As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros
Quando você usa GuardDuty em um ambiente de várias contas, a conta do administrador pode gerenciar certos aspectos GuardDuty em nome das contas dos membros. Uma conta de administrador pode realizar as seguintes funções principais:
-
Adicionar e remover contas de membros associadas — O processo pelo qual uma conta de administrador pode fazer isso difere com base em como você gerencia as contas — por meio AWS Organizations ou pelo método de GuardDuty convite.
GuardDuty recomenda gerenciar suas contas de membros por meio de AWS Organizations.
-
Ativação de conta de GuardDuty administrador delegado GuardDuty na conta de gerenciamento — Se a conta AWS Organizations de gerenciamento alguma vez for desativada GuardDuty, a conta de GuardDuty administrador delegado poderá ser ativada GuardDuty na conta de gerenciamento. No entanto, é necessário que a conta de gerenciamento não tenha excluído explicitamente o. Permissões de função vinculadas ao serviço para GuardDuty
-
Configurar o status das contas dos membros — Uma conta de administrador pode ativar ou desativar o status dos planos de GuardDuty proteção e ativar, suspender ou desativar o status de GuardDuty em nome das contas associadas dos membros.
A conta de GuardDuty administrador delegado gerenciada com AWS Organizations pode ser ativada automaticamente GuardDuty quando Contas da AWS eles são adicionados como membros.
-
Personalize quando gerar descobertas — Uma conta de administrador pode personalizar as descobertas na GuardDuty rede criando e gerenciando regras de supressão, listas de IP confiáveis e listas de ameaças. Em um ambiente de várias contas, o suporte para configurar esses recursos está disponível somente para uma conta de administrador delegado GuardDuty . Uma conta de membro não pode atualizar essa configuração.
A tabela a seguir detalha a relação entre a conta GuardDuty do administrador e as contas dos membros.
Chave para a mesa
-
Self — Uma conta pode realizar a ação listada somente para sua própria conta.
-
Qualquer — Uma conta pode realizar a ação listada para qualquer conta associada.
-
Tudo — Uma conta pode realizar a ação listada e ela se aplica a todas as contas associadas. Normalmente, a conta que executa essa ação é uma conta de GuardDuty administrador designada.
-
Células com traço (—) — Células da tabela com traço (—) indicam que a conta não pode realizar a ação listada.
| Ação | Através AWS Organizations | Por convite | ||
|---|---|---|---|---|
| Conta de GuardDuty administrador delegada | Conta de membro associada | Conta de GuardDuty administrador delegada | Conta de membro associada | |
| Habilitar GuardDuty | Any | – | Self | Self |
Ativar GuardDuty automaticamente para toda a organização (ALL,NEW,NONE) |
Todos | – | – | – |
| Veja todas as contas dos membros da Organizations, independentemente do GuardDuty status | Any | – | – | – |
| Gerar descobertas de exemplo | Self | Self | Self | Self |
| Veja todas as GuardDuty descobertas | Any | Self | Any | Self |
| Arquivar GuardDuty descobertas | Any | – | Any | – |
| Aplicar regras de supressão | Todos | – | Todos | – |
| Crie uma lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
| Atualizar lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
| Excluir lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
| Definir frequência EventBridge de notificação | Todos | – | Todos | – |
| Definir o local do Amazon S3 para exportar descobertas | Todos | Self | Todos | Self |
|
Habilite um ou mais planos de proteção opcionais para toda a organização ( Isso não inclui a proteção contra malware para S3. |
Todos | – | – | – |
Ative qualquer plano de GuardDuty proteção para contas individuais Isso não inclui proteção contra malware EC2 e proteção contra malware para S3. |
Any | – | Any | – |
|
Proteção contra malware para EC2 |
Any | – | Self | Self |
|
Proteção contra malware para o S3 |
– | Self | – | Self |
| Desassociar uma conta de membro | Any | – | Any | – |
| Desassociar de uma conta de administrador | – | Eu + | – | Self |
| Excluir uma conta de membro desassociada | Any | – | Any | – |
| Suspender GuardDuty | Qualquer * | – | Qualquer * | – |
| Desativar GuardDuty | Qualquer * | – | Qualquer * | – |
+ Indica que a conta pode realizar essa ação somente se a conta do GuardDuty administrador delegado não tiver configurado a preferência de ativação automática para ALL os membros da organização.
* Indica que uma conta de GuardDuty administrador delegado não pode ser desativada diretamente GuardDuty em uma conta de membro. A conta de GuardDuty administrador delegado deve primeiro desassociar a conta do membro e depois excluí-la. Depois disso, cada conta de membro pode ser GuardDuty desativada em suas próprias contas. Para obter mais informações sobre como executar essas tarefas em sua organização, consulteGerenciando continuamente suas contas de membros em GuardDuty.
