本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 GuardDuty 管理员账户和成员账户之间的关系
当您在多账户环境 GuardDuty 中使用时,管理员账户可以代表成员账户管理某些方面。 GuardDuty 管理员帐户可以执行以下主要功能:
-
添加和删除关联的成员账户。管理员帐户可以执行此操作的流程因您管理帐户的方式而异(通过组织或通过邀请)。
-
在 GuardDuty 管理账户 GuardDuty 中启用委托管理员账户
如果 AWS Organizations 管理账户禁用 GuardDuty,则委派 GuardDuty 管理员账户可以在管理账户 GuardDuty 中启用。但是,要求管理账户必须未明确删除的服务相关角色权限 GuardDuty。
-
管理关联成员账户 GuardDuty 内的状态,包括启用和暂停 GuardDuty。
注意
在添加为成员的账户 GuardDuty 中,使用 AWS Organizations 自动启用来管理的委托管理员帐户。
-
通过创建和管理抑制规则、可信 IP 列表和威胁列表,自定义 GuardDuty 网络内部的调查结果。在多账户环境中,这些功能的配置仅适用于委派的 GuardDuty 管理员帐户。成员账户无法更新此配置。
下表详细说明了 GuardDuty 管理员账户和成员账户之间的关系。
在此表中:
-
Self — 账户只能为自己的账户执行列出的操作。
-
任意-账户可以对任何关联账户执行列出的操作。
-
全部 — 一个账户可以执行列出的操作,它适用于所有关联的账户。通常,执行此操作的帐户是指定的 GuardDuty 管理员帐户
带有短划线 (—) 的表格单元格表示该账户无法执行列出的操作。
| 操作 | 通过 AWS Organizations | 通过邀请 | ||
|---|---|---|---|---|
| 委派 GuardDuty 管理员账号 | 关联的成员账户 | 委派 GuardDuty 管理员账号 | 关联的成员账户 | |
| 启用 GuardDuty | 任何 | – | 自身 | 自身 |
为整个组织 GuardDuty 自动启用 (ALL、NEW、NONE) |
全部 | – | – | – |
| 查看所有 Organizations 成员账户,无论其 GuardDuty 状态如何 | 任何 | – | – | – |
| 生成示例发现结果 | 自身 | 自身 | 自身 | 自身 |
| 查看所有 GuardDuty 发现 | 任何 | 自身 | 任何 | 自身 |
| 存档 GuardDuty 调查结果 | 任何 | – | 任何 | – |
| 应用禁止规则 | 全部 | – | 全部 | – |
| 创建可信 IP 列表或威胁列表 | 全部 | – | 全部 | – |
| 更新可信 IP 列表或威胁列表 | 全部 | – | 全部 | – |
| 删除可信 IP 列表或威胁列表 | 全部 | – | 全部 | – |
| 设置 EventBridge 通知频率 | 全部 | – | 全部 | 自身 |
| 设置用于导出调查发现的 Amazon S3 位置 | 全部 | – | 全部 | 自身 |
|
为整个组织启用一个或多个可选保护计划 ( 这不包括 S3 的恶意软件防护。 |
全部 | – | – | – |
为个人账户启用任何 GuardDuty 保护计划 这不包括 S3 的恶意软件防护EC2和恶意软件防护。 |
任何 | – | 任何 | – |
|
恶意软件防护 EC2 |
任何 | – | 自身 | 自身 |
|
S3 恶意软件防护 |
– | 自身 | – | 自身 |
| 取消关联成员账户 | 任何 | – | 任何 | – |
| 取消与管理员账户账户的关联 | – | 自我 + | – | 自身 |
| 删除已取消关联的成员账户 | 任何 | – | 任何 | – |
| 暂停 GuardDuty | 任何 * | – | 任何 * | – |
| 禁用 GuardDuty | 任何 * | – | 任何 * | – |
+ 表示只有在委派的 GuardDuty 管理员帐户尚未为组织成员设置自动启用首选项时,该帐户才能ALL执行此操作。
* 表示委托 GuardDuty 管理员账户不能直接 GuardDuty 在成员账户中禁用。委托 GuardDuty 管理员账号必须先解除关联成员账号,然后再将其删除。之后,每个成员账户都可以在自己的账户 GuardDuty 中禁用。有关在组织中执行这些任务的更多信息,请参阅在内部维护您的组织 GuardDuty。
