本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 GuardDuty 管理員帳戶與成員帳戶之間的關係
<a name="administrator_member_relationships"></a>

當您在多個帳戶環境中使用 GuardDuty 時，管理員帳戶可以代表成員帳戶管理 GuardDuty 的某些層面。管理員帳戶可以執行下列主要函數：
+ **新增和移除相關聯的成員帳戶** – 管理員帳戶可以執行此操作的程序，取決於您如何透過 AWS Organizations GuardDuty 邀請方法或透過 GuardDuty 邀請方法管理帳戶。

  GuardDuty 建議透過 管理您的成員帳戶 AWS Organizations。
+ **在管理帳戶中啟用 GuardDuty 的委派 GuardDuty 管理員帳戶** – 如果 AWS Organizations 管理帳戶曾停用 GuardDuty，委派的 GuardDuty 管理員帳戶可以在管理帳戶中啟用 GuardDuty。不過，管理帳戶必須尚未明確刪除 [GuardDuty 的服務連結角色許可](slr-permissions.md)。
+ *設定成員帳戶的狀態* – 管理員帳戶可以啟用或停用 GuardDuty 保護計劃的狀態，以及代表相關聯的成員帳戶啟用、暫停或停用 GuardDuty 狀態。

  使用 管理的委派 GuardDuty 管理員帳戶 AWS Organizations 可以在 AWS 帳戶 將 新增為成員時自動啟用 GuardDuty。
+ **自訂何時產生問題**清單 – 管理員帳戶可以透過建立和管理抑制規則、信任 IP 清單和威脅清單，在 GuardDuty 網路中自訂問題清單。在多帳戶環境中，設定這些功能的支援僅適用於委派的 GuardDuty 管理員帳戶。成員帳戶無法更新此組態。

下表詳細說明 GuardDuty 管理員帳戶與成員帳戶之間的關係。

**資料表的索引鍵**
+ **自我** – 帳戶只能對自己的帳戶執行列出的動作。
+ **任何** – 帳戶可以針對任何相關聯的帳戶執行列出的動作。
+ **全部** – 帳戶可以執行列出的動作，並套用至所有相關聯的帳戶。通常，採取此動作的帳戶是指定的 GuardDuty 管理員帳戶
+ **破折號 (–) 的儲存格** – 破折號 (–) 的資料表儲存格表示帳戶無法執行列出的動作。


| 
| 
| **Action** | **透過 AWS Organizations** | **依邀請** | 
| --- |--- |--- |
| **委派的 GuardDuty 管理員帳戶** | **關聯的成員帳戶** | **GuardDuty 管理員帳戶** | **關聯的成員帳戶** | 
| --- |--- |--- |--- |
| Enable GuardDuty | Any | – | Self | Self | 
| Enable GuardDuty automatically for the entire organization (ALL, 新, NONE) | All | – | – | – | 
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – | 
| Generate sample findings | Self | Self | Self | Self | 
| View all GuardDuty findings | Any | Self | Any | Self | 
| Archive GuardDuty findings | Any | – | Any | – | 
| Apply suppression rules | All | – | All | – | 
| Create trusted IP list or threat lists | All | – | All | – | 
| Update trusted IP list or threat lists | All | – | All | – | 
| Delete trusted IP list or threat lists | All | – | All | – | 
| Set EventBridge notification frequency | All | – | All | – | 
| Set Amazon S3 location for exporting findings | All | Self | Self | Self | 
| 為整個組織啟用一或多個選用的保護計畫 (`ALL`、`NEW`、`NONE`)<br />這不包括 S3 的惡意軟體防護。 | All | – | – | – | 
| 為個別帳戶啟用任何 GuardDuty 保護計畫<br />這不包括 EC2 的惡意軟體防護和 S3 的惡意軟體防護。 | Any | – | Any | – | 
| EC2 的惡意軟體防護 | Any | – | Self | – | 
| EC2 的惡意軟體防護 – 隨需惡意軟體掃描 | Any | Self | Self | Self | 
| S3 的惡意軟體防護 | – | Self | – | Self | 
| Disassociate a member account | Any\+ | – | Any | – | 
| Disassociate from an administrator account | – | – | – | Self | 
| Delete a disassociated member account | Any | – | Any | – | 
| Suspend GuardDuty | Any\* | – | Any\* | – | 
| Disable GuardDuty | Any\* | – | Any\* | Self | 

\+表示委派的 GuardDuty 管理員帳戶只有在尚未設定`ALL`組織成員的自動啟用偏好設定時，才能採取此動作。

\*表示委派的 GuardDuty 管理員帳戶無法直接在成員帳戶中停用 GuardDuty。委派的 GuardDuty 管理員帳戶必須先取消成員帳戶的關聯，然後刪除它們。之後，每個成員帳戶都可以在自己的帳戶中停用 GuardDuty。如需在組織中執行這些任務的詳細資訊，請參閱 [在 GuardDuty 中持續管理您的成員帳戶](maintaining-guardduty-organization-delegated-admin.md)。