Gerenciando GuardDuty contas com AWS Organizations - Amazon GuardDuty
Considerações e recomendações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando GuardDuty contas com AWS Organizations

Em uma AWS organização, a conta de gerenciamento pode designar qualquer conta dentro dessa organização como a conta de GuardDuty administrador delegado. Para essa conta de administrador, GuardDuty é ativada automaticamente somente na conta atual Região da AWS. Por padrão, a conta de administrador pode ativar e gerenciar GuardDuty todas as contas de membros na organização dentro dessa região. A conta do administrador pode visualizar e adicionar membros a essa AWS organização.

As seções a seguir o guiarão por várias tarefas que você pode realizar como uma conta de GuardDuty administrador delegado.

Considerações e recomendações para uso com GuardDuty AWS Organizations

As considerações e recomendações a seguir podem ajudá-lo a entender como uma conta de GuardDuty administrador delegado opera em: GuardDuty

Uma conta de GuardDuty administrador delegado pode gerenciar no máximo 50.000 membros.

Há um limite de 50.000 contas de membros por conta de GuardDuty administrador delegado. Isso inclui contas de membros que foram adicionadas por meio de AWS Organizations ou aquelas que aceitaram o convite da conta de GuardDuty administrador para ingressar na organização. No entanto, pode haver mais de 50.000 contas em sua AWS organização.

Se você exceder o limite de 50.000 contas de membros, receberá uma notificação e um e-mail para a conta de CloudWatch GuardDuty administrador delegado designada. AWS Health Dashboard

Uma conta de GuardDuty administrador delegado é regional.

Ao contrário AWS Organizations, GuardDuty é um serviço regional. As contas de GuardDuty administrador delegado e suas contas de membros devem ser adicionadas AWS Organizations em cada região desejada em que você GuardDuty ativou. Se a conta de gerenciamento da organização designar uma conta de GuardDuty administrador delegado somente no Leste dos EUA (Norte da Virgínia), a conta de GuardDuty administrador delegado gerenciará somente as contas de membros adicionadas à organização nessa região. Para obter mais informações sobre a paridade de recursos nas regiões onde GuardDuty está disponível, consulteRegiões e endpoints.

Casos especiais para regiões optativas

  • Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (NEW) ou para todas as contas de membros (ALL), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra Contas no painel de navegação do GuardDuty console ou use o. ListMembersAPI

  • Ao trabalhar com a configuração de GuardDuty ativação automática definida comoNEW, certifique-se de que a seguinte sequência seja atendida:

    1. As contas dos membros optam por uma região de aceitação.

    2. Adicione as contas dos membros à sua organização em AWS Organizations.

    Se você alterar a ordem dessas etapas, a configuração de GuardDuty ativação automática não NEW funcionará na região de inscrição específica porque a conta do membro não é mais nova na organização. GuardDuty fornece duas soluções alternativas:

    • Defina a configuração de GuardDuty ativação automática comoALL, que inclui contas de membros novas e existentes. Nesse caso, a ordem dessas etapas não é relevante.

    • Se uma conta de membro já fizer parte da sua organização, gerencie a GuardDuty configuração dessa conta individualmente na região de inscrição específica usando o GuardDuty console ou o. API

Necessário para que uma AWS organização tenha a mesma conta de GuardDuty administrador delegado em todos os Regiões da AWS.

Você deve designar uma conta de membro como a conta de GuardDuty administrador delegado em todos os Regiões da AWS lugares GuardDuty ativados. Por exemplo, se você designar uma conta de membro 111122223333 em Europe (Ireland), você não pode designar outra conta de membro 555555555555 em Canada (Central). É necessário que você use a mesma conta da conta de GuardDuty administrador delegado em todas as outras regiões.

Você pode designar uma nova conta de GuardDuty administrador delegado a qualquer momento. Para obter mais informações sobre como remover a conta de GuardDuty administrador delegado existente, consulteAlterando a conta do GuardDuty administrador delegado.

Não é recomendável definir a conta de gerenciamento da sua organização como a conta de GuardDuty administrador delegado.

A conta de gerenciamento da sua organização pode ser a conta de GuardDuty administrador delegado. No entanto, as práticas recomendadas de segurança da AWS seguem o princípio do privilégio mínimo e não recomendam essa configuração.

Alterar uma conta de GuardDuty administrador delegado não desativa GuardDuty as contas dos membros.

Se você remover uma conta de GuardDuty administrador delegado, GuardDuty removerá todas as contas de membros associadas a essa conta de GuardDuty administrador delegado. GuardDuty ainda permanece habilitado para todas essas contas de membros.