使用管理 GuardDuty 账户 Amazon Organizations - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用管理 GuardDuty 账户 Amazon Organizations

在组织中 GuardDuty 使用时,该 Amazon 组织的管理账户可以将组织内的任何账户指定为委派 GuardDuty 管理员账户。对于此管理员帐户, GuardDuty 仅在指定的帐户中自动启用 Amazon Web Services 区域。该账户还有权 GuardDuty 为该区域内组织中的所有账户启用和管理。管理员帐户可以查看该组织的成员,也可以向该 Amazon 组织添加成员。

如果您已经通过邀请设置了具有关联成员帐户的 GuardDuty 管理员帐户,并且成员帐户属于同一组织,则当您为组织设置委托 GuardDuty 管理员帐户时,其类型将从 “通过邀请” 更改为 “Via Organizations”。如果委托 GuardDuty 管理员账户之前通过邀请添加了不属于同一组织的成员,则其类型仍为按邀请”。在这两种情况下,先前添加的账户都是与组织的委托 GuardDuty 管理员账户关联的成员账户。

您可以继续将账户添加为成员,即使账户位于组织之外也是如此。有关更多信息,请参阅通过邀请添加和管理账户使用控制台指定委派 GuardDuty 管理员账号并管理成员 GuardDuty

指定 GuardDuty委派 GuardDuty 管理员账户时的注意事项和建议

以下注意事项和建议可以帮助您了解委派 GuardDuty 管理员账户在中的运作方式 GuardDuty:

一个委托 GuardDuty 管理员账号最多可以管理 50,000 个成员。

每个委托 GuardDuty 管理员账户的成员账户上限为 50,000 个。这包括通过添加的成员账户 Amazon Organizations 或接受 GuardDuty 管理员账户邀请加入其组织的成员账户。但是,您的 Amazon 组织中可能有超过 50,000 个帐户。

如果您超过了 50,000 个成员账户的限制,您将收到来自 CloudWatch Amazon Health Dashboard、的通知以及发送给指定委托 GuardDuty 管理员账户的电子邮件。

委托 GuardDuty 管理员账户为区域账户。

与之不同 GuardDuty 的是 Amazon Organizations,是区域服务。必须在您已 GuardDuty 启用的每个所需区域 Amazon Organizations 中添加委托 GuardDuty 管理员帐户及其成员帐户。如果组织管理账户仅在美国东部(弗吉尼亚北部)指定委托 GuardDuty 管理员账户,则委派 GuardDuty 管理员账户将仅管理添加到该地区组织的成员账户。有关可用区域中功能对等性的 GuardDuty 更多信息,请参阅区域和端点

注意

当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。

建议 Amazon 组织在所有组织中使用相同的委托 GuardDuty 管理员帐户 Amazon Web Services 区域。

我们建议您在所有已启用 Amazon Web Services 区域 的地方为组织指定相同的委托 GuardDuty 管理员帐户 GuardDuty。如果您将一个账户指定为一个区域的委托 GuardDuty 管理员账户,则建议您在所有其他区域使用与委托 GuardDuty 管理员账户相同的账户。

您可以随时指定新的委派 GuardDuty 管理员帐户。有关删除现有委派 GuardDuty 管理员账户的更多信息,请参阅更改委派 GuardDuty 管理员账号

不建议将贵组织的管理账号设置为委派 GuardDuty 管理员账号。

您组织的管理账号可以是委派的 GuardDuty 管理员账号。但是, Amazon 安全最佳实践遵循最低权限原则,不建议使用此配置。

更改委派 GuardDuty 管理员账户不会 GuardDuty 对成员账户禁用。

如果您移除委派 GuardDuty 管理员账号,则 GuardDuty 会移除与该委派 GuardDuty 管理员账号关联的所有成员账号。 GuardDuty 所有这些成员帐户仍保持启用状态。