了解 GuardDuty 管理員帳戶與成員帳戶之間的關係

當您 GuardDuty 在多帳戶環境中使用時，管理員帳戶可以 GuardDuty 代表成員帳戶管理的某些層面。管理員帳戶可以執行下列主要函數：

新增和移除相關聯的成員帳戶 – 管理員帳戶可以執行此操作的程序，取決於您如何透過 GuardDuty 邀請方法 AWS Organizations 或邀請方法管理帳戶。

GuardDuty 建議透過管理您的成員帳戶 AWS Organizations。
在 GuardDuty 管理帳戶中啟用委派 GuardDuty 管理員帳戶 – 如果 AWS Organizations 管理帳戶曾停用 GuardDuty，委派 GuardDuty 管理員帳戶可以在 GuardDuty 管理帳戶中啟用。不過，管理帳戶必須尚未明確刪除的服務連結角色許可 GuardDuty。
設定成員帳戶的狀態 – 管理員帳戶可以啟用或停用 GuardDuty 保護計劃的狀態，以及 GuardDuty 代表相關聯的成員帳戶啟用、暫停或停用的狀態。

使用管理的委派 GuardDuty 管理員帳戶 AWS Organizations 可在將 AWS 帳戶新增為成員 GuardDuty 時自動啟用。
自訂何時產生問題清單 – 管理員帳戶可以透過建立和管理禁止規則、信任 IP 清單和威脅清單，在 GuardDuty 網路中自訂問題清單。在多帳戶環境中，設定這些功能的支援僅適用於委派的 GuardDuty 管理員帳戶。成員帳戶無法更新此組態。

下表詳細說明 GuardDuty 管理員帳戶與成員帳戶之間的關係。

資料表的索引鍵

自我 – 帳戶只能對自己的帳戶執行列出的動作。
任何 – 帳戶可以為任何相關聯的帳戶執行列出的動作。
全部 – 帳戶可以執行列出的動作，並套用至所有相關聯的帳戶。通常，採取此動作的帳戶是指定的 GuardDuty 管理員帳戶
破折號 (–) 的儲存格 – 破折號 (–) 的資料表儲存格表示帳戶無法執行列出的動作。

Action	透過 AWS Organizations		依邀請
Action	委派 GuardDuty 管理員帳戶	關聯的成員帳戶	GuardDuty 管理員帳戶	關聯的成員帳戶
啟用 GuardDuty	任何	–	自我	自我
為整個組織 GuardDuty 自動啟用 (`ALL`、`NEW`、`NONE`)	全部	–	–	–
檢視所有 Organizations 成員帳戶，無論 GuardDuty 狀態為何	任何	–	–	–
產生範例問題清單	自我	自我	自我	自我
檢視所有 GuardDuty 調查結果	任何	自我	任何	自我
封存 GuardDuty 問題清單	任何	–	任何	–
套用隱藏規則	全部	–	全部	–
建立信任的 IP 清單或威脅清單	全部	–	全部	–
更新信任 IP 清單或威脅清單	全部	–	全部	–
刪除信任的 IP 清單或威脅清單	全部	–	全部	–
設定 EventBridge 通知頻率	全部	–	全部	–
設定匯出調查結果的 Amazon S3 位置	全部	自我	全部	自我
為整個組織啟用一或多個選用的保護計劃 (`ALL`、`NEW`、`NONE`) 這不包括 S3 的惡意軟體防護。	全部	–	–	–
啟用個別帳戶的任何 GuardDuty 保護計劃這不包括適用於的惡意軟體防護EC2和適用於 S3 的惡意軟體防護。	任何	–	任何	–
的惡意軟體防護 EC2	任何	–	自我	自我
S3 的惡意軟體防護	–	自我	–	自我
取消與成員帳戶建立關聯	Any^＋	–	任何	–
取消與管理員帳戶的關聯	–	–	–	自我
刪除取消關聯的成員帳戶	任何	–	任何	–
暫停 GuardDuty	任何^*	–	任何^*	–
停用 GuardDuty	任何^*	–	任何^*	–

^＋表示委派 GuardDuty 管理員帳戶只有在尚未設定組織成員的自動啟用偏好設定時ALL，才能採取此動作。

^*表示委派的 GuardDuty 管理員帳戶無法直接 GuardDuty 在成員帳戶中停用。委派的 GuardDuty 管理員帳戶必須先取消成員帳戶的關聯，然後刪除它們。之後，每個成員帳戶都可以 GuardDuty 在自己的帳戶中停用。如需在組織中執行這些任務的詳細資訊，請參閱在中持續管理您的成員帳戶 GuardDuty。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

中的多個帳戶 GuardDuty

透過 AWS Organizations管理帳戶