本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 管理 GuardDuty 帳戶 AWS Organizations
<a name="guardduty_organizations"></a>

在 AWS 組織中，管理帳戶可以將此組織中的任何帳戶指定為委派的 GuardDuty 管理員帳戶。對於此管理員帳戶，GuardDuty 只會在目前的 中自動啟用 AWS 區域。根據預設，管理員帳戶可以為該區域內組織中的所有成員帳戶啟用和管理 GuardDuty。管理員帳戶可以檢視成員並將其新增至此 AWS 組織。

以下各節將引導您完成以委派 GuardDuty 管理員帳戶身分執行的各種任務。

**Topics**
+ [搭配 使用 GuardDuty 的考量和建議 AWS Organizations](#delegated_admin_important)
+ [指定委派的 GuardDuty 管理員帳戶所需的許可](organizations_permissions.md)
+ [指定委派的 GuardDuty 管理員帳戶](delegated-admin-designate.md)
+ [設定組織自動啟用偏好設定](set-guardduty-auto-enable-preferences.md)
+ [將成員新增至組織](add-member-accounts-guardduty-organization.md)
+ [（選用） 啟用現有成員帳戶的保護計畫](guardduty_quick_protection_plan_config.md)
+ [在 GuardDuty 中持續管理您的成員帳戶](maintaining-guardduty-organization-delegated-admin.md)
+ [暫停成員帳戶的 GuardDuty](suspending-guardduty-member-account-from-admin.md)
+ [取消 （移除） 成員帳戶與管理員帳戶的關聯](disassociate-remove-member-account-from-admin.md)
+ [從 GuardDuty 組織刪除成員帳戶](delete-member-accounts-guardduty-organization.md)
+ [變更委派的 GuardDuty 管理員帳戶](change-guardduty-delegated-admin.md)

## 搭配 使用 GuardDuty 的考量和建議 AWS Organizations
<a name="delegated_admin_important"></a>

下列考量事項和建議可協助您了解委派的 GuardDuty 管理員帳戶如何在 GuardDuty 中運作：

**委派的 GuardDuty 管理員帳戶最多可管理 50，000 個成員。**  
每個委派的 GuardDuty 管理員帳戶限制為 50，000 個成員帳戶。這包括透過 新增的成員帳戶， AWS Organizations 或接受 GuardDuty 管理員帳戶加入其組織的邀請的成員帳戶。不過，您的 AWS 組織中可能有超過 50，000 個帳戶。  
如果您超過 50，000 個成員帳戶限制，您會收到 CloudWatch 的通知 Health 儀板表，以及傳送至指定委派 GuardDuty 管理員帳戶的電子郵件。

**委派的 GuardDuty 管理員帳戶為區域性。**  
與 不同 AWS Organizations，GuardDuty 是區域服務。在您啟用 GuardDuty AWS Organizations 的每個所需區域中，必須透過 新增委派的 GuardDuty 管理員帳戶及其成員帳戶。如果組織管理帳戶僅在美國東部 （維吉尼亞北部） 指定委派的 GuardDuty 管理員帳戶，則委派的 GuardDuty 管理員帳戶只會管理新增至該區域中組織的成員帳戶。如需 GuardDuty 可用區域中功能同位的詳細資訊，請參閱 [區域與端點](guardduty_regions.md)。

**選擇加入區域的特殊案例**  
+ 當委派的 GuardDuty 管理員帳戶選擇退出選擇加入區域時，即使您的組織已將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (`NEW`) 或所有成員帳戶 (`ALL`)，也無法為組織中目前已停用 GuardDuty 的任何成員帳戶啟用 GuardDuty。如需有關成員帳戶組態的資訊，請在 [GuardDuty 主控台](https://console.aws.amazon.com/guardduty/)導覽窗格中開啟**帳戶**，或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API。
+ 使用 GuardDuty 自動啟用組態設定為 時`NEW`，請確定符合下列順序：

  1. 成員帳戶選擇加入 區域。

  1. 在 中將成員帳戶新增至您的組織 AWS Organizations。

  如果您變更這些步驟的順序，使用 的 GuardDuty 自動啟用設定`NEW`**將無法**在特定選擇加入區域中運作，因為成員帳戶不再是組織的新帳戶。GuardDuty 提供兩種替代解決方案：
  + 將 GuardDuty 自動啟用組態設定為 `ALL`，其中包含新的和現有的成員帳戶。在此情況下，這些步驟的順序並不相關。
  + 如果成員帳戶已經是組織的一部分，請使用 GuardDuty 主控台或 API，在特定選擇加入區域中個別管理此帳戶的 GuardDuty 組態。

** AWS 組織在所有 中擁有相同的委派 GuardDuty 管理員帳戶時需要 AWS 區域。**  
您必須指定一個成員帳戶做為啟用 GuardDuty 之所有 的委派 AWS 區域 GuardDuty 管理員帳戶。例如，如果您在歐洲 {{（愛爾蘭）}} 指定成員帳戶 {{111122223333}}，您就無法在{{加拿大 （中部）}} 指定其他成員帳戶 {{555555555555}}。您必須在所有其他區域中使用與委派 GuardDuty 管理員帳戶相同的帳戶。  
您可以隨時指定新的委派 GuardDuty 管理員帳戶。如需移除現有委派 GuardDuty 管理員帳戶的詳細資訊，請參閱 [變更委派的 GuardDuty 管理員帳戶](change-guardduty-delegated-admin.md)。

**不建議將組織的管理帳戶設定為委派的 GuardDuty 管理員帳戶。**  
您組織的管理帳戶可以是委派的 GuardDuty 管理員帳戶。不過， AWS 安全性最佳實務遵循最低權限原則，不建議使用此組態。

**變更委派的 GuardDuty 管理員帳戶不會停用成員帳戶的 GuardDuty。**  
如果您移除委派的 GuardDuty 管理員帳戶，GuardDuty 會移除與此委派的 GuardDuty 管理員帳戶相關聯的所有成員帳戶。對於所有這些成員帳戶，GuardDuty 仍然保持啟用狀態。