本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 GuardDuty 管理员账户和成员账户之间的关系
当您在多账户环境 GuardDuty 中使用时,管理员账户可以代表成员账户管理某些方面。 GuardDuty 管理员账户可以执行以下主要功能:
-
添加和删除关联的成员账户。执行此操作的过程取决于账户是通过组织关联的还是通过邀请关联的。
-
管理关联成员账户 GuardDuty 内的状态,包括启用和暂停 GuardDuty。
注意
在添加为成员的账户 GuardDuty 中,使用 AWS Organizations 自动启用来管理的委托管理员帐户。
-
通过创建和管理抑制规则、可信 IP 列表和威胁列表,自定义 GuardDuty 网络内部的调查结果。在多账户环境中,只有委派的 GuardDuty 管理员账户才能配置这些功能。成员账户无法更新此配置。
下表详细说明了 GuardDuty 管理员账户和成员账户之间的关系。
在此表中:
自我 — 账户只能为自己的账户执行列出的操作。
任意-账户可以对任何关联账户执行列出的操作。
全部-一个账户可以执行列出的操作,它适用于所有关联的账户。通常,执行此操作的帐户是指定的 GuardDuty 管理员帐户
带有短划线 (—) 的表格单元格表示该账户无法执行列出的操作。
| 操作 | 通过 AWS Organizations | 通过邀请 | ||
|---|---|---|---|---|
| 委派 GuardDuty 管理员账号 | 关联的成员账户 | 委派 GuardDuty 管理员账号 | 关联的成员账户 | |
| 启用 GuardDuty | 任何 | – | 自身 | 自身 |
为整个组织 GuardDuty 自动启用 (ALL、NEW、NONE) |
全部 | – | – | – |
| 查看所有 Organizations 成员账户,无论其 GuardDuty 状态如何 | 任何 | – | – | – |
| 生成示例发现结果 | 自身 | 自身 | 自身 | 自身 |
| 查看所有 GuardDuty 发现 | 任何 | 自身 | 任何 | 自身 |
| 存档 GuardDuty 调查结果 | 任何 | – | 任何 | – |
| 应用禁止规则 | 全部 | – | 全部 | – |
| 创建可信 IP 列表或威胁列表 | 全部 | – | 全部 | – |
| 更新可信 IP 列表或威胁列表 | 全部 | – | 全部 | – |
| 删除可信 IP 列表或威胁列表 | 全部 | – | 全部 | – |
| 设置 EventBridge 通知频率 | 全部 | – | 全部 | 自身 |
| 设置用于导出调查发现的 Amazon S3 位置 | 全部 | – | 全部 | 自身 |
|
为整个组织启用一个或多个可选保护计划 ( 这不包括 S3 的恶意软件防护。 |
全部 | – | – | – |
为个人账户启用任何 GuardDuty 保护计划 这不包括 S3 的恶意软件防护。 |
任何 | – | 任何 | 自身 |
|
S3 的恶意软件防护 |
– | 自身 | – | 自身 |
| 取消关联成员账户 | 任何 | – | 任何 | – |
| 取消与管理员账户账户的关联 | – | 自我 # | – | 自身 |
| 删除已取消关联的成员账户 | 任何 | – | 任何 | – |
| 暂停 GuardDuty | 任何 * | – | 任何 * | – |
| 禁用 GuardDuty | 任何 * | – | 任何 * | – |
# 表示只有在委派的 GuardDuty 管理员帐户尚未为组织成员设置自动启用首选项时,该账户才能ALL执行此操作。
* 表示必须先对所有关联账户执行此操作,然后才能对该账户执行此操作。取消关联这些账户后,必须将其删除。有关在组织中执行这些任务的更多信息,请参阅在内部维护您的组织 GuardDuty。
