Gestione GuardDuty degli account con AWS Organizations

In un' AWS organizzazione, l'account di gestione può designare qualsiasi account all'interno di questa organizzazione come account amministratore delegato. GuardDuty Per questo account amministratore, GuardDuty viene abilitato automaticamente solo nell'account corrente. Regione AWS Per impostazione predefinita, l'account amministratore può abilitare e gestire tutti GuardDuty gli account dei membri dell'organizzazione all'interno di quella regione. L'account amministratore può visualizzare e aggiungere membri a questa AWS organizzazione.

Le seguenti sezioni illustreranno le varie attività che è possibile eseguire come account GuardDuty amministratore delegato.

Considerazioni e consigli per l'utilizzo con GuardDuty AWS Organizations

Le considerazioni e i consigli seguenti possono aiutarti a capire come funziona un account GuardDuty amministratore delegato in: GuardDuty

Un account GuardDuty amministratore delegato può gestire un massimo di 50.000 membri.

È previsto un limite di 50.000 account membro per account amministratore delegato GuardDuty . Ciò include gli account membro aggiunti tramite AWS Organizations o quelli che hanno accettato l'invito dell'account GuardDuty amministratore a entrare a far parte della propria organizzazione. Tuttavia, nella tua AWS organizzazione potrebbero esserci più di 50.000 account.

Se superi il limite di 50.000 account membri, riceverai una notifica e un'e-mail all'account amministratore delegato designato GuardDuty . CloudWatch AWS Health Dashboard

Un account GuardDuty amministratore delegato è regionale.

Al contrario AWS Organizations, GuardDuty è un servizio regionale. Gli account di GuardDuty amministratore delegato e i relativi account membro devono essere aggiunti AWS Organizations in ogni regione desiderata in cui è stata GuardDuty abilitata. Se l'account di gestione dell'organizzazione designa un account GuardDuty amministratore delegato solo negli Stati Uniti orientali (Virginia settentrionale), l'account GuardDuty amministratore delegato gestirà solo gli account dei membri aggiunti all'organizzazione in quella regione. Per ulteriori informazioni sulla parità di funzionalità nelle regioni in cui GuardDuty è disponibile, consulta. Regioni ed endpoint

Casi speciali per le regioni che hanno aderito

Quando un account GuardDuty amministratore delegato disattiva un'area di attivazione, anche se l'organizzazione ha la configurazione di GuardDuty attivazione automatica impostata su Solo nuovi account membro (NEW) o su tutti gli account membro (ALL), GuardDuty non può essere abilitata per nessun account membro dell'organizzazione attualmente disabilitato. GuardDuty Per informazioni sulla configurazione degli account membro, apri Account nel riquadro di navigazione della GuardDuty console o utilizza il. ListMembersAPI
Quando lavori con la configurazione di GuardDuty attivazione automatica impostata suNEW, assicurati che sia soddisfatta la seguente sequenza:
1. Gli account dei membri aderiscono a una regione opt-in.
2. Aggiungi gli account dei membri alla tua organizzazione in. AWS Organizations
Se modifichi l'ordine di questi passaggi, l'impostazione di GuardDuty attivazione automatica con non NEW funzionerà nella regione di attivazione specifica perché l'account membro non è più nuovo per l'organizzazione. GuardDuty offre due soluzioni alternative:
- Imposta la configurazione di GuardDuty attivazione automatica suALL, che include account membri nuovi ed esistenti. In questo caso, l'ordine di questi passaggi non è rilevante.
- Se un account membro fa già parte dell'organizzazione, gestisci la GuardDuty configurazione di questo account singolarmente nella regione di attivazione specifica utilizzando la GuardDuty console o ilAPI.

È necessario che un' AWS organizzazione disponga dello stesso account GuardDuty amministratore delegato in tutti i. Regioni AWS

È necessario designare un account membro come account GuardDuty amministratore delegato per tutti gli account where abilitati Regioni AWS . GuardDuty Ad esempio, se si designa un account membro 111122223333 in Europe (Ireland), non puoi designare un altro account membro 555555555555 in Canada (Central). È necessario utilizzare lo stesso account dell'account GuardDuty amministratore delegato in tutte le altre regioni.

È possibile designare un nuovo account GuardDuty amministratore delegato in qualsiasi momento. Per ulteriori informazioni sulla rimozione dell'account GuardDuty amministratore delegato esistente, consulta. Modifica dell'account amministratore delegato GuardDuty

Non è consigliabile impostare l'account di gestione dell'organizzazione come account GuardDuty amministratore delegato.

L'account di gestione dell'organizzazione può essere l'account GuardDuty amministratore delegato. Tuttavia, le best practice di sicurezza AWS seguono il principio del privilegio minimo e sconsigliano questa configurazione.

La modifica di un account GuardDuty amministratore delegato non disabilita gli account GuardDuty dei membri.

Se rimuovi un account GuardDuty amministratore delegato, GuardDuty rimuove tutti gli account membro associati a tale account amministratore delegato GuardDuty . GuardDuty rimane comunque abilitato per tutti questi account membro.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Relazioni tra account amministratore e account membro

Autorizzazioni necessarie per designare un account amministratore delegato GuardDuty