Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Die Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten verstehen
Wenn Sie GuardDuty in einer Umgebung mit mehreren Konten arbeiten, kann das Administratorkonto bestimmte Aspekte von im Namen der GuardDuty Mitgliedskonten verwalten. Ein Administratorkonto kann die folgenden Hauptfunktionen erfüllen:
-
Hinzufügen und Entfernen zugehöriger Mitgliedskonten. Das Verfahren, mit dem ein Administratorkonto dies tun kann, hängt davon ab, wie Sie die Konten verwalten — über Organisationen oder auf Einladung.
-
Aktivierung des delegierten GuardDuty Administratorkontos GuardDuty im Verwaltungskonto
Wenn das AWS Organizations Verwaltungskonto jemals deaktiviert wird GuardDuty, kann das delegierte GuardDuty Administratorkonto GuardDuty im Verwaltungskonto aktiviert werden. Es ist jedoch erforderlich, dass das Verwaltungskonto das nicht ausdrücklich gelöscht hat. Dienstbezogene Rollenberechtigungen für GuardDuty
-
Verwaltet den Status der GuardDuty zugehörigen Mitgliedskonten, einschließlich Aktivierung und Sperrung GuardDuty.
Anmerkung
Delegierte Administratorkonten, die GuardDuty in Konten, die als Mitglieder hinzugefügt werden, AWS Organizations automatisch aktiviert werden.
-
Passen Sie die Ergebnisse innerhalb des GuardDuty Netzwerks an, indem Sie Unterdrückungsregeln, Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten erstellen und verwalten. In einer Umgebung mit mehreren Konten ist die Konfiguration dieser Funktionen nur für ein GuardDuty delegiertes Administratorkonto verfügbar. Ein Mitgliedskonto kann diese Konfiguration nicht aktualisieren.
In der folgenden Tabelle wird die Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten detailliert beschrieben.
In dieser Tabelle:
-
Selbst — Ein Konto kann die aufgelistete Aktion nur für sein eigenes Konto ausführen.
-
Beliebig — Ein Konto kann die aufgelistete Aktion für jedes zugehörige Konto ausführen.
-
Alle — Ein Konto kann die aufgelistete Aktion ausführen und sie gilt für alle zugehörigen Konten. In der Regel handelt es sich bei dem Konto, das diese Aktion ausführt, um ein GuardDuty designiertes Administratorkonto
Tabellenzellen mit einem Bindestrich (—) weisen darauf hin, dass das Konto die aufgelistete Aktion nicht ausführen kann.
Action (Aktion) | Durch AWS Organizations | Auf Einladung | ||
---|---|---|---|---|
Delegiertes GuardDuty Administratorkonto | Zugeordnetes Mitgliedskonto | Delegiertes GuardDuty Administratorkonto | Zugeordnetes Mitgliedskonto | |
Aktivieren GuardDuty | Any | – | Selbst | Selbst |
GuardDuty Automatisch für die gesamte Organisation aktivieren (ALL ,NEW ,NONE ) |
Alle | – | – | – |
Alle Mitgliedskonten von Organizations unabhängig vom GuardDuty Status anzeigen | Any | – | – | – |
Generieren von Stichprobenergebnissen | Selbst | Selbst | Selbst | Selbst |
Alle GuardDuty Ergebnisse anzeigen | Any | Selbst | Any | Selbst |
GuardDuty Ergebnisse archivieren | Any | – | Any | – |
Anwenden von Unterdrückungsregeln | Alle | – | Alle | – |
Erstellen Sie eine Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Aktualisieren Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Löschen Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Stellen Sie die Häufigkeit der EventBridge Benachrichtigungen ein | Alle | – | Alle | Selbst |
Festlegen des Amazon-S3-Standorts für den Export von Erkenntnissen | Alle | – | Alle | Selbst |
Aktivieren Sie einen oder mehrere optionale Schutzpläne für die gesamte Organisation ( Dies beinhaltet nicht den Malware-Schutz für S3. |
Alle | – | – | – |
Aktivieren Sie einen beliebigen GuardDuty Schutzplan für einzelne Konten Dies beinhaltet nicht den Malware-Schutz für EC2 und den Malware-Schutz für S3. |
Any | – | Any | – |
Malware-Schutz für EC2 |
Any | – | Selbst | Selbst |
Malware-Schutz für S3 |
– | Selbst | – | Selbst |
Trennen Sie die Zuordnung eines Mitgliedskontos | Any | – | Any | – |
Trennen Sie die Verbindung zu einem Administratorkonto | – | Selbst + | – | Selbst |
Löschen Sie ein getrenntes Mitgliedskonto | Any | – | Any | – |
Sperren GuardDuty | Irgendein * | – | Irgendein * | – |
Deaktivieren GuardDuty | Irgendein * | – | Irgendein * | – |
+ Zeigt an, dass das Konto diese Aktion nur ausführen kann, wenn das delegierte GuardDuty Administratorkonto nicht die automatische Aktivierung für ALL
die Organisationsmitglieder eingerichtet hat.
* Weist darauf hin, dass ein delegiertes GuardDuty Administratorkonto nicht direkt GuardDuty in einem Mitgliedskonto deaktiviert werden kann. Das delegierte GuardDuty Administratorkonto muss zuerst die Zuordnung zum Mitgliedskonto aufheben und dann löschen. Danach kann jedes Mitgliedskonto GuardDuty in seinen eigenen Konten deaktiviert werden. Weitere Informationen zur Durchführung dieser Aufgaben in Ihrer Organisation finden Sie unterAufrechterhaltung Ihrer Organisation innerhalb GuardDuty.