Verständnis der Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verständnis der Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten

GuardDuty In einer Umgebung mit mehreren Konten kann das Administratorkonto bestimmte Aspekte von im Namen der GuardDuty Mitgliedskonten verwalten. Ein Administratorkonto kann die folgenden Hauptfunktionen erfüllen:

  • Zugeordnete Mitgliedskonten hinzufügen und entfernen — Das Verfahren, mit dem ein Administratorkonto dies tun kann, hängt davon ab, wie Sie die Konten verwalten — über AWS Organizations oder nach GuardDuty Einladungsmethode.

    GuardDuty empfiehlt, Ihre Mitgliedskonten über zu verwalten AWS Organizations.

  • Aktivierung des delegierten GuardDuty Administratorkontos GuardDuty im Verwaltungskonto — Sollte das AWS Organizations Verwaltungskonto jemals deaktiviert werden GuardDuty, kann das delegierte GuardDuty Administratorkonto GuardDuty im Verwaltungskonto aktiviert werden. Es ist jedoch erforderlich, dass das Verwaltungskonto das nicht ausdrücklich gelöscht hat. Dienstbezogene Rollenberechtigungen für GuardDuty

  • Status von Mitgliedskonten konfigurieren — Ein Administratorkonto kann den Status von GuardDuty Schutzplänen aktivieren oder deaktivieren und den Status von im Namen der zugehörigen Mitgliedskonten aktivieren, aussetzen oder deaktivieren. GuardDuty

    Ein delegiertes GuardDuty Administratorkonto, das mit verwaltet wird, AWS Organizations kann automatisch aktiviert AWS-Konten werden GuardDuty , wenn sie als Mitglieder hinzugefügt werden.

  • Passen Sie an, wann Ergebnisse generiert werden sollen — Ein Administratorkonto kann Ergebnisse innerhalb des GuardDuty Netzwerks individuell anpassen, indem es Unterdrückungsregeln, Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten erstellt und verwaltet. In einer Umgebung mit mehreren Konten steht die Konfiguration dieser Funktionen nur einem delegierten GuardDuty Administratorkonto zur Verfügung. Ein Mitgliedskonto kann diese Konfiguration nicht aktualisieren.

In der folgenden Tabelle wird die Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten detailliert beschrieben.

Schlüssel für die Tabelle
  • Selbst — Ein Konto kann die aufgelistete Aktion nur für sein eigenes Konto ausführen.

  • Beliebig — Ein Konto kann die aufgelistete Aktion für jedes zugehörige Konto ausführen.

  • Alle — Ein Konto kann die aufgelistete Aktion ausführen und sie gilt für alle zugehörigen Konten. In der Regel handelt es sich bei dem Konto, das diese Aktion ausführt, um ein GuardDuty designiertes Administratorkonto

  • Zellen mit Bindestrich (—) — Tabellenzellen mit Bindestrich (—) weisen darauf hin, dass das Konto die aufgelistete Aktion nicht ausführen kann.

Action (Aktion) Durch AWS Organizations Auf Einladung
Delegiertes GuardDuty Administratorkonto Zugeordnetes Mitgliedskonto Delegiertes GuardDuty Administratorkonto Zugeordnetes Mitgliedskonto
Aktivieren GuardDuty Any Selbst Selbst
GuardDuty Automatisch für die gesamte Organisation aktivieren (ALL,NEW,NONE) Alle
Alle Mitgliedskonten von Organizations unabhängig vom GuardDuty Status anzeigen Any
Generieren von Stichprobenergebnissen Selbst Selbst Selbst Selbst
Alle GuardDuty Ergebnisse anzeigen Any Selbst Any Selbst
GuardDuty Ergebnisse archivieren Any Any
Anwenden von Unterdrückungsregeln Alle Alle
Erstellen Sie eine Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten Alle Alle
Aktualisieren Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten Alle Alle
Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten löschen Alle Alle
Stellen Sie die Häufigkeit der EventBridge Benachrichtigungen ein Alle Alle
Festlegen des Amazon-S3-Standorts für den Export von Erkenntnissen Alle Selbst Alle Selbst

Aktivieren Sie einen oder mehrere optionale Schutzpläne für die gesamte Organisation (ALL,NEW,NONE)

Dies beinhaltet nicht den Malware-Schutz für S3.

Alle

Aktivieren Sie einen beliebigen GuardDuty Schutzplan für einzelne Konten

Dies beinhaltet nicht den Malware-Schutz für EC2 und den Malware-Schutz für S3.

Any Any

Malware-Schutz für EC2

Any Selbst Selbst

Malware-Schutz für S3

Selbst Selbst
Trennen Sie die Zuordnung eines Mitgliedskontos Any Any
Trennen Sie die Verbindung zu einem Administratorkonto Selbst + Selbst
Löschen Sie ein getrenntes Mitgliedskonto Any Any
Sperren GuardDuty Irgendein * Irgendein *
Deaktivieren GuardDuty Irgendein * Irgendein *

+ Zeigt an, dass das Konto diese Aktion nur ausführen kann, wenn das delegierte GuardDuty Administratorkonto nicht die automatische Aktivierung für ALL die Organisationsmitglieder eingerichtet hat.

* Weist darauf hin, dass ein delegiertes GuardDuty Administratorkonto nicht direkt GuardDuty in einem Mitgliedskonto deaktiviert werden kann. Das delegierte GuardDuty Administratorkonto muss zuerst die Zuordnung zum Mitgliedskonto aufheben und dann löschen. Danach kann jedes Mitgliedskonto GuardDuty in seinen eigenen Konten deaktiviert werden. Weitere Informationen zur Durchführung dieser Aufgaben in Ihrer Organisation finden Sie unterKontinuierliche Verwaltung Ihrer Mitgliedskonten innerhalb GuardDuty.