本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 GuardDuty 管理員帳戶與成員帳戶之間的關係
當您在多個帳戶環境中使用 GuardDuty 時,管理員帳戶可以代表成員帳戶管理 GuardDuty 的某些層面。管理員帳戶可以執行下列主要函數:
- 
                新增和移除相關聯的成員帳戶 – 管理員帳戶可以執行此操作的程序,取決於您透過 GuardDuty 邀請 AWS Organizations 方法或透過 GuardDuty 邀請方法管理帳戶的方式。 GuardDuty GuardDuty 建議透過 管理您的成員帳戶 AWS Organizations。 
- 
                在管理帳戶中啟用 GuardDuty 的委派 GuardDuty 管理員帳戶 – 如果 AWS Organizations 管理帳戶曾停用 GuardDuty,委派的 GuardDuty 管理員帳戶可以在管理帳戶中啟用 GuardDuty。不過,管理帳戶必須尚未明確刪除 GuardDuty 的服務連結角色許可。 
- 
                設定成員帳戶的狀態 – 管理員帳戶可以啟用或停用 GuardDuty 保護計劃的狀態,以及代表相關聯的成員帳戶啟用、暫停或停用 GuardDuty 狀態。 使用 管理的委派 GuardDuty 管理員帳戶 AWS Organizations 可以在 AWS 帳戶 將 新增為成員時自動啟用 GuardDuty。 
- 
                自訂何時產生問題清單 – 管理員帳戶可以透過建立和管理抑制規則、信任 IP 清單和威脅清單,在 GuardDuty 網路中自訂問題清單。在多帳戶環境中,設定這些功能的支援僅適用於委派的 GuardDuty 管理員帳戶。成員帳戶無法更新此組態。 
下表詳細說明 GuardDuty 管理員帳戶與成員帳戶之間的關係。
資料表的索引鍵
- 
                自我 – 帳戶只能對自己的帳戶執行列出的動作。 
- 
                任何 – 帳戶可以針對任何相關聯的帳戶執行列出的動作。 
- 
                全部 – 帳戶可以執行列出的動作,並套用至所有相關聯的帳戶。通常,採取此動作的帳戶是指定的 GuardDuty 管理員帳戶 
- 
                破折號 (–) 的儲存格 – 破折號 (–) 的資料表儲存格表示帳戶無法執行列出的動作。 
| Action | 透過 AWS Organizations | 依邀請 | ||
|---|---|---|---|---|
| 委派的 GuardDuty 管理員帳戶 | 關聯的成員帳戶 | GuardDuty 管理員帳戶 | 關聯的成員帳戶 | |
| Enable GuardDuty | Any | – | Self | Self | 
| Enable GuardDuty automatically for the entire organization
                                ( ALL,新,NONE) | All | – | – | – | 
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – | 
| Generate sample findings | Self | Self | Self | Self | 
| View all GuardDuty findings | Any | Self | Any | Self | 
| Archive GuardDuty findings | Any | – | Any | – | 
| Apply suppression rules | All | – | All | – | 
| Create trusted IP list or threat lists | All | – | All | – | 
| Update trusted IP list or threat lists | All | – | All | – | 
| Delete trusted IP list or threat lists | All | – | All | – | 
| Set EventBridge notification frequency | All | – | All | – | 
| Set Amazon S3 location for exporting findings | All | Self | Self | Self | 
| 為整個組織啟用一或多個選用的保護計畫 ( 這不包括 S3 的惡意軟體防護。 | All | – | – | – | 
| 為個別帳戶啟用任何 GuardDuty 保護計畫 這不包括 EC2 的惡意軟體防護和 S3 的惡意軟體防護。 | Any | – | Any | – | 
| EC2 的惡意軟體防護 | Any | – | Self | – | 
| EC2 的惡意軟體防護 – 隨需惡意軟體掃描 | Any | Self | Self | Self | 
| S3 的惡意軟體防護 | – | Self | – | Self | 
| Disassociate a member account | Any+ | – | Any | – | 
| Disassociate from an administrator account | – | – | – | Self | 
| Delete a disassociated member account | Any | – | Any | – | 
| Suspend GuardDuty | Any* | – | Any* | – | 
| Disable GuardDuty | Any* | – | Any* | Self | 
+表示委派的 GuardDuty 管理員帳戶只有在尚未設定ALL組織成員的自動啟用偏好設定時,才能採取此動作。
*表示委派的 GuardDuty 管理員帳戶無法直接在成員帳戶中停用 GuardDuty。委派的 GuardDuty 管理員帳戶必須先取消成員帳戶的關聯,然後刪除它們。之後,每個成員帳戶都可以在自己的帳戶中停用 GuardDuty。如需在組織中執行這些任務的詳細資訊,請參閱 在 GuardDuty 中持續管理您的成員帳戶。