As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando GuardDuty contas com AWS Organizations
Em uma AWS organização, a conta de gerenciamento pode designar qualquer conta dentro dessa organização como a conta de GuardDuty administrador delegado. Para essa conta de administrador, GuardDuty é ativada automaticamente somente na conta atual Região da AWS. Por padrão, a conta de administrador pode ativar e gerenciar GuardDuty todas as contas de membros na organização dentro dessa região. A conta do administrador pode visualizar e adicionar membros a essa AWS organização.
As seções a seguir o guiarão por várias tarefas que você pode realizar como uma conta de GuardDuty administrador delegado.
Considerações e recomendações para uso com GuardDuty AWS Organizations
As considerações e recomendações a seguir podem ajudá-lo a entender como uma conta de GuardDuty administrador delegado opera em: GuardDuty
- Uma conta de GuardDuty administrador delegado pode gerenciar no máximo 50.000 membros.
-
Há um limite de 50.000 contas de membros por conta de GuardDuty administrador delegado. Isso inclui contas de membros que foram adicionadas por meio de AWS Organizations ou aquelas que aceitaram o convite da conta de GuardDuty administrador para ingressar na organização. No entanto, pode haver mais de 50.000 contas em sua AWS organização.
Se você exceder o limite de 50.000 contas de membros, receberá uma notificação e um e-mail para a conta de CloudWatch GuardDuty administrador delegado designada. AWS Health Dashboard
- Uma conta de GuardDuty administrador delegado é regional.
-
Ao contrário AWS Organizations, GuardDuty é um serviço regional. As contas de GuardDuty administrador delegado e suas contas de membros devem ser adicionadas AWS Organizations em cada região desejada em que você GuardDuty ativou. Se a conta de gerenciamento da organização designar uma conta de GuardDuty administrador delegado somente no Leste dos EUA (Norte da Virgínia), a conta de GuardDuty administrador delegado gerenciará somente as contas de membros adicionadas à organização nessa região. Para obter mais informações sobre a paridade de recursos nas regiões onde GuardDuty está disponível, consulteRegiões e endpoints.
- Casos especiais para regiões optativas
-
Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (
NEW
) ou para todas as contas de membros (ALL
), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra Contas no painel de navegação do GuardDuty consoleou use o. ListMembersAPI -
Ao trabalhar com a configuração de GuardDuty ativação automática definida como
NEW
, certifique-se de que a seguinte sequência seja atendida:-
As contas dos membros optam por uma região de aceitação.
-
Adicione as contas dos membros à sua organização em AWS Organizations.
Se você alterar a ordem dessas etapas, a configuração de GuardDuty ativação automática não
NEW
funcionará na região de inscrição específica porque a conta do membro não é mais nova na organização. GuardDuty fornece duas soluções alternativas:-
Defina a configuração de GuardDuty ativação automática como
ALL
, que inclui contas de membros novas e existentes. Nesse caso, a ordem dessas etapas não é relevante. -
Se uma conta de membro já fizer parte da sua organização, gerencie a GuardDuty configuração dessa conta individualmente na região de inscrição específica usando o GuardDuty console ou o. API
-
- Necessário para que uma AWS organização tenha a mesma conta de GuardDuty administrador delegado em todos os Regiões da AWS.
-
Você deve designar uma conta de membro como a conta de GuardDuty administrador delegado em todos os Regiões da AWS lugares GuardDuty ativados. Por exemplo, se você designar uma conta de membro
111122223333
emEurope (Ireland)
, você não pode designar outra conta de membro555555555555
emCanada (Central)
. É necessário que você use a mesma conta da conta de GuardDuty administrador delegado em todas as outras regiões.Você pode designar uma nova conta de GuardDuty administrador delegado a qualquer momento. Para obter mais informações sobre como remover a conta de GuardDuty administrador delegado existente, consulteAlterando a conta do GuardDuty administrador delegado.
- Não é recomendável definir a conta de gerenciamento da sua organização como a conta de GuardDuty administrador delegado.
-
A conta de gerenciamento da sua organização pode ser a conta de GuardDuty administrador delegado. No entanto, as práticas recomendadas de segurança da AWS seguem o princípio do privilégio mínimo e não recomendam essa configuração.
- Alterar uma conta de GuardDuty administrador delegado não desativa GuardDuty as contas dos membros.
-
Se você remover uma conta de GuardDuty administrador delegado, GuardDuty removerá todas as contas de membros associadas a essa conta de GuardDuty administrador delegado. GuardDuty ainda permanece habilitado para todas essas contas de membros.