在 Amazon GuardDuty 中管理多个账户 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon GuardDuty 中管理多个账户

要在 Amazon GuardDuty 中管理多个账户,您必须选择一个账户。Amazon账户将成为 GuardDuty 的管理员账户。然后你可以关联其他人Amazon将管理员帐户作为成员帐户的账户。有两种方法可以将账户与 GuardDuty 管理员账户关联:既可以通过Amazon Organizations两个账户都是其成员的组织,或通过 GuardDuty 发送邀请。

GuardDuty 建议使用Amazon Organizations方法。有关设置组织的更多信息,请参阅创建组织中的Amazon Organizations用户指南.

通过管理多个账户Amazon Organizations

如果您要指定为 GuardDuty 管理员账户的账户是中某个组织的一部分。Amazon Organizations,则可以针对将该账户指定为 GuardDuty 的组织委托管理员。注册为委派管理员的账户会自动成为 GuardDuty 管理员账户。

当您将账户添加为成员账户时,您可以使用此管理员账户为组织中的任何账户启用和管理该账户。

如果您已经具有 GuardDuty 管理员账户,并且该账户通过邀请方式拥有关联成员账户,则可以将该账户注册为组织的 GuardDuty 委托管理员 当您执行此操作时,所有当前关联的成员账户仍保留为成员,这样您就可以充分利用所添加的通过管理 GuardDuty 账户的功能。Amazon Organizations.

有关通过组织在 GuardDuty 中支持多个账户的更多信息,请参阅使用管理 GuardDuty 账户Amazon Organizations.

通过邀请管理多个账户

如果你想关联的账户不是你的一部分Amazon Organizations组织,您可以在 GuardDuty 中指定管理员帐户,然后使用管理员帐户邀请其他Amazon要成为会员账户的账户。当受邀账户接受邀请时,该账户将成为与管理员账户关联的 GuardDuty 成员账户。

有关在 GuardDuty 中通过邀请方式支持多个账户的更多信息,通过邀请管理 GuardDuty 账户.

了解 GuardDuty 管理员和会员账户之间的关系

当您在多账户环境中使用 GuardDuty 时,管理员账户可以代表成员账户管理 GuardDuty 的某些方面。管理员账户可以执行以下主要功能:

  • 添加和删除关联的成员账户。执行此操作的过程取决于账户是通过组织关联的还是通过邀请关联的。

  • 管理关联成员账户内部的 GuardDuty 的状态,包括启用和暂停 GuardDuty。

    注意

    委托管理员帐户Amazon Organizations在添加为成员的账户中自动启用 GuardDuty。

  • 通过创建和管理禁止规则、可信 IP 列表和威胁列表,自定义 GuardDuty 网络内的发现结果。成员账户在多账户环境中会失去对这些功能的访问权限。

下表详细介绍了 GuardDuty 管理员与成员账户之间的关系。

对于指定为自身的账户,只能在自己的账户中执行列出的操作。指定任意表示账户可以为任何关联账户执行所述的操作;而指定所有表示操作在由指定账户执行时,将会应用于所有关联账户。带破折号 (—) 的表格单元格表示该名称的帐户无法执行列出的操作。

Action Designation
管理员 管理员 会员
(组织) (通过邀请)
查看全部Amazon Organizations会员账户无论 GuardDuty 身份如何 任何
自动为新账户启用 S3 保护 所有
启用 GuardDuty 任何 自身
查看 GuardDuty 结果 任何 任何 自身
归档发现结果 任何 任何
应用禁止规则 所有 所有
生成示例发现结果 自身 自身 自身
创建可信 IP 或威胁列表 所有 所有
更新可信 IP 或威胁列表 所有 所有
删除可信 IP 或威胁列表 所有 所有
设置 CloudWatch 事件通知频率 所有 所有
设置 Amazon S3 位置以导出发现结果 所有 所有
暂停 GuardDuty 任何* 任何*

* 表示必须先对所有关联账户执行该操作,然后才能在指定账户中执行。