As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros
Quando você usa GuardDuty em um ambiente de várias contas, a conta do administrador pode gerenciar certos aspectos GuardDuty em nome das contas dos membros. Uma conta de administrador pode realizar as seguintes funções principais:
-
Adicionar e remover contas-membro associadas. O processo pelo qual uma conta de administrador pode fazer isso difere com base em como você gerencia as contas — por meio de organizações ou por convite.
-
Ativação de conta de GuardDuty administrador delegado GuardDuty na conta de gerenciamento
Se a conta AWS Organizations de gerenciamento for desativada GuardDuty, a conta de GuardDuty administrador delegado poderá ser ativada GuardDuty na conta de gerenciamento. No entanto, é necessário que a conta de gerenciamento não tenha excluído explicitamente o. Permissões de função vinculadas ao serviço para GuardDuty
-
Gerencie o status das GuardDuty contas dos membros associados, incluindo a ativação e a suspensão GuardDuty.
nota
Contas de administrador delegado gerenciadas com habilitação AWS Organizations automática GuardDuty em contas que são adicionadas como membros.
-
Personalize as descobertas na GuardDuty rede por meio da criação e gerenciamento de regras de supressão, listas de IP confiáveis e listas de ameaças. Em um ambiente de várias contas, a configuração desses recursos está disponível somente para uma conta de administrador delegado GuardDuty . Uma conta de membro não pode atualizar essa configuração.
A tabela a seguir detalha a relação entre a conta GuardDuty do administrador e as contas dos membros.
Nesta tabela:
-
Self — Uma conta pode realizar a ação listada somente para sua própria conta.
-
Qualquer — Uma conta pode realizar a ação listada para qualquer conta associada.
-
Tudo — Uma conta pode realizar a ação listada e ela se aplica a todas as contas associadas. Normalmente, a conta que executa essa ação é uma conta de GuardDuty administrador designada
As células da tabela com traço (—) indicam que a conta não pode realizar a ação listada.
Ação | Através AWS Organizations | Por convite | ||
---|---|---|---|---|
Conta de GuardDuty administrador delegada | Conta de membro associada | Conta de GuardDuty administrador delegada | Conta de membro associada | |
Habilitar GuardDuty | Any | – | Self | Self |
Ativar GuardDuty automaticamente para toda a organização (ALL ,NEW ,NONE ) |
Todos | – | – | – |
Visualize todas as contas dos membros da Organizations, independentemente do GuardDuty status | Any | – | – | – |
Gerar descobertas de exemplo | Self | Self | Self | Self |
Veja todas as GuardDuty descobertas | Any | Self | Any | Self |
Arquive GuardDuty as descobertas | Any | – | Any | – |
Aplicar regras de supressão | Todos | – | Todos | – |
Crie uma lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
Atualize a lista de IPs confiáveis ou as listas de ameaças | Todos | – | Todos | – |
Excluir lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
Definir frequência EventBridge de notificação | Todos | – | Todos | Self |
Definir o local do Amazon S3 para exportar descobertas | Todos | – | Todos | Self |
Habilite um ou mais planos de proteção opcionais para toda a organização ( Isso não inclui a proteção contra malware para S3. |
Todos | – | – | – |
Ative qualquer plano de GuardDuty proteção para contas individuais Isso não inclui proteção contra malware EC2 e proteção contra malware para S3. |
Any | – | Any | – |
Proteção contra malware para EC2 |
Any | – | Self | Self |
Proteção contra malware para S3 |
– | Self | – | Self |
Desassociar uma conta de membro | Any | – | Any | – |
Desassociar de uma conta de administrador | – | Eu + | – | Self |
Excluir uma conta de membro desassociada | Any | – | Any | – |
Suspender GuardDuty | Qualquer * | – | Qualquer * | – |
Desativar GuardDuty | Qualquer * | – | Qualquer * | – |
+ Indica que a conta pode realizar essa ação somente se a conta do GuardDuty administrador delegado não tiver configurado a preferência de ativação automática para ALL
os membros da organização.
* Indica que uma conta de GuardDuty administrador delegado não pode ser desativada diretamente GuardDuty em uma conta de membro. A conta de GuardDuty administrador delegado deve primeiro desassociar a conta do membro e depois excluí-la. Depois disso, cada conta de membro pode ser GuardDuty desativada em suas próprias contas. Para obter mais informações sobre como executar essas tarefas em sua organização, consulteMantendo sua organização dentro GuardDuty.