管理 GuardDuty 帳戶 AWS Organizations

當您與組織 GuardDuty 搭配使用時，該 AWS 組織的管理帳戶可以將組織內的任何帳戶指定為委派的管理 GuardDuty 員帳戶。對於此管理員帳戶， GuardDuty只會在指定的中自動啟用 AWS 區域。此帳戶也具有 GuardDuty 針對該區域內組織中所有帳戶啟用和管理的權限。管理員帳戶可以檢視此組織的成員，並將成員新增至此 AWS 組織。

如果您已透過邀請設定具有相關聯成員帳戶的 GuardDuty 管理員帳戶，且成員帳戶屬於同一組織，則當您為組織設定委派的管理員帳戶時，成 GuardDuty 員帳戶的「類型」會從「依邀請」變更為「透過組織」。如果委派的 GuardDuty 管理員帳戶先前透過邀請新增不屬於同一組織的成員，則其「類型」會保留「依邀請」。在這兩種情況下，先前新增的帳戶都是與組織委派 GuardDuty 管理員帳戶相關聯的成員帳戶。

您可以繼續將帳戶新增為成員，即使帳戶在您的組織外。如需詳細資訊，請參閱 應邀新增並管理帳戶 或 使用主控台指定委派 GuardDuty 的 GuardDuty 管理員帳戶並管理成員。

目錄

• 指定委派 GuardDuty 管理員帳戶時的考量事項與建議
• 指定委派 GuardDuty 管理員帳戶所需的權限
• 使用主控台指定委派 GuardDuty 的 GuardDuty 管理員帳戶並管理成員
• 使用 API 指定委 GuardDuty 派 GuardDuty 的管理員帳戶並管理成員
• 維護您的組織 GuardDuty
• 變更委派的 GuardDuty 管理員帳戶

指定委派 GuardDuty 管理員帳戶時的考量事項與建議

下列考量事項與建議可協助您瞭解委派 GuardDuty 系統管理員帳戶的運作方式 GuardDuty：

委派的 GuardDuty 系統管理員帳戶最多可管理 50,000 名成員。

每個委派的管理員帳戶上限為 50,000 個成 GuardDuty 員帳戶。這包括透過新增的成員帳戶， AWS Organizations 或是接受 GuardDuty 管理員帳戶加入其組織邀請的成員帳戶。但是，您的 AWS 組織中可能有 50,000 個以上的帳戶。

如果您超過 50,000 個成員帳戶限制，您將會收到來自 CloudWatch AWS Health Dashboard、和指定委派 GuardDuty 管理員帳戶的電子郵件通知。

委派的 GuardDuty 管理員帳戶為「地區」。

不同的 GuardDuty 是 AWS Organizations，是一個區域服務。委派的 GuardDuty 管理員帳戶及其成員帳戶必須 AWS Organizations 在您已 GuardDuty 啟用的每個所需區域中新增。如果組織管理帳戶僅在美國東部 (維吉尼亞北部) 指定委派的管理 GuardDuty 員帳戶，則委派的管理 GuardDuty 員帳戶只會管理新增至該區域中組織的成員帳戶。如需有關可用區域中特徵同位檢查的 GuardDuty 更多資訊，請參閱區域與端點。

選擇加入地區的特殊情況

• 當委派的 GuardDuty 系統管理員帳戶選擇退出選擇加入區域時，即使您的組織將 GuardDuty 自動啟用組態設定為僅限新成員帳戶 (NEW) 或所有成員帳戶 (ALL)，也 GuardDuty無法針對目前已停用的組織中的任何成員帳戶啟用。 GuardDuty 如需成員帳戶設定的相關資訊，請在GuardDuty 主控台導覽窗格中開啟 [帳戶]，或使用 ListMembersAPI。

• 使 GuardDuty 用自動啟用組態集時NEW，請確定符合下列順序：

  1. 會員帳戶選擇加入選擇加入區域。

  2. 將成員帳戶新增至中的組織 AWS Organizations。

  如果您變更這些步驟的順序， GuardDuty 自動啟用設定NEW將無法在特定的選擇加入區域中運作，因為該成員帳戶不再是組織的新成員。 GuardDuty 提供兩種替代解決方案：

  • 將 GuardDuty 自動啟用組態設定為ALL，其中包括新的和現有的成員帳戶。在這種情況下，這些步驟的順序是不相關的。

  • 如果成員帳戶已經是組織的一部分，請使用 GuardDuty 控制台或 API 在特定選擇加入區域中個別管理此帳戶的 GuardDuty 配置。

建議組 AWS 織在所有組織中擁有相同的委派 GuardDuty 管理員帳戶 AWS 區域。

我們建議您 AWS 區域 在所有已啟用的位置指定相同的委派 GuardDuty 管理員帳戶給您的組織 GuardDuty。如果您將帳戶指定為某個區域中的委派 GuardDuty 管理員帳戶，建議您在所有其他區域中使用與委派 GuardDuty 管理員帳戶相同的帳戶。

您可以隨時指定新的委派 GuardDuty 管理員帳戶。如需移除現有委派 GuardDuty 系統管理員帳戶的詳細資訊，請參閱變更委派的 GuardDuty 管理員帳戶。

不建議將組織的管理帳戶設定為委派的系統管理 GuardDuty 員帳戶。

您組織的管理帳戶可以是委派的系統管理 GuardDuty 員帳戶。不過， AWS 安全性最佳實務遵循最低權限原則，不建議使用此組態。

變更委派的 GuardDuty 系統管理員帳戶並不會停 GuardDuty 用成員帳戶。

如果您移除委派的 GuardDuty 系統管理員帳戶，則會 GuardDuty 移除與此委派 GuardDuty 管理員帳戶相關聯的所有成員帳戶。 GuardDuty 所有這些成員帳戶仍保持啟用狀態。