Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami hubungan antara akun GuardDuty administrator dan akun anggota
Saat Anda menggunakan GuardDuty di lingkungan beberapa akun, akun administrator dapat mengelola aspek-aspek tertentu GuardDuty atas nama akun anggota. Akun administrator dapat melakukan fungsi utama berikut:
-
Menambahkan dan menghapus akun anggota terkait. Proses di mana akun administrator dapat melakukan ini berbeda berdasarkan cara Anda mengelola akun — melalui organisasi atau dengan undangan.
-
Akun GuardDuty administrator yang didelegasikan mengaktifkan akun GuardDuty manajemen
Jika akun AWS Organizations manajemen pernah dinonaktifkan GuardDuty, akun GuardDuty administrator yang didelegasikan dapat diaktifkan GuardDuty di akun manajemen. Namun, diperlukan bahwa akun manajemen harus belum secara eksplisit menghapus. Izin peran terkait layanan untuk GuardDuty
-
Mengelola status GuardDuty dalam akun anggota terkait, termasuk mengaktifkan dan menangguhkan GuardDuty.
catatan
Akun administrator yang didelegasikan dikelola dengan mengaktifkan AWS Organizations secara otomatis GuardDuty di akun yang ditambahkan sebagai anggota.
-
Sesuaikan temuan dalam GuardDuty jaringan melalui pembuatan dan pengelolaan aturan penindasan, daftar IP tepercaya, dan daftar ancaman. Dalam lingkungan multi-akun, konfigurasi fitur ini hanya tersedia untuk akun administrator yang GuardDuty didelegasikan. Akun anggota tidak dapat memperbarui konfigurasi ini.
Tabel berikut merinci hubungan antara akun GuardDuty administrator dan akun anggota.
Dalam tabel ini:
-
Self — Akun dapat melakukan tindakan yang terdaftar hanya untuk akun mereka sendiri.
-
Apa saja — Akun dapat melakukan tindakan yang tercantum untuk akun terkait apa pun.
-
Semua — Akun dapat melakukan tindakan yang tercantum dan berlaku untuk semua akun terkait. Biasanya, akun yang mengambil tindakan ini adalah akun GuardDuty administrator yang ditunjuk
Sel tabel dengan tanda hubung (-) menunjukkan bahwa akun tidak dapat melakukan tindakan yang tercantum.
Aksi | Melalui AWS Organizations | Dengan undangan | ||
---|---|---|---|---|
Akun GuardDuty administrator yang didelegasikan | Akun anggota terkait | Akun GuardDuty administrator yang didelegasikan | Akun anggota terkait | |
Aktifkan GuardDuty | Setiap | – | Mandiri | Mandiri |
Aktifkan GuardDuty secara otomatis untuk seluruh organisasi (ALL ,NEW ,NONE ) |
Semua | – | – | – |
Lihat semua akun anggota Organizations terlepas dari GuardDuty statusnya | Setiap | – | – | – |
Membuat temuan sampel | Mandiri | Mandiri | Mandiri | Mandiri |
Lihat semua GuardDuty temuan | Setiap | Mandiri | Setiap | Mandiri |
GuardDuty Temuan arsip | Setiap | – | Setiap | – |
Menerapkan aturan penekanan | Semua | – | Semua | – |
Buat daftar IP tepercaya atau daftar ancaman | Semua | – | Semua | – |
Perbarui daftar IP tepercaya atau daftar ancaman | Semua | – | Semua | – |
Hapus daftar IP tepercaya atau daftar ancaman | Semua | – | Semua | – |
Atur frekuensi EventBridge notifikasi | Semua | – | Semua | Diri Sendiri |
Mengatur lokasi Amazon S3 untuk mengekspor temuan | Semua | – | Semua | Diri Sendiri |
Aktifkan satu atau lebih rencana perlindungan opsional untuk seluruh organisasi ( Ini tidak termasuk Perlindungan Malware untuk S3. |
Semua | – | – | – |
Aktifkan paket GuardDuty perlindungan apa pun untuk akun individu Ini tidak termasuk Perlindungan Malware untuk EC2 dan Perlindungan Malware untuk S3. |
Setiap | – | Setiap | – |
Perlindungan Malware untuk EC2 |
Setiap | – | Mandiri | Mandiri |
Perlindungan Malware untuk S3 |
– | Mandiri | – | Mandiri |
Putuskan hubungan akun anggota | Setiap | – | Setiap | – |
Putuskan hubungan dari akun akun administrator | – | Diri + | – | Mandiri |
Menghapus akun anggota yang tidak terkait | Setiap | – | Setiap | – |
Menangguhkan GuardDuty | * Apa saja* | – | * Apa saja* | – |
Nonaktifkan GuardDuty | * Apa saja* | – | * Apa saja* | – |
+ Menunjukkan bahwa akun dapat mengambil tindakan ini hanya jika akun GuardDuty administrator yang didelegasikan belum menyiapkan preferensi aktifkan otomatis ke ALL
anggota organisasi.
* Menunjukkan bahwa akun GuardDuty administrator yang didelegasikan tidak dapat menonaktifkan GuardDuty di akun anggota secara langsung. Akun GuardDuty administrator yang didelegasikan harus terlebih dahulu memisahkan akun anggota, dan kemudian menghapusnya. Setelah ini, setiap akun anggota dapat menonaktifkan GuardDuty di akun mereka sendiri. Untuk informasi selengkapnya tentang melakukan tugas-tugas ini di organisasi Anda, lihatMempertahankan organisasi Anda di dalam GuardDuty.