在 Amazon GuardDuty 中管理多个账户 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon GuardDuty 中管理多个账户

要在 Amazon GuardDuty 中管理多个账户,您必须选择一个Amazon帐户作为 GuardDuty 的管理员帐户。然后,您可以将其他Amazon帐户,以管理员帐户作为成员帐户。有两种方法可以将账户与 GuardDuty 管理员账户关联:既可以通过Amazon Organizations组织,或者通过 GuardDuty 发送邀请。

GuardDuty 建议使用Amazon Organizations方法。有关设置组织的更多信息,请参阅创建组织中的Amazon Organizations用户指南

使用管理多个账户Amazon Organizations

如果您要指定为 GuardDuty 管理员账户的账户是Amazon Organizations,则可以针对 GuardDuty 将该账户指定为组织的委派管理员。注册为委派管理员的账户会自动成为 GuardDuty 管理员账户。

当您将该账户添加为成员账户时,您可以使用此管理员账户为组织中的任何账户启用和管理 GuardDuty。

如果您已经拥有 GuardDuty 管理员账户,并且该账户通过邀请方式拥有关联成员账户,则可以将此账户注册为组织的 GuardDuty 委派管理员。当您执行此操 GuardDuty 时,所有当前关联的成员账户仍保留为成员,这样您就可以充分利用所添加的通过Amazon Organizations。

有关通过组织在 GuardDuty 中支持多个账户的更多信息,请参阅使用管理 GuardDuty 账户Amazon Organizations

通过邀请管理多个账户

如果您想要关联的帐户不属于Amazon Organizations组织,您可以在 GuardDuty 中指定管理员帐户,然后使用管理员帐户邀请其他Amazon帐户成为成员帐户。当受邀账户接受邀请时,该账户将成为与管理员账户关联的 GuardDuty 成员账户。

有关在 GuardDuty 中通过邀请支持多个账户的更多信息,请参阅通过邀请管理 GuardDuty 帐户

了解 GuardDuty 管理员与会员帐户之间的关系

当您在多账户环境中使用 GuardDuty 时,管理员账户可以代表成员账户管理 GuardDuty 的某些方面。管理员账户可以执行以下主要功能:

  • 添加和删除关联的成员账户。执行此操作的过程取决于账户是通过组织关联的还是通过邀请关联的。

  • 管理关联会员账户内部的 GuardDuty 状态,包括启用和暂停 GuardDuty。

    注意

    委派管理员帐户使用Amazon Organizations会在添加为成员的账户中自动启用 GuardDuty。

  • 通过创建和管理禁止规则、可信 IP 列表和威胁列表,自定义 GuardDuty 网络内的发现结果。成员账户在多账户环境中会失去对这些功能的访问权限。

下表详细介绍了 GuardDuty 管理员和成员账户之间的关系。

对于指定为自身的账户,只能在自己的账户中执行列出的操作。指定任意表示账户可以为任何关联账户执行所述的操作;而指定所有表示操作在由指定账户执行时,将会应用于所有关联账户。带有短划线 (—) 的表格单元格表示该指定的帐户无法执行列出的操作。

Action Designation
管理员 管理员 成员
(组织) (通过邀请)
查看全部Amazon Organizations会员帐户,无论 GuardDuty 状态如何 任何
自动为新账户启用 S3 保护 全部
启用 GuardDuty 任何 自身
查看 GuardDuty 发现结果 任何 任何 自身
归档发现结果 任何 任何
应用禁止规则 全部 全部
生成示例发现结果 自身 自身 自身
创建可信 IP 或威胁列表 全部 全部
更新可信 IP 或威胁列表 全部 全部
删除可信 IP 或威胁列表 全部 全部
设置 CloudWatch 事件通知频率 全部 全部
设置 Amazon S3 用于导出发现结果的位置 全部 全部
暂停 GuardDuty 任何* 任何*

* 表示必须先对所有关联账户执行该操作,然后才能在指定账户中执行。