了解 GuardDuty 管理员账户和成员账户之间的关系

当您在多账户环境 GuardDuty 中使用时，管理员账户可以代表成员账户管理某些方面。 GuardDuty 管理员帐户可以执行以下主要功能：

添加和删除关联的成员账户 — 管理员账户执行此操作的流程因您管理账户的方式而异（通过 AWS Organizations 或通过 GuardDuty 邀请方式）。

GuardDuty 建议通过管理您的会员账户 AWS Organizations。
GuardDuty 在管理账户中启用委托 GuardDuty 管理员账户-如果 AWS Organizations 管理账户禁用 GuardDuty，则委派 GuardDuty 管理员账户可以在管理账户 GuardDuty 中启用。但是，要求管理账户必须未明确删除的服务相关角色权限 GuardDuty。
配置成员帐户的状态-管理员帐户可以代表关联的成员帐户启用或禁用 GuardDuty 保护计划的状态，以及启用、暂停或禁用保护计划的状态。 GuardDuty

使用管理的委托 GuardDuty 管理员帐户 AWS Organizations 可以在添加为成员 GuardDuty 时自动启用。 AWS 账户
自定义生成发现的时间-管理员帐户可以通过创建和管理抑制规则、可信 IP 列表和威胁列表来自定义 GuardDuty 网络中的调查结果。在多账户环境中，只有委派的 GuardDuty 管理员账户才支持配置这些功能。成员账户无法更新此配置。

下表详细说明了 GuardDuty 管理员账户和成员账户之间的关系。

桌子的钥匙

Self — 账户只能为自己的账户执行列出的操作。
任意-账户可以对任何关联账户执行列出的操作。
全部 — 一个账户可以执行列出的操作，它适用于所有关联的账户。通常，执行此操作的帐户是指定的 GuardDuty 管理员帐户
带短划线 (—) 的单元格-带短划线 (—) 的表格单元格表示该账户无法执行列出的操作。

操作	通过 AWS Organizations		通过邀请
操作	委派 GuardDuty 管理员账号	关联的成员账户	委派 GuardDuty 管理员账号	关联的成员账户
启用 GuardDuty	任何	–	自身	自身
为整个组织 GuardDuty 自动启用 (`ALL`、`NEW`、`NONE`)	全部	–	–	–
查看所有 Organizations 成员账户，无论其 GuardDuty 状态如何	任何	–	–	–
生成示例发现结果	自身	自身	自身	自身
查看所有 GuardDuty 发现	任何	自身	任何	自身
存档 GuardDuty 调查结果	任何	–	任何	–
应用禁止规则	全部	–	全部	–
创建可信 IP 列表或威胁列表	全部	–	全部	–
更新可信 IP 列表或威胁列表	全部	–	全部	–
删除可信 IP 列表或威胁列表	全部	–	全部	–
设置 EventBridge 通知频率	全部	–	全部	–
设置用于导出调查发现的 Amazon S3 位置	全部	自身	全部	自身
为整个组织启用一个或多个可选保护计划 (`ALL`、`NEW`、`NONE`) 这不包括 S3 的恶意软件防护。	全部	–	–	–
为个人账户启用任何 GuardDuty 保护计划这不包括 S3 的恶意软件防护EC2和恶意软件防护。	任何	–	任何	–
恶意软件防护 EC2	任何	–	自身	自身
S3 恶意软件防护	–	自身	–	自身
取消关联成员账户	任何	–	任何	–
取消与管理员账户账户的关联	–	自我 ⁺	–	自身
删除已取消关联的成员账户	任何	–	任何	–
暂停 GuardDuty	任何 ^*	–	任何 ^*	–
禁用 GuardDuty	任何 ^*	–	任何 ^*	–

⁺ 表示只有在委派的 GuardDuty 管理员帐户尚未为组织成员设置自动启用首选项时，该帐户才能ALL执行此操作。

^* 表示委托 GuardDuty 管理员账户不能直接 GuardDuty 在成员账户中禁用。委托 GuardDuty 管理员账号必须先解除关联成员账号，然后再将其删除。之后，每个成员账户都可以在自己的账户 GuardDuty 中禁用。有关在组织中执行这些任务的更多信息，请参阅持续管理您的会员账户 GuardDuty。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

里面有多个账户 GuardDuty

使用 AWS Organizations管理账户