本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 了解 GuardDuty 管理员账户和成员账户之间的关系 当您在多账户环境 GuardDuty 中使用时,管理员账户可以代表成员账户管理某些方面。 GuardDuty 管理员账户可以执行以下主要功能: + **添加和删除关联的成员账户** — 管理员账户执行此操作的流程因您管理账户的方式而异(通过 AWS Organizations 或通过 GuardDuty 邀请方式)。 GuardDuty 建议通过管理您的会员账户 AWS Organizations。 + ** GuardDuty 在管理账户中启用委托 GuardDuty 管理员账户**-如果 AWS Organizations 管理账户禁用 GuardDuty,则委派 GuardDuty 管理员账户可以在管理账户 GuardDuty 中启用。但前提是管理账户必须未显式删除 [的服务相关角色权限 GuardDuty](slr-permissions.md)。 + *配置成员帐户的状态*-管理员帐户可以代表关联的成员帐户启用或禁用 GuardDuty 保护计划的状态,以及启用、暂停或禁用保护计划的状态。 GuardDuty 使用管理的委托 GuardDuty 管理员帐户 AWS Organizations 可以在添加为成员 GuardDuty 时自动启用。 AWS 账户 + **自定义生成发现的时间**-管理员帐户可以通过创建和管理抑制规则、可信 IP 列表和威胁列表来自定义 GuardDuty 网络中的调查结果。在多账户环境中,只有委派的 GuardDuty 管理员账户才支持配置这些功能。成员账户无法更新此配置。 下表详细说明了 GuardDuty 管理员账户和成员账户之间的关系。 **表中名词解释** + **自己**:账户只能对本账户执行列出的操作。 + **任何**:账户可以对任何关联账户执行列出的操作。 + **全部**:一个账户可以执行列出的操作,适用于所有关联的账户。通常,执行此操作的帐户是指定的 GuardDuty 管理员帐户 + **带短划线 (–) 的单元格**:带短划线 (–) 的表单元格指示该账户无法执行列出的操作。 | | | **Action** | **通过 AWS Organizations** | **通过邀请** | | --- |--- |--- | | **委派 GuardDuty 管理员账号** | **关联的成员账户** | **GuardDuty 管理员账户** | **关联的成员账户** | | --- |--- |--- |--- | | 启用 GuardDuty | 任何 | – | 自身 | 自身 | | 为整个组织 GuardDuty 自动启用 (ALL、NEW、NONE) | 全部 | – | – | – | | 查看所有 Organizations 成员账户,无论其 GuardDuty 状态如何 | 任何 | – | – | – | | 生成样本调查结果 | 自身 | 自身 | 自身 | 自身 | | 查看所有 GuardDuty 发现 | 任何 | 自身 | 任何 | 自身 | | 存档 GuardDuty 调查结果 | 任何 | – | 任何 | – | | 应用禁止规则 | 全部 | – | 全部 | – | | 创建可信 IP 列表或威胁列表 | 全部 | – | 全部 | – | | 更新可信 IP 列表或威胁列表 | 全部 | – | 全部 | – | | 删除可信 IP 列表或威胁列表 | 全部 | – | 全部 | – | | 设置 EventBridge 通知频率 | 全部 | – | 全部 | – | | 设置用于导出调查发现的 Amazon S3 位置 | 全部 | 自身 | 自身 | 自身 | | 为整个组织启用一个或多个可选防护计划(`ALL`、`NEW`、`NONE`) 这不包括 S3 恶意软件防护。 | 全部 | – | – | – | | 为个人账户启用任何 GuardDuty 保护计划 这不包括 EC2 恶意软件防护和 S3 恶意软件防护。 | 任何 | – | 任何 | – | | EC2 恶意软件防护 | 任何 | – | 自身 | – | | GuardDuty EC2 恶意软件防护 – 按需恶意软件扫描 | 任何 | 自身 | 自身 | 自身 | | S3 恶意软件防护 | – | 自身 | – | 自身 | | 取消关联成员账户 | 任何 \$1 | – | 任何 | – | | 取消与管理员帐户的关联 | – | – | – | 自身 | | 删除已取消关联的成员账户 | 任何 | – | 任何 | – | | 暂停 GuardDuty | 任何 \$1 | – | 任何 \$1 | – | | 禁用 GuardDuty | 任何 \$1 | – | 任何 \$1 | 自身 | \$1 表示委派 GuardDuty 管理员帐户只有在尚未为组织成员设置自动启用首选项时才能`ALL`执行此操作。 \$1 表示委托 GuardDuty 管理员账户不能直接 GuardDuty 在成员账户中禁用。委托 GuardDuty 管理员账号必须先解除关联成员账号,然后再将其删除。之后,每个成员账户都可以在自己的账户 GuardDuty 中禁用。有关在组织中执行这些任务的更多信息,请参阅[持续管理您的会员账户 GuardDuty](maintaining-guardduty-organization-delegated-admin.md)。