本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解管理員帳戶和成 GuardDuty 員帳戶之間的關係
當您 GuardDuty 在多帳戶環境中使用時,管理員帳戶可以代表成員帳戶管理某些層面。 GuardDuty 管理員帳戶可以執行的主要功能如下:
-
新增和移除相關聯的成員帳戶。執行這項操作的程序會根據帳戶是否透過組織或邀請建立關聯而有所不同。
-
管理關聯成員帳戶 GuardDuty 內的狀態,包括啟用和暫停 GuardDuty。
注意
管理的委派管理員帳戶會 GuardDuty 在新增為成員的帳戶中 AWS Organizations 自動啟用。
-
透過建立和管理抑制規則、信任 IP 清單和安全威脅清單,自訂 GuardDuty 網路中的發現項目。在多帳戶環境中,只有委派的系 GuardDuty 統管理員帳戶才能使用這些功能的設定。成員帳戶無法更新此設定。
下表詳細說明管理員帳戶與成 GuardDuty 員帳戶之間的關係。
在此資料表中:
自我 — 帳戶只能針對自己的帳戶執行列出的動作。
任何 — 帳號可針對任何關聯帳號執行列出的動作。
全部 — 帳號可以執行列出的動作,並套用至所有相關聯的帳號。通常,採取此動作的帳戶是指定的 GuardDuty 管理員帳戶
帶有破折號 (—) 的表格儲存格表示帳戶無法執行列出的動作。
| Action | 通過 AWS Organizations | 通過邀請 | ||
|---|---|---|---|---|
| 委派 GuardDuty 管理員帳戶 | 關聯會員帳戶 | 委派 GuardDuty 管理員帳戶 | 關聯會員帳戶 | |
| 啟用 GuardDuty | 任何 | – | 自我 | 自我 |
為整個組織 GuardDuty 自動啟用 (ALL、NEW、NONE) |
全部 | – | – | – |
| 檢視所有 Organizations 成員帳戶,不論狀 GuardDuty 態為何 | 任何 | – | – | – |
| 產生範例問題清單 | 自我 | 自我 | 自我 | 自我 |
| 檢視所有 GuardDuty 發現 | 任何 | 自我 | 任何 | 自我 |
| 封存 GuardDuty 發現 | 任何 | – | 任何 | – |
| 套用隱藏規則 | 全部 | – | 全部 | – |
| 建立信任的 IP 清單或威脅清單 | 全部 | – | 全部 | – |
| 更新信任的 IP 清單或安全威脅清單 | 全部 | – | 全部 | – |
| 刪除信任的 IP 清單或安全威脅清單 | 全部 | – | 全部 | – |
| 設定 EventBridge 通知頻率 | 全部 | – | 全部 | 自我 |
| 設定匯出調查結果的 Amazon S3 位置 | 全部 | – | 全部 | 自我 |
|
為整個組織啟用一或多個選擇性保護方案 ( 這不包括 S3 的惡意軟體防護。 |
全部 | – | – | – |
為個人帳戶啟用任何 GuardDuty 保護計劃 這不包括 S3 的惡意軟體防護。 |
任何 | – | 任何 | 自我 |
|
S3 的惡意軟體防護 |
– | 自我 | – | 自我 |
| 取消成員帳戶的關聯 | 任何 | – | 任何 | – |
| 取消與管理員帳戶的關聯 | – | 自我 # | – | 自我 |
| 刪除已取消關聯的成員帳戶 | 任何 | – | 任何 | – |
| 暫停 GuardDuty | 任何 * | – | 任何 * | – |
| 停用 GuardDuty | 任何 * | – | 任何 * | – |
# 表示只有在委派 GuardDuty 管理員帳戶尚未設定組織成員的自動啟用偏好設定時,帳戶才能採ALL取此動作。
* 表示必須先對所有關聯帳戶採取此動作,才能為此帳號採取。取消這些帳戶的關聯後,您必須刪除它們。如需有關在組織中執行這些工作的詳細資訊,請參閱維護您的組織 GuardDuty。
