Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre la relation entre le compte GuardDuty administrateur et les comptes membres
Lorsque vous l'utilisez GuardDuty dans un environnement à comptes multiples, le compte administrateur peut gérer certains aspects des comptes membres pour GuardDuty le compte des membres. Un compte administrateur peut exécuter les principales fonctions suivantes :
-
Ajouter et supprimer des comptes membres associés. Le processus par lequel un compte administrateur peut effectuer cette opération varie en fonction de la façon dont vous gérez les comptes, par le biais d'organisations ou sur invitation.
-
Activation GuardDuty du compte administrateur délégué GuardDuty dans le compte de gestion
Si le compte AWS Organizations de gestion est désactivé GuardDuty, le compte d' GuardDuty administrateur délégué peut l'activer GuardDuty dans le compte de gestion. Cependant, il est nécessaire que le compte de gestion n'ait pas explicitement supprimé leAutorisations de rôle liées à un service pour GuardDuty.
-
Gérez le statut des comptes GuardDuty membres associés, notamment en les activant et en les suspendant GuardDuty.
Note
Comptes d'administrateur délégué gérés avec activation AWS Organizations automatique GuardDuty dans les comptes ajoutés en tant que membres.
-
Personnalisez les résultats au sein du GuardDuty réseau en créant et en gérant des règles de suppression, des listes d'adresses IP fiables et des listes de menaces. Dans un environnement à comptes multiples, la configuration de ces fonctionnalités n'est disponible que pour un compte d' GuardDuty administrateur délégué. Un compte membre ne peut pas mettre à jour cette configuration.
Le tableau suivant détaille la relation entre le compte GuardDuty d'administrateur et les comptes de membre.
Dans ce tableau :
-
Auto-utilisateur : un compte ne peut effectuer l'action répertoriée que pour son propre compte.
-
N'importe lequel : un compte peut exécuter l'action répertoriée pour n'importe quel compte associé.
-
Tout — Un compte peut effectuer l'action répertoriée et elle s'applique à tous les comptes associés. Généralement, le compte effectuant cette action est un compte GuardDuty administrateur désigné
Les cellules du tableau marquées d'un tiret (—) indiquent que le compte ne peut pas effectuer l'action répertoriée.
Action | À travers AWS Organizations | Sur invitation | ||
---|---|---|---|---|
Compte GuardDuty d'administrateur délégué | Compte de membre associé | Compte GuardDuty d'administrateur délégué | Compte de membre associé | |
Activer GuardDuty | N’importe quel compte | – | Auto-utilisateur | Auto-utilisateur |
GuardDuty Activation automatique pour l'ensemble de l'organisation (ALL ,NEW ,NONE ) |
Tous | – | – | – |
Afficher les comptes de tous les membres des Organisations, quel que soit leur GuardDuty statut | N’importe quel compte | – | – | – |
Générer des exemples de résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
Afficher tous les GuardDuty résultats | N’importe quel compte | Auto-utilisateur | N’importe quel compte | Auto-utilisateur |
GuardDuty Conclusions des archives | N’importe quel compte | – | N’importe quel compte | – |
Appliquer des règles de suppression | Tous | – | Tous | – |
Créez une liste d'adresses IP fiables ou des listes de menaces | Tous | – | Tous | – |
Mettre à jour la liste d'adresses IP fiables ou les listes de menaces | Tous | – | Tous | – |
Supprimer la liste d'adresses IP fiables ou les listes de menaces | Tous | – | Tous | – |
Définissez la fréquence des EventBridge notifications | Tous | – | Tous | Auto-utilisateur |
Définir l'emplacement Amazon S3 pour l'exportation des résultats | Tous | – | Tous | Auto-utilisateur |
Activez un ou plusieurs plans de protection facultatifs pour l'ensemble de l'entreprise ( Cela n'inclut pas la protection contre les programmes malveillants pour S3. |
Tous | – | – | – |
Activez n'importe quel plan de GuardDuty protection pour les comptes individuels Cela n'inclut pas la protection contre les programmes malveillants ni EC2 la protection contre les programmes malveillants pour S3. |
N’importe quel compte | – | N’importe quel compte | – |
Protection contre les logiciels malveillants pour EC2 |
N’importe quel compte | – | Auto-utilisateur | Auto-utilisateur |
Protection contre les logiciels malveillants pour S3 |
– | Auto-utilisateur | – | Auto-utilisateur |
Dissocier un compte membre | N’importe quel compte | – | N’importe quel compte | – |
Dissocier d'un compte administrateur | – | Soi + | – | Auto-utilisateur |
Supprimer un compte de membre dissocié | N’importe quel compte | – | N’importe quel compte | – |
Suspendre GuardDuty | N'importe lequel * | – | N'importe lequel * | – |
Désactiver GuardDuty | N'importe lequel * | – | N'importe lequel * | – |
+ Indique que le compte ne peut effectuer cette action que si le compte GuardDuty administrateur délégué n'a pas configuré la préférence d'activation automatique pour ALL
les membres de l'organisation.
* Indique qu'un compte d' GuardDuty administrateur délégué ne peut pas être désactivé directement GuardDuty dans un compte de membre. Le compte GuardDuty d'administrateur délégué doit d'abord dissocier le compte du membre, puis le supprimer. Ensuite, chaque compte membre peut être désactivé GuardDuty dans son propre compte. Pour plus d'informations sur l'exécution de ces tâches dans votre organisation, consultezMaintien de votre organisation au sein GuardDuty.