Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Grundlegendes zur Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten
Wenn Sie GuardDuty in einer Umgebung mit mehreren Konten arbeiten, kann das Administratorkonto bestimmte Aspekte von im Namen der GuardDuty Mitgliedskonten verwalten. Das Administratorkonto kann die folgenden Hauptfunktionen ausführen:
-
Hinzufügen und Entfernen zugehöriger Mitgliedskonten. Der Prozess, mit dem dies durchgeführt wird, unterscheidet sich je nachdem, ob die Konten über Organisationen oder auf Einladung zugeordnet werden.
-
Den Status der zugehörigen Mitgliedskonten verwalten, einschließlich Aktivierung und Sperrung. GuardDuty GuardDuty
Anmerkung
Delegierte Administratorkonten, die GuardDuty in Konten, die als Mitglieder hinzugefügt werden, AWS Organizations automatisch aktiviert werden.
-
Passen Sie die Ergebnisse innerhalb des GuardDuty Netzwerks an, indem Sie Unterdrückungsregeln, Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten erstellen und verwalten. In einer Umgebung mit mehreren Konten ist die Konfiguration dieser Funktionen nur für ein GuardDuty delegiertes Administratorkonto verfügbar. Ein Mitgliedskonto kann diese Konfiguration nicht aktualisieren.
In der folgenden Tabelle wird die Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten detailliert beschrieben.
In dieser Tabelle:
Selbst — Ein Konto kann die aufgelistete Aktion nur für sein eigenes Konto ausführen.
Beliebig — Ein Konto kann die aufgelistete Aktion für jedes zugehörige Konto ausführen.
Alle — Ein Konto kann die aufgelistete Aktion ausführen und sie gilt für alle zugehörigen Konten. In der Regel handelt es sich bei dem Konto, das diese Aktion ausführt, um ein GuardDuty designiertes Administratorkonto
Tabellenzellen mit einem Bindestrich (—) weisen darauf hin, dass das Konto die aufgelistete Aktion nicht ausführen kann.
Action (Aktion) | Durch AWS Organizations | Auf Einladung | ||
---|---|---|---|---|
Delegiertes GuardDuty Administratorkonto | Zugeordnetes Mitgliedskonto | Delegiertes GuardDuty Administratorkonto | Zugeordnetes Mitgliedskonto | |
Aktivieren GuardDuty | Any | – | Selbst | Selbst |
GuardDuty Automatisch für die gesamte Organisation aktivieren (ALL ,NEW ,NONE ) |
Alle | – | – | – |
Alle Mitgliedskonten von Organizations unabhängig vom GuardDuty Status anzeigen | Any | – | – | – |
Generieren von Stichprobenergebnissen | Selbst | Selbst | Selbst | Selbst |
Alle GuardDuty Ergebnisse anzeigen | Any | Selbst | Any | Selbst |
GuardDuty Ergebnisse archivieren | Any | – | Any | – |
Anwenden von Unterdrückungsregeln | Alle | – | Alle | – |
Erstellen Sie eine Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Aktualisieren Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Löschen Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
Stellen Sie die Häufigkeit der EventBridge Benachrichtigungen ein | Alle | – | Alle | Selbst |
Festlegen des Amazon-S3-Standorts für den Export von Erkenntnissen | Alle | – | Alle | Selbst |
Aktivieren Sie einen oder mehrere optionale Schutzpläne für die gesamte Organisation ( Dies beinhaltet nicht den Malware-Schutz für S3. |
Alle | – | – | – |
Aktivieren Sie einen beliebigen GuardDuty Schutzplan für einzelne Konten Dies beinhaltet nicht den Malware-Schutz für S3. |
Any | – | Any | Selbst |
Malware-Schutz für S3 |
– | Selbst | – | Selbst |
Trennen Sie die Zuordnung eines Mitgliedskontos | Any | – | Any | – |
Trennen Sie die Verbindung zu einem Administratorkonto | – | Selbst # | – | Selbst |
Löschen Sie ein getrenntes Mitgliedskonto | Any | – | Any | – |
Sperren GuardDuty | Irgendein * | – | Irgendein * | – |
Deaktivieren GuardDuty | Irgendein * | – | Irgendein * | – |
# Zeigt an, dass das Konto diese Aktion nur ausführen kann, wenn das delegierte GuardDuty Administratorkonto nicht die automatische Aktivierung für ALL
die Organisationsmitglieder eingerichtet hat.
* Weist darauf hin, dass diese Aktion für alle zugehörigen Konten ausgeführt werden muss, bevor sie für dieses Konto ausgeführt werden kann. Nachdem Sie die Zuordnung dieser Konten aufgehoben haben, müssen Sie sie löschen. Weitere Informationen zur Ausführung dieser Aufgaben in Ihrer Organisation finden Sie unterAufrechterhaltung Ihrer Organisation innerhalb GuardDuty.