Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verständnis der Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten
GuardDuty In einer Umgebung mit mehreren Konten kann das Administratorkonto bestimmte Aspekte von im Namen der GuardDuty Mitgliedskonten verwalten. Ein Administratorkonto kann die folgenden Hauptfunktionen erfüllen:
-
Zugeordnete Mitgliedskonten hinzufügen und entfernen — Das Verfahren, mit dem ein Administratorkonto dies tun kann, hängt davon ab, wie Sie die Konten verwalten — über AWS Organizations oder nach GuardDuty Einladungsmethode.
GuardDuty empfiehlt, Ihre Mitgliedskonten über zu verwalten AWS Organizations.
-
Aktivierung des delegierten GuardDuty Administratorkontos GuardDuty im Verwaltungskonto — Sollte das AWS Organizations Verwaltungskonto jemals deaktiviert werden GuardDuty, kann das delegierte GuardDuty Administratorkonto GuardDuty im Verwaltungskonto aktiviert werden. Es ist jedoch erforderlich, dass das Verwaltungskonto das nicht ausdrücklich gelöscht hat. Dienstbezogene Rollenberechtigungen für GuardDuty
-
Status von Mitgliedskonten konfigurieren — Ein Administratorkonto kann den Status von GuardDuty Schutzplänen aktivieren oder deaktivieren und den Status von im Namen der zugehörigen Mitgliedskonten aktivieren, aussetzen oder deaktivieren. GuardDuty
Ein delegiertes GuardDuty Administratorkonto, das mit verwaltet wird, AWS Organizations kann automatisch aktiviert AWS-Konten werden GuardDuty , wenn sie als Mitglieder hinzugefügt werden.
-
Passen Sie an, wann Ergebnisse generiert werden sollen — Ein Administratorkonto kann Ergebnisse innerhalb des GuardDuty Netzwerks individuell anpassen, indem es Unterdrückungsregeln, Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten erstellt und verwaltet. In einer Umgebung mit mehreren Konten steht die Konfiguration dieser Funktionen nur einem delegierten GuardDuty Administratorkonto zur Verfügung. Ein Mitgliedskonto kann diese Konfiguration nicht aktualisieren.
In der folgenden Tabelle wird die Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten detailliert beschrieben.
Schlüssel für die Tabelle
-
Selbst — Ein Konto kann die aufgelistete Aktion nur für sein eigenes Konto ausführen.
-
Beliebig — Ein Konto kann die aufgelistete Aktion für jedes zugehörige Konto ausführen.
-
Alle — Ein Konto kann die aufgelistete Aktion ausführen und sie gilt für alle zugehörigen Konten. In der Regel handelt es sich bei dem Konto, das diese Aktion ausführt, um ein GuardDuty designiertes Administratorkonto
-
Zellen mit Bindestrich (—) — Tabellenzellen mit Bindestrich (—) weisen darauf hin, dass das Konto die aufgelistete Aktion nicht ausführen kann.
Action (Aktion) | Durch AWS Organizations | Auf Einladung | ||
---|---|---|---|---|
Delegiertes GuardDuty Administratorkonto | Zugeordnetes Mitgliedskonto | Delegiertes GuardDuty Administratorkonto | Zugeordnetes Mitgliedskonto | |
Aktivieren GuardDuty | Any | – | Selbst | Selbst |
GuardDuty Automatisch für die gesamte Organisation aktivieren (ALL ,NEW ,NONE ) |
Alle | – | – | – |
Alle Mitgliedskonten von Organizations unabhängig vom GuardDuty Status anzeigen | Any | – | – | – |
Generieren von Stichprobenergebnissen | Selbst | Selbst | Selbst | Selbst |
Alle GuardDuty Ergebnisse anzeigen | Any | Selbst | Any | Selbst |
GuardDuty Ergebnisse archivieren | Any | – | Any | – |
Anwenden von Unterdrückungsregeln | Alle | – | Alle | – |
Erstellen Sie eine Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Aktualisieren Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten löschen | Alle | – | Alle | – |
Stellen Sie die Häufigkeit der EventBridge Benachrichtigungen ein | Alle | – | Alle | – |
Festlegen des Amazon-S3-Standorts für den Export von Erkenntnissen | Alle | Selbst | Alle | Selbst |
Aktivieren Sie einen oder mehrere optionale Schutzpläne für die gesamte Organisation ( Dies beinhaltet nicht den Malware-Schutz für S3. |
Alle | – | – | – |
Aktivieren Sie einen beliebigen GuardDuty Schutzplan für einzelne Konten Dies beinhaltet nicht den Malware-Schutz für EC2 und den Malware-Schutz für S3. |
Any | – | Any | – |
Malware-Schutz für EC2 |
Any | – | Selbst | Selbst |
Malware-Schutz für S3 |
– | Selbst | – | Selbst |
Trennen Sie die Zuordnung eines Mitgliedskontos | Any | – | Any | – |
Trennen Sie die Verbindung zu einem Administratorkonto | – | Selbst + | – | Selbst |
Löschen Sie ein getrenntes Mitgliedskonto | Any | – | Any | – |
Sperren GuardDuty | Irgendein * | – | Irgendein * | – |
Deaktivieren GuardDuty | Irgendein * | – | Irgendein * | – |
+ Zeigt an, dass das Konto diese Aktion nur ausführen kann, wenn das delegierte GuardDuty Administratorkonto nicht die automatische Aktivierung für ALL
die Organisationsmitglieder eingerichtet hat.
* Weist darauf hin, dass ein delegiertes GuardDuty Administratorkonto nicht direkt GuardDuty in einem Mitgliedskonto deaktiviert werden kann. Das delegierte GuardDuty Administratorkonto muss zuerst die Zuordnung zum Mitgliedskonto aufheben und dann löschen. Danach kann jedes Mitgliedskonto GuardDuty in seinen eigenen Konten deaktiviert werden. Weitere Informationen zur Durchführung dieser Aufgaben in Ihrer Organisation finden Sie unterKontinuierliche Verwaltung Ihrer Mitgliedskonten innerhalb GuardDuty.