Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre la relation entre le compte GuardDuty administrateur et les comptes membres
Lorsque vous l'utilisez GuardDuty dans un environnement à comptes multiples, le compte administrateur peut gérer certains aspects des comptes membres pour GuardDuty le compte des membres. Un compte administrateur peut exécuter les principales fonctions suivantes :
-
Ajouter et supprimer des comptes de membres associés : le processus par lequel un compte administrateur peut effectuer cette opération varie en fonction de la façon dont vous gérez les comptes, que ce soit par le biais de la méthode d' GuardDuty invitation AWS Organizations ou par invitation.
GuardDuty recommande de gérer vos comptes de membres via AWS Organizations.
-
Activation du compte d' GuardDuty administrateur délégué GuardDuty dans le compte de AWS Organizations gestion : si le compte de gestion est désactivé GuardDuty, le compte d' GuardDuty administrateur délégué peut être activé GuardDuty dans le compte de gestion. Cependant, il est nécessaire que le compte de gestion n'ait pas explicitement supprimé leAutorisations de rôle liées au service pour GuardDuty.
-
Configurer le statut des comptes membres — Un compte administrateur peut activer ou désactiver l'état des plans de GuardDuty protection, et activer, suspendre ou désactiver le statut de pour GuardDuty le compte des comptes membres associés.
Le compte GuardDuty d'administrateur délégué géré avec AWS Organizations peut être automatiquement activé GuardDuty lorsqu'ils Comptes AWS sont ajoutés en tant que membres.
-
Personnaliser le moment de génération des résultats : un compte administrateur peut personnaliser les résultats au sein du GuardDuty réseau en créant et en gérant des règles de suppression, des listes d'adresses IP fiables et des listes de menaces. Dans un environnement à comptes multiples, la prise en charge de la configuration de ces fonctionnalités n'est disponible que pour un compte d' GuardDuty administrateur délégué. Un compte membre ne peut pas mettre à jour cette configuration.
Le tableau suivant détaille la relation entre le compte GuardDuty administrateur et les comptes membres.
Clé pour la table
-
Auto-utilisateur : un compte ne peut effectuer l'action répertoriée que pour son propre compte.
-
N'importe lequel : un compte peut exécuter l'action répertoriée pour n'importe quel compte associé.
-
Tout — Un compte peut effectuer l'action répertoriée et elle s'applique à tous les comptes associés. Généralement, le compte effectuant cette action est un compte GuardDuty administrateur désigné
-
Cellules avec tiret (—) — Les cellules du tableau avec tiret (—) indiquent que le compte ne peut pas effectuer l'action répertoriée.
| Action | À travers AWS Organizations | Sur invitation | ||
|---|---|---|---|---|
| Compte GuardDuty d'administrateur délégué | Compte de membre associé | GuardDuty compte administrateur | Compte de membre associé | |
| Activer GuardDuty | N’importe quel compte | – | Auto-utilisateur | Auto-utilisateur |
GuardDuty Activation automatique pour l'ensemble de l'organisation (ALL,NEW,NONE) |
Tous | – | – | – |
| Afficher les comptes de tous les membres des Organisations, quel que soit leur GuardDuty statut | N’importe quel compte | – | – | – |
| Générer des exemples de résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Afficher tous les GuardDuty résultats | N’importe quel compte | Auto-utilisateur | N’importe quel compte | Auto-utilisateur |
| GuardDuty Conclusions des archives | N’importe quel compte | – | N’importe quel compte | – |
| Appliquer des règles de suppression | Tous | – | Tous | – |
| Créez une liste d'adresses IP fiables ou des listes de menaces | Tous | – | Tous | – |
| Mettre à jour la liste d'adresses IP fiables ou les listes de menaces | Tous | – | Tous | – |
| Supprimer la liste d'adresses IP fiables ou les listes de menaces | Tous | – | Tous | – |
| Définissez la fréquence des EventBridge notifications | Tous | – | Tous | – |
| Définir l'emplacement Amazon S3 pour l'exportation des résultats | Tous | Auto-utilisateur | Tous | Auto-utilisateur |
|
Activez un ou plusieurs plans de protection facultatifs pour l'ensemble de l'entreprise ( Cela n'inclut pas la protection contre les programmes malveillants pour S3. |
Tous | – | – | – |
Activez n'importe quel plan de GuardDuty protection pour les comptes individuels Cela n'inclut pas la protection contre les programmes malveillants ni EC2 la protection contre les programmes malveillants pour S3. |
N’importe quel compte | – | N’importe quel compte | – |
|
Protection contre les logiciels malveillants pour EC2 |
N’importe quel compte | – | Auto-utilisateur | Auto-utilisateur |
|
Protection contre les logiciels malveillants pour S3 |
– | Auto-utilisateur | – | Auto-utilisateur |
| Dissocier un compte membre | N'importe lequel + | – | N’importe quel compte | – |
| Dissocier d'un compte administrateur | – | – | – | Auto-utilisateur |
| Supprimer un compte de membre dissocié | N’importe quel compte | – | N’importe quel compte | – |
| Suspendre GuardDuty | N'importe lequel * | – | N'importe lequel * | – |
| Désactiver GuardDuty | N'importe lequel * | – | N'importe lequel * | – |
+ Indique que le compte GuardDuty administrateur délégué ne peut effectuer cette action que s'il n'a pas configuré les préférences d'activation automatique pour ALL les membres de l'organisation.
* Indique qu'un compte d' GuardDuty administrateur délégué ne peut pas être désactivé directement GuardDuty dans un compte de membre. Le compte GuardDuty d'administrateur délégué doit d'abord dissocier le compte du membre, puis le supprimer. Ensuite, chaque compte membre peut être désactivé GuardDuty dans son propre compte. Pour plus d'informations sur l'exécution de ces tâches dans votre organisation, consultezGérez en permanence vos comptes de membres au sein de GuardDuty.
