Detective 中的帳戶限制和建議 - Amazon Detective
成員帳戶的數目上限帳戶和區域管理員帳戶與 Security Hub 和 的一致性 GuardDuty授予管理員帳戶所需的許可反映組織在 Detective 中的更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Detective 中的帳戶限制和建議

在 Amazon Detective 中管理帳戶時,請注意以下限制與建議。

成員帳戶的數目上限

Detective 允許在每個行為圖表中最多容納 1,200 個成員帳戶。

如果您使用 AWS Organizations 管理帳戶,預設情況下 Detective 會在帳戶管理頁面上顯示最多 5000 個成員帳戶。如果您想要檢視所有帳戶,請選取載入所有帳戶 。可能需要幾分鐘的時間才能傳回所有結果。

帳戶和區域

如果您使用 AWS Organizations 管理帳戶,組織管理帳戶會為組織指定 Detective 管理員帳戶。該 Detective 管理員帳戶會成為組織行為圖表的管理員帳戶。

所有區域的 Detective 管理員帳戶必須相同。組織管理帳戶會分別在每個區域中指定 Detective 管理員帳戶。Detective 管理員帳戶也會分別管理每個區域中的組織行為圖表和成員帳戶。

針對透過邀請建立的成員帳戶,系統只會在邀請寄出的區域建立管理員與成員關聯。管理員帳戶必須在每個區域中啟用 Detective,並且在每個區域中都有獨立的行為圖表。然後,管理員帳戶會邀請每個帳戶在該區域關聯為成員帳戶。

一個帳戶可以是相同區域中多個行為圖表的成員帳戶。一個帳戶在每個區域只能成為一個行為圖表的管理員帳戶。帳戶可以是不同區域的管理員帳戶。

管理員帳戶與 Security Hub 和 的一致性 GuardDuty

為了確保與 AWS Security Hub 和 Amazon 的整合能夠順利 GuardDuty 運作,我們建議所有這些服務中的管理員帳戶都是相同的帳戶。

請參閱 建議與 GuardDuty 和 對齊 AWS Security Hub

授予管理員帳戶所需的許可

若要確保管理員帳戶具有管理其行為圖所需的許可,請將AmazonDetectiveFullAccess受管政策連接至IAM主體。

反映組織在 Detective 中的更新

對組織的變更不會立即反映在 Detective 中。

針對大多數變更 (例如新增和已移除的組織帳戶),Detective 最多可能需要一小時才會收到通知。

變更組織中指定的 Detective 管理員帳戶所需的傳播時間較短。