本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 GuardDuty 管理员账户和成员账户之间的关系
当您在多账户环境 GuardDuty 中使用时,管理员账户可以代表成员账户管理某些方面。 GuardDuty 管理员账户可以执行以下主要功能:
-
添加和删除关联的成员账户。执行此操作的过程取决于账户是通过组织关联的还是通过邀请关联的。
-
管理关联成员账户 GuardDuty 内的状态,包括启用和暂停 GuardDuty。
注意
在添加为成员的账户 GuardDuty 中使用 Amazon Organizations 自动启用来管理的委托管理员帐户。
-
通过创建和管理抑制规则、可信 IP 列表和威胁列表,自定义 GuardDuty 网络内部的调查结果。成员账户在多账户环境中会失去对这些功能的访问权限。
下表详细说明了 GuardDuty 管理员账户和成员账户之间的关系。
在此表中:
自我 — 账户只能为自己的账户执行列出的操作。
任意-账户可以对任何关联账户执行列出的操作。
全部 — 一个账户可以执行列出的操作,它适用于所有关联的账户。通常,执行此操作的帐户是指定的 GuardDuty 管理员帐户
带有短划线 (—) 的表格单元格表示该账户无法执行列出的操作。
操作 | 通过 Amazon Organizations | 通过邀请 | ||
---|---|---|---|---|
委派 GuardDuty 管理员账号 | 关联的成员账户 | 委派 GuardDuty 管理员账号 | 关联的成员账户 | |
Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization (ALL , NEW , NONE ) |
All | – | – | – |
View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
Generate sample findings | Self | Self | Self | Self |
View all GuardDuty findings | Any | Self | Any | Self |
Archive GuardDuty findings | Any | – | Any | – |
Apply suppression rules | All | – | All | – |
Create trusted IP list or threat lists | All | – | All | – |
Update trusted IP list or threat lists | All | – | All | – |
Delete trusted IP list or threat lists | All | – | All | – |
Set EventBridge notification frequency | All | – | All | Self |
Set Amazon S3 location for exporting findings | All | – | All | Self |
Enable one or more optional protection plans for the entire organization (ALL , NEW , NONE ) |
All | – | – | – |
Enable any GuardDuty protection plan for individual accounts | Any | – | Any | Self |
Disassociate a member account | Any | – | Any | – |
Disassociate from an administrator account account | – | Self# | – | Self |
Delete a disassociated member account | Any | – | Any | – |
Suspend GuardDuty | Any* | – | Any* | – |
Disable GuardDuty | Any* | – | Any* | – |
# 表示只有在委派的 GuardDuty 管理员帐户尚未为组织成员设置自动启用首选项时,该账户才能
ALL
执行此操作。* 表示必须先对所有关联账户执行此操作,然后才能对该账户执行此操作。取消关联这些账户后,必须将其删除。有关在组织中执行这些任务的更多信息,请参阅在内部维护您的组织 GuardDuty。