使用管理 GuardDuty 账户 AWS Organizations

以下注意事项和建议可以帮助您了解委派 GuardDuty 管理员账户在中的运作方式 GuardDuty：

一个委托 GuardDuty 管理员账号最多可以管理 50,000 个成员。

每个委托 GuardDuty 管理员账户的成员账户上限为 50,000 个。这包括通过添加的成员账户 AWS Organizations 或接受 GuardDuty 管理员账户邀请加入其组织的成员账户。但是，您的 AWS 组织中可能有超过 50,000 个帐户。

如果您超过了 50,000 个成员账户的限制，您将收到来自 CloudWatch AWS Health Dashboard、的通知以及发送给指定委托 GuardDuty 管理员账户的电子邮件。

委托 GuardDuty 管理员账户为区域账户。

不同的是 AWS Organizations， GuardDuty 是区域服务。必须在您已 GuardDuty 启用的每个所需区域 AWS Organizations 中添加委托 GuardDuty 管理员帐户及其成员帐户。如果组织管理账户仅在美国东部（弗吉尼亚北部）指定委托 GuardDuty 管理员账户，则委派 GuardDuty 管理员账户将仅管理添加到该地区组织的成员账户。有关可用区域中功能对等性的 GuardDuty 更多信息，请参阅区域和端点。

有关选择加入区域的特殊场景

• 当委托 GuardDuty 管理员账户选择退出选择加入区域时，即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL)，也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息，请在GuardDuty 控制台导航窗格中打开账户或使用ListMembersAPI。

• 使用设置为的 GuardDuty 自动启用配置时NEW，请确保满足以下顺序：

  1. 成员账户选择加入某个选择加入区域。

  2. 在 AWS Organizations中将成员账户添加到组织。

  如果您更改这些步骤的顺序，则 GuardDuty 自动启用设置在特定的选择加入区域NEW将不起作用，因为该组织已不再是成员账户的新用户。 GuardDuty 提供了两种备选解决方案：

  • 将 GuardDuty 自动启用配置设置为ALL，包括新的和现有的成员帐户。使用此设置时，这些步骤的顺序将无关紧要。

  • 如果成员账户已经是您组织的一部分，请使用 GuardDuty 控制台或，在特定的选择加入区域中单独管理该账户的 GuardDuty 配置。API

AWS 组织必须拥有相同的委托 GuardDuty 管理员帐户 AWS 区域。

您必须将一个成员账户指定为所有启用 AWS 区域 位置 GuardDuty 的委托 GuardDuty 管理员帐户。例如，如果您在中指定了成员帐户Europe (Ireland)，则无法111122223333在555555555555中指定其他成员帐户Canada (Central)。在所有其他区域，您必须使用与委托 GuardDuty 管理员账户相同的账户。

您可以随时指定新的委派 GuardDuty 管理员帐户。有关删除现有委派 GuardDuty 管理员账户的更多信息，请参阅更改委派 GuardDuty 管理员账号。

不建议将贵组织的管理账号设置为委派 GuardDuty 管理员账号。

您组织的管理账号可以是委派的 GuardDuty 管理员账号。但是， AWS 安全最佳实践遵循最低权限原则，不建议使用此配置。

更改委派 GuardDuty 管理员账户不会 GuardDuty 对成员账户禁用。

如果您移除委派 GuardDuty 管理员账号，则 GuardDuty 会移除与该委派 GuardDuty 管理员账号关联的所有成员账号。 GuardDuty 所有这些成员帐户仍保持启用状态。