使用 Amazon Organizations 管理 GuardDuty 账户

以下注意事项和建议有助您了解委派 GuardDuty 管理员账户在 GuardDuty 中的工作原理：

一个委派 GuardDuty 管理员账户最多可以管理 5 万个成员。

每个委派 GuardDuty 管理员账户最多只能有 5 万个成员账户。这包括通过 Amazon Organizations 添加的成员账户，或接受 GuardDuty 管理员账户的邀请加入其组织的成员账户。但是，您的 Amazon 组织中可能有不止 5 万个账户。

如果超出 5万个成员账户的限制，您将通过 CloudWatch、Amazon Health Dashboard 收到通知，同时该委派 GuardDuty 管理员账户也会收到一封电子邮件通知。

委派 GuardDuty 管理员账户属于区域性账户。

与 Amazon Organizations 不同的是，GuardDuty 是一项区域性服务。必须通过 Amazon Organizations 在启用了 GuardDuty 的每个所需区域中添加委派 GuardDuty 管理员账户及其成员账户。如果组织管理账户仅在美国东部（弗吉尼亚州北部）指定了一个委派 GuardDuty 管理员账户，则该委派 GuardDuty 管理员账户只能管理在该区域中添加到该组织的成员账户。要详细了解在提供 GuardDuty 的区域中的功能同等性，请参阅区域和端点。

有关选择加入型区域的特殊场景

• 委派 GuardDuty 管理员账户在选择加入的区域选择退出时，即使您的组织将“GuardDuty 自动启用配置”设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL)，也无法为该组织中当前禁用 GuardDuty 的任何成员账户启用 GuardDuty。有关成员账户配置的信息，请在 GuardDuty 控制台导航窗格中打开账户或使用 ListMembers API。

• 将 GuardDuty 自动启用配置设置为 NEW 时，务必要遵循以下顺序：

  1. 成员账户选择加入某个选择加入型区域。

  2. 在 Amazon Organizations 中将成员账户添加到组织。

  如果您更改这些步骤的顺序，则使用 NEW 的 GuardDuty 自动启用设置将在特定的选择加入型区域不起作用，因为该成员账户已不再是该组织的新成员。GuardDuty 提供了两种替代解决方案：

  • 将 GuardDuty 自动启用配置设置为 ALL，即包括新成员账户和现有成员账户。使用此设置时，这些步骤的顺序将无关紧要。

  • 如果成员账户已经是组织的成员，请在特定的选择加入型区域中使用 GuardDuty 控制台或 API 单独管理该账户的 GuardDuty 配置。

必须启用才能确保 Amazon 组织在所有 Amazon Web Services 区域中使用相同的委派 GuardDuty 管理员账户。

您必须在所有启用 GuardDuty 的 Amazon Web Services 区域将同一个成员账户指定为委派 GuardDuty 管理员账户。例如，假设您在欧洲地区（爱尔兰）区域指定了一个成员账户 111122223333，则无法在加拿大（中部）区域指定另一个成员账户 555555555555。您必须在所有其他区域将同一账户作为委派 GuardDuty 管理员账户。

您可以随时指定新的委派 GuardDuty 管理员账户。有关删除现有委派 GuardDuty 管理员账户的更多信息，请参阅更改委派 GuardDuty 管理员账户。

不建议将组织的管理账户设置为委派 GuardDuty 管理员账户。

组织的管理账户可以是委派 GuardDuty 管理员账户。但是，Amazon 安全最佳实践遵循最低权限原则，不建议使用此配置。

更改委派 GuardDuty 管理员账户不会为该成员账户禁用 GuardDuty。

如果您移除某个委派 GuardDuty 管理员账户，GuardDuty 将会移除与该委派 GuardDuty 管理员账户关联的所有成员账户。对于所有这些成员账户，GuardDuty 仍处于启用状态。