Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprensione della relazione tra account GuardDuty amministratore e account membro
Quando si utilizza GuardDuty in un ambiente con più account, l'account amministratore può gestire determinati aspetti per GuardDuty conto degli account dei membri. Un account amministratore può svolgere le seguenti funzioni principali:
-
Aggiungere e rimuovere gli account membri associati. Il processo con cui un account amministratore può eseguire questa operazione varia in base alla modalità di gestione degli account, tramite organizzazioni o tramite invito.
-
Attivazione GuardDuty dell'account amministratore delegato GuardDuty nell'account di gestione
Se l'account di AWS Organizations gestione viene disabilitato GuardDuty, l'account GuardDuty amministratore delegato può essere abilitato GuardDuty nell'account di gestione. Tuttavia, è necessario che l'account di gestione non abbia eliminato in modo esplicito il. Autorizzazioni di ruolo collegate ai servizi per GuardDuty
-
Gestisci lo stato degli GuardDuty account dei membri associati, incluse l'attivazione e la sospensione GuardDuty.
Nota
Account amministrativi delegati gestiti con attivazione AWS Organizations GuardDuty automatica degli account aggiunti come membri.
-
Personalizza i risultati all'interno della GuardDuty rete attraverso la creazione e la gestione di regole di soppressione, elenchi di IP affidabili ed elenchi di minacce. In un ambiente con più account, la configurazione di queste funzionalità è disponibile solo per un account amministratore delegato. GuardDuty Un account membro non può aggiornare questa configurazione.
La tabella seguente descrive in dettaglio la relazione tra account GuardDuty amministratore e account membro.
In questa tabella:
-
Autonomo: un account può eseguire l'azione elencata solo per il proprio account.
-
Qualsiasi: un account può eseguire l'azione elencata per qualsiasi account associato.
-
Tutti: un account può eseguire l'azione elencata e questa si applica a tutti gli account associati. In genere, l'account che esegue questa azione è un account GuardDuty amministratore designato
Le celle della tabella con un trattino (—) indicano che l'account non può eseguire l'azione elencata.
| Action | Tramite AWS Organizations | Su invito | ||
|---|---|---|---|---|
| Account GuardDuty amministratore delegato | Account membro associato | Account GuardDuty amministratore delegato | Account membro associato | |
| Abilita GuardDuty | Qualsiasi | – | Personale | Personale |
Abilita GuardDuty automaticamente per l'intera organizzazione (ALL,NEW,NONE) |
Tutti | – | – | – |
| Visualizza tutti gli account dei membri di Organizations indipendentemente GuardDuty dallo stato | Qualsiasi | – | – | – |
| Genera risultati campione | Personale | Personale | Personale | Personale |
| Visualizza tutti i GuardDuty risultati | Qualsiasi | Personale | Qualsiasi | Personale |
| Archivia GuardDuty i risultati | Qualsiasi | – | Qualsiasi | – |
| Applica regole di soppressione | Tutti | – | Tutti | – |
| Crea un elenco di IP o elenchi di minacce affidabili | Tutti | – | Tutti | – |
| Aggiorna l'elenco di IP attendibili o gli elenchi di minacce | Tutti | – | Tutti | – |
| Eliminare l'elenco di IP attendibili o gli elenchi di minacce | Tutti | – | Tutti | – |
| Imposta la frequenza di EventBridge notifica | Tutti | – | Tutti | Personale |
| Imposta la posizione Amazon S3 per l'esportazione degli esiti | Tutti | – | Tutti | Personale |
|
Abilita uno o più piani di protezione opzionali per l'intera organizzazione ( Questo non include Malware Protection for S3. |
Tutti | – | – | – |
Abilita qualsiasi piano di GuardDuty protezione per i singoli account Ciò non include Malware Protection for EC2 e Malware Protection for S3. |
Qualsiasi | – | Qualsiasi | – |
|
Protezione da malware per EC2 |
Qualsiasi | – | Personale | Personale |
|
Protezione da malware per S3 |
– | Personale | – | Personale |
| Annulla l'associazione di un account membro | Qualsiasi | – | Qualsiasi | – |
| Dissociarsi da un account amministratore | – | Self + | – | Personale |
| Eliminare un account membro dissociato | Qualsiasi | – | Qualsiasi | – |
| Sospendere GuardDuty | Qualunque * | – | Qualunque * | – |
| Disabilita GuardDuty | Qualunque * | – | Qualunque * | – |
+ Indica che l'account può eseguire questa azione solo se l'account GuardDuty amministratore delegato non ha impostato la preferenza di attivazione automatica per ALL i membri dell'organizzazione.
* Indica che un account GuardDuty amministratore delegato non può essere disabilitato direttamente GuardDuty in un account membro. L'account GuardDuty amministratore delegato deve prima dissociare l'account membro e quindi eliminarlo. Dopodiché, ogni account membro può essere disattivato GuardDuty nei propri account. Per ulteriori informazioni sull'esecuzione di queste attività all'interno dell'organizzazione, consultaMantenere la propria organizzazione all'interno GuardDuty.
