本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 GuardDuty 帳戶 AWS Organizations
當您與組織 GuardDuty 搭配使用時,該 AWS 組織的管理帳戶可以將組織內的任何帳戶指定為委派的管理 GuardDuty 員帳戶。對於此管理員帳戶, GuardDuty只會在指定的中自動啟用 AWS 區域。此帳戶也具有 GuardDuty 針對該區域內組織中所有帳戶啟用和管理的權限。管理員帳戶可以檢視此組織的成員,並將成員新增至此 AWS 組織。
如果您已透過邀請設定具有相關聯成員帳戶的 GuardDuty 管理員帳戶,且成員帳戶屬於同一組織,則當您為組織設定委派的管理員帳戶時,成 GuardDuty 員帳戶的「類型」會從「依邀請」變更為「透過組織」。如果委派的 GuardDuty 管理員帳戶先前透過邀請新增不屬於同一組織的成員,則其「類型」會保留「依邀請」。在這兩種情況下,先前新增的帳戶都是與組織委派 GuardDuty 管理員帳戶相關聯的成員帳戶。
您可以繼續將帳戶新增為成員,即使帳戶在您的組織外。如需詳細資訊,請參閱 應邀新增並管理帳戶 或 使用主控台指定委派 GuardDuty 的 GuardDuty 管理員帳戶並管理成員。
目錄
指定委派 GuardDuty 管理員帳戶時的考量事項與建議
下列考量事項與建議可協助您瞭解委派 GuardDuty 系統管理員帳戶的運作方式 GuardDuty:
- 委派的 GuardDuty 系統管理員帳戶最多可管理 50,000 名成員。
-
每個委派的管理員帳戶上限為 50,000 個成 GuardDuty 員帳戶。這包括透過新增的成員帳戶, AWS Organizations 或是接受 GuardDuty 管理員帳戶加入其組織邀請的成員帳戶。但是,您的 AWS 組織中可能有 50,000 個以上的帳戶。
如果您超過 50,000 個成員帳戶限制,您將會收到來自 CloudWatch AWS Health Dashboard、和指定委派 GuardDuty 管理員帳戶的電子郵件通知。
- 委派的 GuardDuty 管理員帳戶為「地區」。
-
不同的 GuardDuty 是 AWS Organizations,是一個區域服務。委派的 GuardDuty 管理員帳戶及其成員帳戶必須 AWS Organizations 在您已 GuardDuty 啟用的每個所需區域中新增。如果組織管理帳戶僅在美國東部 (維吉尼亞北部) 指定委派的管理 GuardDuty 員帳戶,則委派的管理 GuardDuty 員帳戶只會管理新增至該區域中組織的成員帳戶。如需有關可用區域中特徵同位檢查的 GuardDuty 更多資訊,請參閱區域與端點。
- 選擇加入地區的特殊情況
-
當委派的 GuardDuty 系統管理員帳戶選擇退出選擇加入區域時,即使您的組織將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (
NEW
) 或所有成員帳戶 (ALL
),也 GuardDuty無法針對目前已停用的組織中的任何成員帳戶啟用。 GuardDuty 如需成員帳戶設定的相關資訊,請在GuardDuty 主控台導覽窗格中開啟 [帳戶],或使用 ListMembersAPI。 -
使 GuardDuty 用自動啟用組態集時
NEW
,請確定符合下列順序:-
會員帳戶選擇加入選擇加入區域。
-
將成員帳戶新增至中的組織 AWS Organizations。
如果您變更這些步驟的順序, GuardDuty 自動啟用設定
NEW
將無法在特定的選擇加入區域中運作,因為該成員帳戶不再是組織的新成員。 GuardDuty 提供兩種替代解決方案:-
將 GuardDuty 自動啟用組態設定為
ALL
,其中包括新的和現有的成員帳戶。在這種情況下,這些步驟的順序是不相關的。 -
如果成員帳戶已經是組織的一部分,請使用 GuardDuty 控制台或 API 在特定選擇加入區域中個別管理此帳戶的 GuardDuty 配置。
-
- 建議組 AWS 織在所有組織中擁有相同的委派 GuardDuty 管理員帳戶 AWS 區域。
-
我們建議您 AWS 區域 在所有已啟用的位置指定相同的委派 GuardDuty 管理員帳戶給您的組織 GuardDuty。如果您將帳戶指定為某個區域中的委派 GuardDuty 管理員帳戶,建議您在所有其他區域中使用與委派 GuardDuty 管理員帳戶相同的帳戶。
您可以隨時指定新的委派 GuardDuty 管理員帳戶。如需移除現有委派 GuardDuty 系統管理員帳戶的詳細資訊,請參閱變更委派的 GuardDuty 管理員帳戶。
- 不建議將組織的管理帳戶設定為委派的系統管理 GuardDuty 員帳戶。
-
您組織的管理帳戶可以是委派的系統管理 GuardDuty 員帳戶。不過, AWS 安全性最佳實務遵循最低權限原則,不建議使用此組態。
- 變更委派的 GuardDuty 系統管理員帳戶並不會停 GuardDuty 用成員帳戶。
-
如果您移除委派的 GuardDuty 系統管理員帳戶,則會 GuardDuty 移除與此委派 GuardDuty 管理員帳戶相關聯的所有成員帳戶。 GuardDuty 所有這些成員帳戶仍保持啟用狀態。