你选择其中一个账户。 AWS Security Hub CSPM也可以输入不同的账户。
   + 如果您拥有 Detective in Organizations 的委托管理员账户，则系统会提示选择该账户或您的账户。我们建议在所有区域选择委托管理员账户。

1. 选择**委托**。

------
#### [ Detective API, AWS CLI ]

要指定 Detective 管理员账户，可以使用 API 调用或 AWS Command Line Interface。必须使用组织管理账户凭证。

如果已经拥有 Detective in Organizations 委托管理员账户，则必须选择该账户或您的账户，我们建议选择委托管理员账户。

**要指定 Detective 管理员帐户（Detective API， AWS CLI）**
+ **Detective API：**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html) 操作。必须提供 Detective 管理员账户的 AWS 账户标识符。要获取账户标识符，请执行 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html) 操作。
+ **AWS CLI：**在命令行处，运行 [https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html) 命令。

  ```
  aws detective enable-organization-admin-account --account-id {{<admin account ID>}}
  ```

  **示例**

  ```
  aws detective enable-organization-admin-account --account-id 777788889999
  ```

------