Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione GuardDuty degli account con AWS Organizations
In un' AWS organizzazione, l'account di gestione può designare qualsiasi account all'interno di questa organizzazione come account amministratore delegato. GuardDuty Per questo account amministratore, GuardDuty viene abilitato automaticamente solo nell'account corrente. Regione AWS Per impostazione predefinita, l'account amministratore può abilitare e gestire tutti GuardDuty gli account dei membri dell'organizzazione all'interno di quella regione. L'account amministratore può visualizzare e aggiungere membri a questa AWS organizzazione.
Le seguenti sezioni illustreranno le varie attività che è possibile eseguire come account GuardDuty amministratore delegato.
Indice
- Considerazioni e consigli per l'utilizzo con GuardDuty AWS Organizations
- Autorizzazioni necessarie per designare un account amministratore delegato GuardDuty
- Designazione di un account amministratore delegato GuardDuty
- Impostazione delle preferenze di attivazione automatica dell'organizzazione
- Aggiungere membri all'organizzazione
- (Facoltativo) Abilita i piani di protezione per gli account dei membri esistenti
- Gestione continua degli account dei membri all'interno GuardDuty
- Sospensione GuardDuty per l'account di un membro
- Dissociazione (rimozione) dell'account membro dall'account amministratore
- Eliminazione degli account dei membri dall'organizzazione GuardDuty
- Modifica dell' GuardDuty account amministratore delegato
Considerazioni e consigli per l'utilizzo con GuardDuty AWS Organizations
Le considerazioni e i consigli seguenti possono aiutarti a capire come funziona un account GuardDuty amministratore delegato in: GuardDuty
- Un account GuardDuty amministratore delegato può gestire un massimo di 50.000 membri.
-
È previsto un limite di 50.000 account membro per account amministratore delegato GuardDuty . Ciò include gli account membro aggiunti tramite AWS Organizations o quelli che hanno accettato l'invito dell'account GuardDuty amministratore a entrare a far parte della propria organizzazione. Tuttavia, nella tua AWS organizzazione potrebbero esserci più di 50.000 account.
Se superi il limite di 50.000 account membri, riceverai una notifica e un'e-mail all'account amministratore delegato designato GuardDuty . CloudWatch AWS Health Dashboard
- Un account GuardDuty amministratore delegato è regionale.
-
Al contrario AWS Organizations, GuardDuty è un servizio regionale. Gli account di GuardDuty amministratore delegato e i relativi account membro devono essere aggiunti AWS Organizations in ogni regione desiderata in cui è stata GuardDuty abilitata. Se l'account di gestione dell'organizzazione designa un account GuardDuty amministratore delegato solo negli Stati Uniti orientali (Virginia settentrionale), l'account GuardDuty amministratore delegato gestirà solo gli account dei membri aggiunti all'organizzazione in quella regione. Per ulteriori informazioni sulla parità di funzionalità nelle regioni in cui GuardDuty è disponibile, consulta. Regioni ed endpoint
- Casi speciali per le regioni che hanno aderito
-
Quando un account GuardDuty amministratore delegato disattiva un'area di attivazione, anche se l'organizzazione ha la configurazione di GuardDuty attivazione automatica impostata su Solo nuovi account membro (
NEW) o su tutti gli account membro (ALL), GuardDuty non può essere abilitata per nessun account membro dell'organizzazione attualmente disabilitato. GuardDuty Per informazioni sulla configurazione degli account membro, apri Account nel riquadro di navigazione della GuardDuty consoleo utilizza il. ListMembersAPI -
Quando lavori con la configurazione di GuardDuty attivazione automatica impostata su
NEW, assicurati che sia soddisfatta la seguente sequenza:-
Gli account dei membri aderiscono a una regione opt-in.
-
Aggiungi gli account dei membri alla tua organizzazione in. AWS Organizations
Se modifichi l'ordine di questi passaggi, l'impostazione di GuardDuty attivazione automatica con non
NEWfunzionerà nella regione di attivazione specifica perché l'account membro non è più nuovo per l'organizzazione. GuardDuty offre due soluzioni alternative:-
Imposta la configurazione di GuardDuty attivazione automatica su
ALL, che include account membri nuovi ed esistenti. In questo caso, l'ordine di questi passaggi non è rilevante. -
Se un account membro fa già parte dell'organizzazione, gestisci la GuardDuty configurazione di questo account singolarmente nella regione di attivazione specifica utilizzando la GuardDuty console o ilAPI.
-
- È necessario che un' AWS organizzazione disponga dello stesso account GuardDuty amministratore delegato in tutti i. Regioni AWS
-
È necessario designare un account membro come account GuardDuty amministratore delegato per tutti gli account where abilitati Regioni AWS . GuardDuty Ad esempio, se si designa un account membro
111122223333inEurope (Ireland), non è possibile designare un altro account membro in.555555555555Canada (Central)È necessario utilizzare lo stesso account dell'account GuardDuty amministratore delegato in tutte le altre regioni.È possibile designare un nuovo account GuardDuty amministratore delegato in qualsiasi momento. Per ulteriori informazioni sulla rimozione dell'account GuardDuty amministratore delegato esistente, consulta. Modifica dell' GuardDuty account amministratore delegato
- Non è consigliabile impostare l'account di gestione dell'organizzazione come account GuardDuty amministratore delegato.
-
L'account di gestione dell'organizzazione può essere l'account GuardDuty amministratore delegato. Tuttavia, le best practice di sicurezza AWS seguono il principio del privilegio minimo e sconsigliano questa configurazione.
- La modifica di un account GuardDuty amministratore delegato non disabilita gli account GuardDuty dei membri.
-
Se rimuovi un account GuardDuty amministratore delegato, GuardDuty rimuove tutti gli account membro associati a tale account amministratore delegato GuardDuty . GuardDuty rimane comunque abilitato per tutti questi account membro.
