Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Comprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros
Cuando se utiliza GuardDuty en un entorno de varias cuentas, la cuenta de administrador puede gestionar determinados aspectos GuardDuty en nombre de las cuentas de los miembros. Una cuenta de administrador puede realizar las siguientes funciones principales:
-
Agregar y quitar cuentas miembro asociadas. El proceso mediante el cual una cuenta de administrador puede hacerlo varía según la forma en que se administren las cuentas: a través de organizaciones o por invitación.
-
Cuenta de GuardDuty administrador delegado (habilitada GuardDuty en la cuenta de administración)
Si la cuenta AWS Organizations de administración se deshabilita alguna vez GuardDuty, la cuenta de GuardDuty administrador delegado puede habilitarla GuardDuty en la cuenta de administración. Sin embargo, es necesario que la cuenta de administración no haya eliminado explícitamente la. Permisos de rol vinculados al servicio para GuardDuty
-
Gestione el estado de las GuardDuty cuentas de los miembros asociadas, incluidas la activación y la suspensión. GuardDuty
nota
Las cuentas de administrador delegado gestionadas habilitan AWS Organizations automáticamente GuardDuty las cuentas que se añaden como miembros.
-
Personalice los hallazgos dentro de la GuardDuty red mediante la creación y administración de reglas de supresión, listas de IP confiables y listas de amenazas. En un entorno de cuentas múltiples, la configuración de estas funciones solo está disponible para una cuenta de administrador delegado. GuardDuty Una cuenta de miembro no puede actualizar esta configuración.
En la siguiente tabla se detalla la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros.
En esta tabla:
-
Propia: una cuenta solo puede realizar la acción indicada para su propia cuenta.
-
Cualquiera: una cuenta puede realizar la acción indicada para cualquier cuenta asociada.
-
Todas: una cuenta puede realizar la acción indicada y se aplica a todas las cuentas asociadas. Por lo general, la cuenta que realiza esta acción es una cuenta de GuardDuty administrador designada
Las celdas de la tabla con guiones (—) indican que la cuenta no puede realizar la acción indicada.
Action | A través de AWS Organizations | Por invitación | ||
---|---|---|---|---|
Cuenta de GuardDuty administrador delegado | Cuenta de miembro asociada | Cuenta de GuardDuty administrador delegado | Cuenta de miembro asociada | |
Habilitar GuardDuty | Cualquiera | – | Auto | Auto |
Habilitar GuardDuty automáticamente para toda la organización (ALL ,NEW ,NONE ) |
Todos | – | – | – |
Ver todas las cuentas de los miembros de Organizations, independientemente de su GuardDuty estado | Cualquiera | – | – | – |
Generar resultados de ejemplo | Auto | Auto | Auto | Auto |
Ver todos los GuardDuty hallazgos | Cualquiera | Propia | Cualquiera | Propia |
Archive GuardDuty los hallazgos | Cualquiera | – | Cualquiera | – |
Aplicar reglas de supresión | Todos | – | Todos | – |
Cree listas de IP confiables o listas de amenazas | Todos | – | Todos | – |
Actualice la lista de IP de confianza o las listas de amenazas | Todos | – | Todos | – |
Elimine la lista de IP de confianza o las listas de amenazas | Todos | – | Todos | – |
Establezca la frecuencia EventBridge de las notificaciones | Todos | – | Todos | Auto |
Establecer la ubicación de Amazon S3 para exportar resultados | Todos | – | Todos | Auto |
Habilite uno o más planes de protección opcionales para toda la organización ( Esto no incluye la protección contra malware para S3. |
Todos | – | – | – |
Habilite cualquier plan de GuardDuty protección para cuentas individuales Esto no incluye la protección contra malware ni EC2 la protección contra malware para S3. |
Cualquiera | – | Cualquiera | – |
Protección contra malware para EC2 |
Cualquiera | – | Auto | Auto |
Protección contra malware para S3 |
– | Auto | – | Auto |
Desvincular una cuenta de miembro | Cualquiera | – | Cualquiera | – |
Desasociarse de una cuenta de administrador | – | Self + | – | Auto |
Eliminar una cuenta de miembro disociada | Cualquiera | – | Cualquiera | – |
Suspender GuardDuty | Cualquier * | – | Cualquier * | – |
Desactivar GuardDuty | Cualquier * | – | Cualquier * | – |
+ Indica que la cuenta solo puede realizar esta acción si la cuenta de GuardDuty administrador delegado no ha configurado la preferencia de activación automática para los miembros de ALL
la organización.
* Indica que una cuenta de GuardDuty administrador delegado no se puede deshabilitar directamente GuardDuty en la cuenta de un miembro. La cuenta de GuardDuty administrador delegado primero debe desasociar la cuenta de miembro y, a continuación, eliminarla. Después de esto, cada cuenta de miembro puede desactivarse GuardDuty en sus propias cuentas. Para obtener más información sobre cómo realizar estas tareas en su organización, consulteMantener su organización dentro GuardDuty.