在亚马逊管理多个账户 GuardDuty - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在亚马逊管理多个账户 GuardDuty

要在亚马逊管理多个账户 GuardDuty,您必须选择一个Amazon账户作为管理员账户 GuardDuty。然后,您可以将其他Amazon账户与管理员账户关联为成员账户。有两种方法可以将帐户与 GuardDuty 管理员帐户关联:通过两个帐户均为成员的Amazon Organizations组织,或者通过发送邀请 GuardDuty。

GuardDuty 建议使用该Amazon Organizations方法。有关设置组织的更多信息,请参阅Amazon Organizations用户指南中的创建组织

通过以下方式管理多个账户Amazon Organizations

如果您要指定为 GuardDuty 管理员帐户的帐户是其中的组织的一部分Amazon Organizations,则可以将该帐户指定为该组织的委托管理员 GuardDuty。注册为委托管理员的账户自动成为 GuardDuty 管理员账户。

将组织中的任何帐户添加 GuardDuty 为成员帐户时,您可以使用该管理员帐户启用和管理该帐户。

如果您已经拥有 GuardDuty 管理员帐户和通过邀请关联的成员帐户,则可以将该帐户注册为组织的 GuardDuty 委托管理员。当您执行此操作时,所有当前关联的成员账户仍保留为成员,这样您就可以充分利用所添加的通过 Amazon Organizations 管理 GuardDuty 账户的功能。

有关 GuardDuty 通过组织支持多个账户的更多信息,请参阅使用以下 GuardDuty 方式管理账户Amazon Organizations

通过邀请管理多个账户

如果您要关联的帐户不属于您的Amazon Organizations组织,则可以在中指定管理员帐户, GuardDuty 然后使用管理员帐户邀请其他Amazon帐户成为成员帐户。当受邀账户接受邀请时,该账户将成为与管理员账户关联的 GuardDuty 成员账户。

有关通过邀请支持多个账户的更多信息, GuardDuty 请参阅通过通过通过 GuardDuty 通过通过通过通过通过通过

了解 GuardDuty 管理员账户和成员账户之间的关系

当您在多账户环境 GuardDuty 中使用时,管理员帐户可以代表成员账户管理某些方面。 GuardDuty 管理员帐户可以执行的主要功能如下:

  • 添加和删除关联的成员账户。执行此操作的过程取决于账户是通过组织关联的还是通过邀请关联的。

  • 管理关联成员账户 GuardDuty 内的状态,包括启用和暂停 GuardDuty。

    注意

    使用Amazon Organizations自动启用 GuardDuty 管理的委托管理员帐户添加为成员的帐户。

  • 通过创建和管理抑制规则、可信 IP 列表和威胁列表,自定义 GuardDuty 网络内的发现结果。成员账户在多账户环境中会失去对这些功能的访问权限。

下表详细说明了 GuardDuty 管理员帐户和成员帐户之间的关系。

对于指定为自身的账户,只能在自己的账户中执行列出的操作。指定任意表示账户可以为任何关联账户执行所述的操作;而指定所有表示操作在由指定账户执行时,将会应用于所有关联账户。带有短划线 (—) 的表格单元格表示该名称的账户无法执行列出的操作。

Action Designation
管理员 管理员 成员
(组织) (通过邀请)
查看所有Amazon Organizations成员账户,无论 GuardDuty 状态如何 任何
自动为新账户启用 S3 保护 全部
为新账户自动启用 EKS 保护 全部
自动为新账户启用恶意软件防护 全部
启用 GuardDuty 任何 自身
查看 GuardDuty 结果 任何 任何 自身
归档发现结果 任何 任何
应用禁止规则 全部 全部
生成示例发现结果 自身 自身 自身
创建可信或威胁 IP 列表 全部 全部
更新可信或威胁 IP 列表 全部 全部
删除可信或威胁 IP 列表 全部 全部
设置 EventBridge 通知频率 全部 全部 自身
为 Amazon S3 位置 全部 全部 自身
暂停 GuardDuty 任何* 任何*

* 表示必须先对所有关联账户执行该操作,然后才能在指定账户中执行。