了解 GuardDuty 管理员账户和成员账户之间的关系
当您在多账户环境中使用 GuardDuty 时,管理员账户可以代表成员账户管理 GuardDuty 的某些方面。管理员账户可以执行以下主要功能:
-
添加和移除关联的成员账户:管理员账户执行此操作的过程因您管理账户的方式(通过 AWS Organizations 或通过 GuardDuty 邀请方法)而异。
GuardDuty 建议通过 AWS Organizations 来管理成员账户。
-
委派 GuardDuty 管理员账户在管理账户中启用 GuardDuty:如果 AWS Organizations 管理账户禁用了 GuardDuty,则委派 GuardDuty 管理员账户可以在该管理账户中启用 GuardDuty。但前提是管理账户必须未显式删除 GuardDuty 的服务相关角色权限。
-
配置成员账户状态:管理员账户可以代表关联的成员账户启用或禁用 GuardDuty 防护计划的状态,以及启用、暂停或禁用 GuardDuty 的状态。
通过 AWS Organizations 管理的委派 GuardDuty 管理员账户可以在将 AWS 账户添加为成员时自动启用 GuardDuty。
-
自定义生成调查发现的时间:管理员账户可以通过创建和管理抑制规则、可信 IP 列表以及威胁列表,从而自定义 GuardDuty 网络内的调查发现。在多账户环境中,只有委派 GuardDuty 管理员账户才支持配置这些功能。成员账户无法更新此配置。
下表详细说明了管理员账户和成员账户之间的关系。
表中名词解释
-
自己:账户只能对本账户执行列出的操作。
-
任何:账户可以对任何关联账户执行列出的操作。
-
全部:一个账户可以执行列出的操作,适用于所有关联的账户。通常,执行此操作的账户是委派 GuardDuty 管理员账户
-
带短划线 (–) 的单元格:带短划线 (–) 的表单元格指示该账户无法执行列出的操作。
| 操作 | 通过 AWS Organizations | 通过邀请 | ||
|---|---|---|---|---|
| 委派 GuardDuty 管理员账户 | 关联的成员账户 | GuardDuty 管理员账户 | 关联的成员账户 | |
| Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization
(ALL, NEW, NONE) |
All | – | – | – |
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
| Generate sample findings | Self | Self | Self | Self |
| View all GuardDuty findings | Any | Self | Any | Self |
| Archive GuardDuty findings | Any | – | Any | – |
| Apply suppression rules | All | – | All | – |
| Create trusted IP list or threat lists | All | – | All | – |
| Update trusted IP list or threat lists | All | – | All | – |
| Delete trusted IP list or threat lists | All | – | All | – |
| Set EventBridge notification frequency | All | – | All | – |
| Set Amazon S3 location for exporting findings | All | Self | Self | Self |
|
为整个组织启用一个或多个可选防护计划( 这不包括 S3 恶意软件防护。 |
All | – | – | – |
为单个账户启用任何 GuardDuty 防护计划 这不包括 EC2 恶意软件防护和 S3 恶意软件防护。 |
Any | – | Any | – |
|
EC2 恶意软件防护 |
Any | – | Self | – |
|
GuardDuty EC2 恶意软件防护 – 按需恶意软件扫描 |
Any | Self | Self | Self |
|
S3 恶意软件防护 |
– | Self | – | Self |
| Disassociate a member account | Any+ | – | Any | – |
| Disassociate from an administrator account | – | – | – | Self |
| Delete a disassociated member account | Any | – | Any | – |
| Suspend GuardDuty | Any* | – | Any* | – |
| Disable GuardDuty | Any* | – | Any* | Self |
+ 表示只有在委托的 GuardDuty 管理员账户尚未为 ALL 组织成员设置自动启用首选项时,该账户才能执行此操作。
* 表示委派 GuardDuty 管理员账户无法直接在成员账户中禁用 GuardDuty。委派 GuardDuty 管理员账户必须首先将该成员账户取消关联,然后再将其删除。之后,每个成员账户都可以在自己的账户中禁用 GuardDuty。有关在组织中执行这些任务的更多信息,请参阅在 GuardDuty 中持续管理成员账户。
