本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用管理 GuardDuty 账户 AWS Organizations
在 AWS 组织中,管理账户可以将该组织内的任何账户指定为委派 GuardDuty 管理员账户。对于此管理员帐户, GuardDuty 仅在当前帐户中自动启用 AWS 区域。默认情况下,管理员账户可以启用和管理 GuardDuty 该区域内组织中的所有成员账户。管理员帐户可以查看该 AWS 组织并向其添加成员。
以下各节将引导您完成作为委派 GuardDuty 管理员帐户可能执行的各种任务。
与 GuardDuty 一起使用的注意事项和建议 AWS Organizations
以下注意事项和建议可以帮助您了解委派 GuardDuty 管理员账户在中的运作方式 GuardDuty:
- 一个委托 GuardDuty 管理员账号最多可以管理 50,000 个成员。
-
每个委托 GuardDuty 管理员账户的成员账户上限为 50,000 个。这包括通过添加的成员账户 AWS Organizations 或接受 GuardDuty 管理员账户邀请加入其组织的成员账户。但是,您的 AWS 组织中可能有超过 50,000 个帐户。
如果您超过了 50,000 个成员账户的限制,您将收到来自 CloudWatch AWS Health Dashboard、的通知以及发送给指定委托 GuardDuty 管理员账户的电子邮件。
- 委托 GuardDuty 管理员账户为区域账户。
-
与之不同 GuardDuty 的是 AWS Organizations,是区域服务。必须在您已 GuardDuty 启用的每个所需区域 AWS Organizations 中添加委托 GuardDuty 管理员帐户及其成员帐户。如果组织管理账户仅在美国东部(弗吉尼亚北部)指定委托 GuardDuty 管理员账户,则委派 GuardDuty 管理员账户将仅管理添加到该地区组织的成员账户。有关可用区域中功能对等性的 GuardDuty 更多信息,请参阅区域和端点。
- 选择加入区域的特殊情况
-
当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (
NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用ListMembersAPI。 -
使用设置为的 GuardDuty 自动启用配置时
NEW,请确保满足以下顺序:-
成员账户选择加入可选区域。
-
在中将成员帐户添加到您的组织 AWS Organizations。
如果您更改这些步骤的顺序,则 GuardDuty 自动启用设置在特定的选择加入区域
NEW将不起作用,因为该组织已不再是成员账户的新用户。 GuardDuty 提供了两种备选解决方案:-
将 GuardDuty 自动启用配置设置为
ALL,包括新的和现有的成员帐户。在这种情况下,这些步骤的顺序无关紧要。 -
如果成员账户已经是您组织的一部分,请使用 GuardDuty 控制台或,在特定的选择加入区域中单独管理该账户的 GuardDuty 配置。API
-
- AWS 组织必须拥有相同的委托 GuardDuty 管理员帐户 AWS 区域。
-
您必须将一个成员帐户指定为所有启用 AWS 区域 位置 GuardDuty 的委托 GuardDuty 管理员帐户。例如,如果您指定了成员账户
111122223333inEurope (Ireland),您不能指定其他成员账户555555555555inCanada (Central)。 在所有其他区域,您必须使用与委托 GuardDuty 管理员账户相同的账户。您可以随时指定新的委派 GuardDuty 管理员帐户。有关删除现有委派 GuardDuty 管理员账户的更多信息,请参阅更改委派 GuardDuty 管理员账号。
- 不建议将贵组织的管理账号设置为委派 GuardDuty 管理员账号。
-
您组织的管理账号可以是委派的 GuardDuty 管理员账号。但是, AWS 安全最佳实践遵循最低权限原则,不建议使用此配置。
- 更改委派 GuardDuty 管理员账户不会 GuardDuty 对成员账户禁用。
-
如果您移除委派 GuardDuty 管理员账号,则 GuardDuty 会移除与该委派 GuardDuty 管理员账号关联的所有成员账号。 GuardDuty 所有这些成员帐户仍保持启用状态。
