Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprensione della relazione tra account GuardDuty amministratore e account membro
Quando si utilizza GuardDuty in un ambiente con più account, l'account amministratore può gestire determinati aspetti per GuardDuty conto degli account dei membri. Un account amministratore può svolgere le seguenti funzioni principali:
-
Aggiungere e rimuovere account membri associati: il processo con cui un account amministratore può eseguire questa operazione varia in base al modo in cui gestisci gli account, tramite AWS Organizations o tramite il metodo di GuardDuty invito.
GuardDuty consiglia di gestire gli account dei membri tramite AWS Organizations.
-
Attivazione GuardDuty dell'account amministratore delegato GuardDuty nell'account di gestione: se l'account di AWS Organizations gestione viene disabilitato GuardDuty, l'account GuardDuty amministratore delegato può attivarsi GuardDuty nell'account di gestione. Tuttavia, è necessario che l'account di gestione non abbia eliminato in modo esplicito il. Autorizzazioni di ruolo collegate ai servizi per GuardDuty
-
Configura lo stato degli account dei membri: un account amministratore può abilitare o disabilitare lo stato dei piani di GuardDuty protezione e abilitare, sospendere o disabilitare lo stato di per GuardDuty conto degli account dei membri associati.
GuardDuty L'account amministratore delegato gestito con AWS Organizations può essere abilitato automaticamente GuardDuty quando Account AWS vengono aggiunti come membri.
-
Personalizza quando generare i risultati: un account amministratore può personalizzare i risultati all'interno della GuardDuty rete creando e gestendo regole di soppressione, elenchi di IP affidabili ed elenchi di minacce. In un ambiente con più account, il supporto per la configurazione di queste funzionalità è disponibile solo per un account amministratore delegato. GuardDuty Un account membro non può aggiornare questa configurazione.
La tabella seguente descrive in dettaglio la relazione tra account GuardDuty amministratore e account membro.
Chiave per la tabella
-
Autonomo: un account può eseguire l'azione elencata solo per il proprio account.
-
Qualsiasi: un account può eseguire l'azione elencata per qualsiasi account associato.
-
Tutti: un account può eseguire l'azione elencata e questa si applica a tutti gli account associati. In genere, l'account che esegue questa azione è un account GuardDuty amministratore designato
-
Celle con trattino (—) — Le celle della tabella con trattino (—) indicano che l'account non può eseguire l'azione elencata.
| Azione | Tramite AWS Organizations | Su invito | ||
|---|---|---|---|---|
| Account GuardDuty amministratore delegato | Account membro associato | Account GuardDuty amministratore delegato | Account membro associato | |
| Abilita GuardDuty | Qualsiasi | – | Personale | Personale |
Abilita GuardDuty automaticamente per l'intera organizzazione (ALL,NEW,NONE) |
Tutti | – | – | – |
| Visualizza tutti gli account dei membri di Organizations indipendentemente GuardDuty dallo stato | Qualsiasi | – | – | – |
| Genera risultati campione | Personale | Personale | Personale | Personale |
| Visualizza tutti i GuardDuty risultati | Qualsiasi | Personale | Qualsiasi | Personale |
| Archivia GuardDuty i risultati | Qualsiasi | – | Qualsiasi | – |
| Applica regole di soppressione | Tutti | – | Tutti | – |
| Crea un elenco di IP o elenchi di minacce affidabili | Tutti | – | Tutti | – |
| Aggiorna l'elenco di IP attendibili o gli elenchi di minacce | Tutti | – | Tutti | – |
| Eliminare l'elenco di IP attendibili o gli elenchi di minacce | Tutti | – | Tutti | – |
| Imposta la frequenza di EventBridge notifica | Tutti | – | Tutti | – |
| Imposta la posizione Amazon S3 per l'esportazione degli esiti | Tutti | Personale | Tutti | Personale |
|
Abilita uno o più piani di protezione opzionali per l'intera organizzazione ( Questo non include Malware Protection for S3. |
Tutti | – | – | – |
Abilita qualsiasi piano di GuardDuty protezione per i singoli account Ciò non include Malware Protection for EC2 e Malware Protection for S3. |
Qualsiasi | – | Qualsiasi | – |
|
Protezione da malware per EC2 |
Qualsiasi | – | Personale | Personale |
|
Protezione da malware per S3 |
– | Personale | – | Personale |
| Dissocia un account membro | Qualsiasi | – | Qualsiasi | – |
| Dissociarsi da un account amministratore | – | Self + | – | Personale |
| Eliminare un account membro dissociato | Qualsiasi | – | Qualsiasi | – |
| Sospendere GuardDuty | Qualunque * | – | Qualunque * | – |
| Disabilita GuardDuty | Qualunque * | – | Qualunque * | – |
+ Indica che l'account può eseguire questa azione solo se l'account GuardDuty amministratore delegato non ha impostato la preferenza di attivazione automatica per ALL i membri dell'organizzazione.
* Indica che un account GuardDuty amministratore delegato non può essere disabilitato direttamente GuardDuty in un account membro. L'account GuardDuty amministratore delegato deve prima dissociare l'account membro e quindi eliminarlo. Dopodiché, ogni account membro può essere disattivato GuardDuty nei propri account. Per ulteriori informazioni sull'esecuzione di queste attività nella propria organizzazione, vedereGestione continua degli account dei membri all'interno di GuardDuty.
