本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 GuardDuty 帳戶 AWS Organizations
在組 AWS 織中,管理帳戶可以將此組織內的任何帳戶指定為委派的管理 GuardDuty 員帳戶。對於此管理員帳戶, GuardDuty 僅在當前帳戶中自動啟用 AWS 區域。根據預設,管理員帳戶可以 GuardDuty 為該區域內組織中的所有成員帳戶啟用和管理。管理員帳戶可以檢視並新增成員至此 AWS 組織。
下列各節將引導您完成您可以作為委派 GuardDuty 系統管理員帳戶執行的各種工作。
GuardDuty 搭配使用的注意事項和建議 AWS Organizations
下列考量事項與建議可協助您瞭解委派 GuardDuty 系統管理員帳戶的運作方式 GuardDuty:
- 委派的 GuardDuty 系統管理員帳戶最多可管理 50,000 名成員。
-
每個委派的管理員帳戶上限為 50,000 個成 GuardDuty 員帳戶。這包括透過新增的成員帳戶 AWS Organizations 或接受 GuardDuty 管理員帳戶加入其組織邀請的成員帳戶。但是,您的 AWS 組織中可能有 50,000 個以上的帳戶。
如果您超過 50,000 個成員帳戶限制,您將會收到來自 CloudWatch AWS Health Dashboard、和指定委派 GuardDuty 管理員帳戶的電子郵件通知。
- 委派的 GuardDuty 管理員帳戶為「地區」。
-
不同的 GuardDuty 是 AWS Organizations,是一個區域服務。委派的 GuardDuty 管理員帳戶及其成員帳戶必須 AWS Organizations 在您已 GuardDuty 啟用的每個所需區域中新增。如果組織管理帳戶僅在美國東部 (維吉尼亞北部) 指定委派的管理 GuardDuty 員帳戶,則委派的管理 GuardDuty 員帳戶只會管理新增至該區域中組織的成員帳戶。如需有關可用區域中特徵同位檢查的 GuardDuty 更多資訊,請參閱區域與端點。
- 選擇加入地區的特殊情況
-
當委派的 GuardDuty 系統管理員帳戶選擇退出選擇加入區域時,即使您的組織將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (
NEW
) 或所有成員帳戶 (ALL
),也 GuardDuty無法針對目前已停用的組織中的任何成員帳戶啟用。 GuardDuty 如需成員帳戶設定的相關資訊,請在GuardDuty 主控台導覽窗格中開啟 [帳戶],或使用ListMembersAPI。 -
使 GuardDuty 用自動啟用組態集時
NEW
,請確定符合下列順序:-
會員帳戶選擇加入選擇加入區域。
-
將成員帳戶新增至中的組織 AWS Organizations。
如果您變更這些步驟的順序, GuardDuty 自動啟用設定
NEW
將無法在特定的選擇加入區域中運作,因為該成員帳戶不再是組織的新成員。 GuardDuty 提供兩種替代解決方案:-
將 GuardDuty 自動啟用組態設定為
ALL
,其中包括新的和現有的成員帳戶。在這種情況下,這些步驟的順序是不相關的。 -
如果成員帳戶已經是組織的一部分,請使用 GuardDuty 主控台或在特定選擇加入區域中個別管理此帳戶的組 GuardDuty 態。API
-
- AWS 組織必須具有相同的委派 GuardDuty 管理員帳戶 AWS 區域。
-
您必須 AWS 區域 在所有啟用位置中指定一個成 GuardDuty 員帳戶作 GuardDuty 為委派管理員帳戶。例如,如果您指定了一個成員帳戶
111122223333
inEurope (Ireland)
,您無法指定其他會員帳戶555555555555
inCanada (Central)
。 您必須在所有其他區域中使用與委派 GuardDuty 管理員帳戶相同的帳戶。您可以隨時指定新的委派 GuardDuty 管理員帳戶。如需移除現有委派 GuardDuty 系統管理員帳戶的詳細資訊,請參閱變更委派的 GuardDuty 管理員帳戶。
- 不建議將組織的管理帳戶設定為委派的系統管理 GuardDuty 員帳戶。
-
您組織的管理帳戶可以是委派的系統管理 GuardDuty 員帳戶。不過, AWS 安全性最佳實務遵循最低權限原則,不建議使用此組態。
- 變更委派的 GuardDuty 系統管理員帳戶並不會停 GuardDuty 用成員帳戶。
-
如果您移除委派的 GuardDuty 系統管理員帳戶,則會 GuardDuty 移除與此委派 GuardDuty 管理員帳戶相關聯的所有成員帳戶。 GuardDuty 所有這些成員帳戶仍保持啟用狀態。