使用 管理 GuardDuty 帳戶 AWS Organizations

下列考量事項和建議可協助您了解委派 GuardDuty 管理員帳戶的運作方式 GuardDuty：

委派的 GuardDuty 管理員帳戶最多可管理 50，000 名成員。

每個委派 GuardDuty 管理員帳戶限制 50，000 個成員帳戶。這包括透過 新增的成員帳戶， AWS Organizations 或接受 GuardDuty 管理員帳戶加入其組織的邀請的成員帳戶。不過，您的 AWS 組織中可能有超過 50，000 個帳戶。

如果您超過 50，000 個成員帳戶限制，您會收到來自 的通知 CloudWatch AWS Health Dashboard，並傳送電子郵件至指定的委派 GuardDuty 管理員帳戶。

委派的 GuardDuty 管理員帳戶是區域性帳戶。

與 不同 AWS Organizations， GuardDuty 是區域性服務。委派的 GuardDuty 管理員帳戶及其成員帳戶必須透過 新增至您 GuardDuty 啟用 AWS Organizations 的每個所需區域中。如果組織管理帳戶只指定美國東部 （維吉尼亞北部） 的委派 GuardDuty 管理員帳戶，則委派 GuardDuty 管理員帳戶只會管理新增至該區域中組織的成員帳戶。如需 GuardDuty 可用 區域中功能同位的詳細資訊，請參閱 區域與端點。

選擇加入區域的特殊案例

• 當委派 GuardDuty 管理員帳戶選擇退出加入區域時，即使您的組織已將 GuardDuty 自動啟用組態設定為僅新成員帳戶 (NEW) 或所有成員帳戶 (ALL)， GuardDuty也無法為組織中目前 GuardDuty 已停用的任何成員帳戶啟用。如需成員帳戶組態的相關資訊，請在GuardDuty 主控台導覽窗格中開啟帳戶或使用 ListMembers API。

• 使用 GuardDuty 自動啟用組態設定為 時NEW，請確定符合下列順序：

  1. 成員帳戶選擇加入 區域。

  2. 在 中將成員帳戶新增至您的組織 AWS Organizations。

  如果您變更這些步驟的順序，使用 的 GuardDuty 自動啟用設定NEW將無法在特定選擇加入區域中運作，因為成員帳戶不再是組織的新帳戶。 GuardDuty 提供兩種替代解決方案：

  • 將 GuardDuty 自動啟用組態設定為 ALL，其中包含新的和現有的成員帳戶。在此情況下，這些步驟的順序並不相關。

  • 如果成員帳戶已經是組織的一部分，請使用 GuardDuty 主控台或 ，在特定選擇加入區域中個別管理此帳戶的 GuardDuty 組態API。

AWS 組織在所有 中擁有相同的委派 GuardDuty 管理員帳戶時需要 AWS 區域。

您必須指定一個成員帳戶做為 AWS 區域 GuardDuty 啟用 之所有 的委派 GuardDuty 管理員帳戶。例如，如果您在 111122223333中指定成員帳戶Europe (Ireland)，則無法在 555555555555中指定另一個成員帳戶Canada (Central)。您必須在所有其他區域中使用與委派 GuardDuty 管理員帳戶相同的帳戶。

您可以隨時指定新的委派 GuardDuty 管理員帳戶。如需移除現有委派 GuardDuty 管理員帳戶的詳細資訊，請參閱 變更委派 GuardDuty 管理員帳戶。

不建議將組織的管理帳戶設定為委派的 GuardDuty 管理員帳戶。

您組織的管理帳戶可以是委派的 GuardDuty 管理員帳戶。不過， AWS 安全性最佳實務遵循最低權限原則，不建議使用此組態。

變更委派 GuardDuty 管理員帳戶不會 GuardDuty 停用成員帳戶。

如果您移除委派 GuardDuty 管理員帳戶， 會 GuardDuty 移除與此委派 GuardDuty 管理員帳戶相關聯的所有成員帳戶。 GuardDuty 仍然會為所有這些成員帳戶啟用 。