使用管理 GuardDuty 账户 AWS Organizations

在组织中 GuardDuty 使用时，该 AWS 组织的管理账户可以将组织内的任何账户指定为委派 GuardDuty 管理员账户。对于此管理员帐户， GuardDuty仅在指定的帐户中自动启用 AWS 区域。该账户还有权启用和管理 GuardDuty 该区域内组织中的所有账户。管理员帐户可以查看该组织的成员，也可以向该 AWS 组织添加成员。

如果您已经通过邀请设置了具有关联成员帐户的 GuardDuty 管理员帐户，并且成员帐户属于同一组织，则当您为组织设置委托 GuardDuty 管理员帐户时，其类型将从 “通过邀请” 更改为 “Via Organizations”。如果委托 GuardDuty 管理员账户之前通过邀请添加了不属于同一组织的成员，则其类型仍为 “按邀请”。在这两种情况下，先前添加的账户都是与组织的委托 GuardDuty 管理员账户关联的成员账户。

您可以继续将账户添加为成员，即使账户位于组织之外也是如此。有关更多信息，请参阅通过邀请添加和管理账户或使用控制台指定委派 GuardDuty 管理员账号并管理成员 GuardDuty 。

内容

• 指定委派 GuardDuty 管理员账户时的注意事项和建议
• 指定委派 GuardDuty 管理员账号所需的权限
• 使用控制台指定委派 GuardDuty 管理员账号并管理成员 GuardDuty
• 使用 API 指定 GuardDuty 委派 GuardDuty 管理员账号并管理成员
• 在内部维护您的组织 GuardDuty
• 更改委派 GuardDuty 管理员账号

指定委派 GuardDuty 管理员账户时的注意事项和建议

以下注意事项和建议可以帮助您了解委派 GuardDuty 管理员账户在中的运作方式 GuardDuty：

一个委托 GuardDuty 管理员账号最多可以管理 50,000 个成员。

每个委托 GuardDuty 管理员账户的成员账户上限为 50,000 个。这包括通过添加的成员账户 AWS Organizations 或接受 GuardDuty 管理员账户邀请加入其组织的成员账户。但是，您的 AWS 组织中可能有超过 50,000 个帐户。

如果您超过了 50,000 个成员账户的限制，您将收到来自 CloudWatch AWS Health Dashboard、的通知以及发送给指定委托 GuardDuty 管理员账户的电子邮件。

委托 GuardDuty 管理员账户为区域账户。

与之不同 GuardDuty 的是 AWS Organizations，是区域服务。必须在您已 GuardDuty 启用的每个所需区域 AWS Organizations 中添加委托 GuardDuty 管理员帐户及其成员帐户。如果组织管理账户仅在美国东部（弗吉尼亚北部）指定委托 GuardDuty 管理员账户，则委派 GuardDuty 管理员账户将仅管理添加到该地区组织的成员账户。有关可用区域中功能对等性的 GuardDuty 更多信息，请参阅区域和端点。

选择加入区域的特殊情况

• 当委托 GuardDuty 管理员账户选择退出选择加入区域时，即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL)，也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息，请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。

• 将 GuardDuty 自动启用配置设置为时NEW，请确保满足以下顺序：

  1. 成员账户选择加入可选区域。

  2. 在中将成员帐户添加到您的组织 AWS Organizations。

  如果您更改这些步骤的顺序，则 GuardDuty 自动启用设置在特定的选择加入区域NEW将不起作用，因为该组织已不再是成员账户的新用户。 GuardDuty 提供了两种备选解决方案：

  • 将 GuardDuty 自动启用配置设置为ALL，包括新的和现有的成员帐户。在这种情况下，这些步骤的顺序无关紧要。

  • 如果成员账户已经是您组织的一部分，请使用 GuardDuty 控制台或 API 在特定的选择加入区域中单独管理该账户的 GuardDuty 配置。

建议 AWS 组织在所有组织中使用相同的委托 GuardDuty 管理员帐户 AWS 区域。

我们建议您在所有已启用 AWS 区域 的地方为组织指定相同的委托 GuardDuty 管理员帐户 GuardDuty。如果您将一个账户指定为一个区域的委托 GuardDuty 管理员账户，则建议您在所有其他区域使用与委托 GuardDuty 管理员账户相同的账户。

您可以随时指定新的委派 GuardDuty 管理员帐户。有关删除现有委派 GuardDuty 管理员账户的更多信息，请参阅更改委派 GuardDuty 管理员账号。

不建议将贵组织的管理账号设置为委派 GuardDuty 管理员账号。

您组织的管理账号可以是委派的 GuardDuty 管理员账号。但是， AWS 安全最佳实践遵循最低权限原则，不建议使用此配置。

成员账户无法更改委派 GuardDuty 管理员账号。 GuardDuty

如果您移除委派 GuardDuty 管理员账号，则 GuardDuty 会移除与该委派 GuardDuty 管理员账号关联的所有成员账号。 GuardDuty 所有这些成员帐户仍保持启用状态。