本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 GuardDuty 管理員帳戶與成員帳戶之間的關係
當您在多個帳戶環境中使用 GuardDuty 時,管理員帳戶可以代表成員帳戶管理 GuardDuty 的某些層面。管理員帳戶可以執行下列主要函數:
-
新增和移除相關聯的成員帳戶 – 管理員帳戶可以執行此操作的程序,取決於您如何透過 AWS Organizations GuardDuty 邀請方法管理帳戶。
GuardDuty 建議透過 管理您的成員帳戶 AWS Organizations。
-
在管理帳戶中啟用 GuardDuty 的委派 GuardDuty 管理員帳戶 – 如果 AWS Organizations 管理帳戶曾停用 GuardDuty,委派的 GuardDuty 管理員帳戶可以在管理帳戶中啟用 GuardDuty。不過,管理帳戶必須尚未明確刪除 GuardDuty 的服務連結角色許可。
-
設定成員帳戶的狀態 – 管理員帳戶可以啟用或停用 GuardDuty 保護計劃的狀態,以及代表相關聯的成員帳戶啟用、暫停或停用 GuardDuty 狀態。
使用 管理的委派 GuardDuty 管理員帳戶 AWS Organizations 可在 AWS 帳戶 將 新增為成員時自動啟用 GuardDuty。
-
自訂何時產生問題清單 – 管理員帳戶可以透過建立和管理禁止規則、信任 IP 清單和威脅清單,在 GuardDuty 網路中自訂問題清單。在多帳戶環境中,設定這些功能的支援僅適用於委派的 GuardDuty 管理員帳戶。成員帳戶無法更新此組態。
下表詳細說明 GuardDuty 管理員帳戶與成員帳戶之間的關係。
資料表的索引鍵
-
自我 – 帳戶只能對自己的帳戶執行列出的動作。
-
任何 – 帳戶可以為任何相關聯的帳戶執行列出的動作。
-
全部 – 帳戶可以執行列出的動作,並套用至所有相關聯的帳戶。通常,採取此動作的帳戶是指定的 GuardDuty 管理員帳戶
-
破折號 (–) 的儲存格 – 破折號 (–) 的資料表儲存格表示帳戶無法執行列出的動作。
| Action | 透過 AWS Organizations | 依邀請 | ||
|---|---|---|---|---|
| 委派的 GuardDuty 管理員帳戶 | 關聯的成員帳戶 | GuardDuty 管理員帳戶 | 關聯的成員帳戶 | |
| Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization
(ALL, 新, NONE) |
All | – | – | – |
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
| Generate sample findings | Self | Self | Self | Self |
| View all GuardDuty findings | Any | Self | Any | Self |
| Archive GuardDuty findings | Any | – | Any | – |
| Apply suppression rules | All | – | All | – |
| Create trusted IP list or threat lists | All | – | All | – |
| Update trusted IP list or threat lists | All | – | All | – |
| Delete trusted IP list or threat lists | All | – | All | – |
| Set EventBridge notification frequency | All | – | All | – |
| Set Amazon S3 location for exporting findings | All | Self | All | Self |
|
為整個組織啟用一或多個選用的保護計劃 ( 這不包括 S3 的惡意軟體防護。 |
All | – | – | – |
為個別帳戶啟用任何 GuardDuty 保護計劃 這不包括 EC2 的惡意軟體防護和 S3 的惡意軟體防護。 |
Any | – | Any | – |
|
EC2 的惡意軟體防護 |
Any | – | Self | Self |
|
S3 的惡意軟體防護 |
– | Self | – | Self |
| Disassociate a member account | Any+ | – | Any | – |
| Disassociate from an administrator account | – | – | – | Self |
| Delete a disassociated member account | Any | – | Any | – |
| Suspend GuardDuty | Any* | – | Any* | – |
| Disable GuardDuty | Any* | – | Any* | – |
+表示委派的 GuardDuty 管理員帳戶只有在尚未設定組織成員的自動啟用偏好設定時ALL,才能採取此動作。
*表示委派的 GuardDuty 管理員帳戶無法直接在成員帳戶中停用 GuardDuty。委派的 GuardDuty 管理員帳戶必須先取消成員帳戶的關聯,然後刪除它們。之後,每個成員帳戶都可以在自己的帳戶中停用 GuardDuty。如需在組織中執行這些任務的詳細資訊,請參閱在 GuardDuty 中持續管理您的成員帳戶。
