本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解管理員帳戶和成 GuardDuty 員帳戶之間的關係
當您 GuardDuty 在多帳戶環境中使用時,管理員帳戶可以代表成員帳戶管理某些層面。 GuardDuty 管理員帳戶可以執行下列主要功能:
-
新增和移除相關聯的成員帳戶。管理員帳戶可以執行此操作的程序會根據您管理帳戶的方式 (透過組織或邀請) 而有所不同。
-
在管 GuardDuty 理帳戶 GuardDuty 中啟用委派管理員帳戶
如果 AWS Organizations 管理帳戶停用 GuardDuty,委派的系統管理 GuardDuty 員帳戶可以 GuardDuty 在管理帳戶中啟用。不過,管理帳戶必須尚未明確刪除服務連結角色權限 GuardDuty.
-
管理關聯成員帳戶 GuardDuty 內的狀態,包括啟用和暫停 GuardDuty。
注意
管理的委派管理員帳戶會 GuardDuty 在新增為成員的帳戶中 AWS Organizations 自動啟用。
-
透過建立和管理抑制規則、信任 IP 清單和安全威脅清單,自訂 GuardDuty 網路中的發現項目。在多帳戶環境中,只有委派的系 GuardDuty 統管理員帳戶才能使用這些功能的設定。成員帳戶無法更新此設定。
下表詳細說明管理員帳戶與成 GuardDuty 員帳戶之間的關係。
在此資料表中:
-
自我 — 帳戶只能針對自己的帳戶執行列出的動作。
-
任何 — 帳號可針對任何關聯帳號執行列出的動作。
-
全部 — 帳號可以執行列出的動作,並套用至所有相關聯的帳號。通常,採取此動作的帳戶是指定的 GuardDuty 管理員帳戶
帶有破折號 (—) 的表格儲存格表示帳戶無法執行列出的動作。
Action | 通過 AWS Organizations | 通過邀請 | ||
---|---|---|---|---|
委派 GuardDuty 管理員帳戶 | 關聯會員帳戶 | 委派 GuardDuty 管理員帳戶 | 關聯會員帳戶 | |
啟用 GuardDuty | 任何 | – | 自我 | 自我 |
為整個組織 GuardDuty 自動啟用 (ALL 、NEW 、NONE ) |
全部 | – | – | – |
檢視所有 Organizations 成員帳戶,不論狀 GuardDuty 態為何 | 任何 | – | – | – |
產生範例問題清單 | 自我 | 自我 | 自我 | 自我 |
檢視所有 GuardDuty 發現 | 任何 | 自我 | 任何 | 自我 |
封存 GuardDuty 發現 | 任何 | – | 任何 | – |
套用隱藏規則 | 全部 | – | 全部 | – |
建立信任的 IP 清單或威脅清單 | 全部 | – | 全部 | – |
更新信任的 IP 清單或安全威脅清單 | 全部 | – | 全部 | – |
刪除信任的 IP 清單或安全威脅清單 | 全部 | – | 全部 | – |
設定 EventBridge 通知頻率 | 全部 | – | 全部 | 自我 |
設定匯出調查結果的 Amazon S3 位置 | 全部 | – | 全部 | 自我 |
為整個組織啟用一或多個選擇性保護方案 ( 這不包括 S3 的惡意軟體防護。 |
全部 | – | – | – |
為個人帳戶啟用任何 GuardDuty 保護計劃 這不包括 S3 的惡意軟體防護EC2和惡意軟體防護。 |
任何 | – | 任何 | – |
惡意軟體防護 EC2 |
任何 | – | 自我 | 自我 |
S3 的惡意軟體防護 |
– | 自我 | – | 自我 |
取消成員帳戶的關聯 | 任何 | – | 任何 | – |
取消與管理員帳戶的關聯 | – | 自我 + | – | 自我 |
刪除已取消關聯的成員帳戶 | 任何 | – | 任何 | – |
暫停 GuardDuty | 任何 * | – | 任何 * | – |
停用 GuardDuty | 任何 * | – | 任何 * | – |
+ 表示只有在委派 GuardDuty 管理員帳戶尚未設定組織成員的自動啟用偏好設定時,帳戶才能採ALL
取此動作。
* 表示委派的 GuardDuty 系統管理員帳戶無法直接 GuardDuty 在成員帳戶中停用。委派的 GuardDuty 系統管理員帳戶必須先解除成員帳戶的關聯,然後再將其刪除。之後,每個成員帳戶都可以 GuardDuty 在自己的帳戶中禁用。如需有關在組織中執行這些工作的詳細資訊,請參閱維護您的組織 GuardDuty。