Gérer des GuardDuty comptes avec AWS Organizations

Dans une AWS organisation, le compte de gestion peut désigner n'importe quel compte de cette organisation comme compte d' GuardDuty administrateur délégué. Pour ce compte administrateur, GuardDuty il est activé automatiquement uniquement dans le cas actuel Région AWS. Par défaut, le compte administrateur peut activer et gérer tous GuardDuty les comptes membres de l'organisation au sein de cette région. Le compte administrateur peut consulter et ajouter des membres à cette AWS organisation.

Les sections suivantes vous expliqueront les différentes tâches que vous pouvez effectuer en tant que compte d' GuardDuty administrateur délégué.

Table des matières

Considérations et recommandations d'utilisation GuardDuty avec AWS Organizations

Les considérations et recommandations suivantes peuvent vous aider à comprendre le fonctionnement d'un compte d' GuardDuty administrateur délégué dans GuardDuty :

Un compte d' GuardDuty administrateur délégué peut gérer un maximum de 50 000 membres.

Il y a une limite de 50 000 comptes membres par compte GuardDuty d'administrateur délégué. Cela inclut les comptes de membres ajoutés par le biais du compte GuardDuty administrateur AWS Organizations ou ceux qui ont accepté l'invitation du compte administrateur à rejoindre leur organisation. Toutefois, votre AWS organisation peut compter plus de 50 000 comptes.

Si vous dépassez la limite de 50 000 comptes membres, vous recevrez une notification et un e-mail du compte d' GuardDuty administrateur délégué désigné. CloudWatch AWS Health Dashboard

Un compte GuardDuty d'administrateur délégué est régional.

Contrairement AWS Organizationsà GuardDuty un service régional. Les comptes GuardDuty d'administrateur délégué et leurs comptes de membre doivent être ajoutés AWS Organizations dans chaque région que vous avez GuardDuty activée. Si le compte de gestion de l'organisation désigne un compte d' GuardDuty administrateur délégué uniquement dans l'est des États-Unis (Virginie du Nord), le compte d' GuardDuty administrateur délégué gérera uniquement les comptes des membres ajoutés à l'organisation dans cette région. Pour plus d'informations sur la parité des fonctionnalités dans les régions où GuardDuty elle est disponible, consultezRégions et points de terminaison.

Cas particuliers pour les régions optionnelles

Lorsqu'un compte d' GuardDuty administrateur délégué se retire d'une région optionnelle, même si la configuration d' GuardDuty activation automatique de votre organisation est définie sur les nouveaux comptes membres uniquement (NEW) ou sur tous les comptes membres (ALL), il GuardDuty ne peut être activé pour aucun compte de membre de l'organisation actuellement désactivé. GuardDuty Pour plus d'informations sur la configuration de vos comptes membres, ouvrez Comptes dans le volet de navigation de la GuardDuty console ou utilisez le ListMembersAPI.
Lorsque vous travaillez avec la configuration GuardDuty d'activation automatique définie surNEW, assurez-vous que la séquence suivante est respectée :
1. Les comptes membres optent pour une région optionnelle.
2. Ajoutez les comptes des membres à votre organisation dans AWS Organizations.
Si vous modifiez l'ordre de ces étapes, le paramètre d' GuardDuty activation automatique ne NEW fonctionnera pas dans la région d'inscription spécifique, car le compte du membre n'est plus nouveau pour l'organisation. GuardDuty propose deux solutions alternatives :
- Définissez la configuration GuardDuty d'activation automatique surALL, qui inclut les comptes de membres nouveaux et existants. Dans ce cas, l'ordre de ces étapes n'est pas pertinent.
- Si un compte membre fait déjà partie de votre organisation, gérez la GuardDuty configuration de ce compte individuellement dans la région d'adhésion spécifique à l'aide de la GuardDuty console ou duAPI.

Nécessaire pour qu'une AWS organisation dispose du même compte GuardDuty d'administrateur délégué pour tous les Régions AWS.

Vous devez désigner un compte membre comme compte d' GuardDuty administrateur délégué pour tous les comptes Régions AWS GuardDuty Where activé. Par exemple, si vous désignez un compte de membre 111122223333 dansEurope (Ireland), vous ne pouvez pas désigner un autre compte de membre 555555555555 dansCanada (Central). Vous devez utiliser le même compte que le compte d' GuardDuty administrateur délégué dans toutes les autres régions.

Vous pouvez désigner un nouveau compte GuardDuty d'administrateur délégué à tout moment. Pour plus d'informations sur la suppression du compte GuardDuty administrateur délégué existant, consultezModification du compte GuardDuty d'administrateur délégué.

Il n'est pas recommandé de définir le compte de gestion de votre organisation comme compte GuardDuty d'administrateur délégué.

Le compte de gestion de votre organisation peut être le compte GuardDuty d'administrateur délégué. Cependant, les bonnes pratiques de sécurité AWS suivent le principe du moindre privilège et ne recommandent pas cette configuration.

La modification d'un compte d' GuardDuty administrateur délégué n'est pas désactivée GuardDuty pour les comptes des membres.

Si vous supprimez un compte d' GuardDuty administrateur délégué, GuardDuty tous les comptes de membre associés à ce compte d' GuardDuty administrateur délégué sont supprimés. GuardDuty reste activé pour tous ces comptes de membres.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Relations entre le compte administrateur et le compte membre

Autorisations requises pour désigner un compte d' GuardDuty administrateur délégué