本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS 組織中,管理帳戶可以將此組織中的任何帳戶指定為委派的 GuardDuty 管理員帳戶。對於此管理員帳戶,GuardDuty 只會在目前的 中自動啟用 AWS 區域。根據預設,管理員帳戶可以為該區域內組織中的所有成員帳戶啟用和管理 GuardDuty。管理員帳戶可以檢視和新增成員到此 AWS 組織。
以下各節將逐步解說各種任務,您可以執行這些任務,做為委派的 GuardDuty 管理員帳戶。
目錄
搭配 使用 GuardDuty 的考量和建議 AWS Organizations
下列考量和建議可協助您了解委派的 GuardDuty 管理員帳戶如何在 GuardDuty 中運作:
- 委派的 GuardDuty 管理員帳戶最多可管理 50,000 個成員。
-
每個委派的 GuardDuty 管理員帳戶限制 50,000 個成員帳戶。這包括透過 新增的成員帳戶, AWS Organizations 或接受 GuardDuty 管理員帳戶加入其組織的邀請的成員帳戶。不過,您的 AWS 組織中可能有超過 50,000 個帳戶。
如果您超過 50,000 個成員帳戶限制,您會收到 CloudWatch 的通知 AWS Health Dashboard,並收到一封電子郵件給指定的委派 GuardDuty 管理員帳戶。
- 委派的 GuardDuty 管理員帳戶是區域性帳戶。
-
與 不同 AWS Organizations,GuardDuty 是區域服務。委派的 GuardDuty 管理員帳戶及其成員帳戶,必須在您啟用 GuardDuty AWS Organizations 的每個所需區域中透過 新增。如果組織管理帳戶僅在美國東部 (維吉尼亞北部) 指定委派的 GuardDuty 管理員帳戶,則委派的 GuardDuty 管理員帳戶只會管理新增至該區域中組織的成員帳戶。如需 GuardDuty 可用區域中功能同位的詳細資訊,請參閱區域與端點。
- 選擇加入區域的特殊案例
-
當委派的 GuardDuty 管理員帳戶選擇退出選擇加入區域時,即使您的組織已將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (
NEW) 或所有成員帳戶 (ALL),也無法為組織中目前已停用 GuardDuty 的任何成員帳戶啟用 GuardDuty。如需有關成員帳戶組態的資訊,請在 GuardDuty 主控台導覽窗格中開啟帳戶,或使用 ListMembers API。 -
使用 GuardDuty 自動啟用組態設為 時
NEW,請確定符合下列順序:-
成員帳戶選擇加入 區域。
-
在 中將成員帳戶新增至您的組織 AWS Organizations。
如果您變更這些步驟的順序,GuardDuty 自動啟用設定
NEW將無法在特定選擇加入區域中運作,因為成員帳戶不再是組織的新帳戶。GuardDuty 提供兩種替代解決方案:-
將 GuardDuty 自動啟用組態設定為
ALL,其中包含新的和現有的成員帳戶。在此情況下,這些步驟的順序並不相關。 -
如果成員帳戶已經是組織的一部分,請使用 GuardDuty 主控台或 API,在特定選擇加入區域中個別管理此帳戶的 GuardDuty 組態。
-
- AWS 組織在所有 中擁有相同的委派 GuardDuty 管理員帳戶時需要 AWS 區域。
-
您必須指定一個成員帳戶做為所有啟用 GuardDuty AWS 區域 之 的委派 GuardDuty 管理員帳戶。例如,如果您
在歐洲 (愛爾蘭)指定成員帳戶111122223333,則無法在加拿大 (中部)指定其他成員帳戶555555555555。您必須在所有其他區域中使用與委派 GuardDuty 管理員帳戶相同的帳戶。您可以隨時指定新的委派 GuardDuty 管理員帳戶。如需移除現有委派 GuardDuty 管理員帳戶的詳細資訊,請參閱 變更委派的 GuardDuty 管理員帳戶。
- 不建議將組織的管理帳戶設定為委派的 GuardDuty 管理員帳戶。
-
您組織的管理帳戶可以是委派的 GuardDuty 管理員帳戶。不過, AWS 安全性最佳實務遵循最低權限原則,不建議使用此組態。
- 變更委派的 GuardDuty 管理員帳戶不會停用成員帳戶的 GuardDuty。
-
如果您移除委派的 GuardDuty 管理員帳戶,GuardDuty 會移除與此委派的 GuardDuty 管理員帳戶相關聯的所有成員帳戶。對於所有這些成員帳戶,GuardDuty 仍然保持啟用狀態。
