Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre la relation entre le compte GuardDuty administrateur et les comptes membres
Lorsque vous l'utilisez GuardDuty dans un environnement à comptes multiples, le compte administrateur peut gérer certains aspects des comptes membres pour GuardDuty le compte des membres. Les principales fonctions que le compte administrateur peut effectuer sont les suivantes :
-
Ajouter et supprimer des comptes membres associés. La procédure à suivre diffère selon que les comptes sont associés via des organisations ou une invitation.
-
Gérez le statut des comptes GuardDuty membres associés, notamment en les activant et en les suspendant GuardDuty.
Note
Comptes d'administrateur délégué gérés avec activation AWS Organizations automatique GuardDuty dans les comptes ajoutés en tant que membres.
-
Personnalisez les résultats au sein du GuardDuty réseau en créant et en gérant des règles de suppression, des listes d'adresses IP fiables et des listes de menaces. Dans un environnement à comptes multiples, la configuration de ces fonctionnalités n'est disponible que pour un compte d' GuardDuty administrateur délégué. Un compte membre ne peut pas mettre à jour cette configuration.
Le tableau suivant détaille la relation entre le compte GuardDuty administrateur et les comptes membres.
Dans ce tableau :
Auto-utilisateur : un compte ne peut effectuer l'action répertoriée que pour son propre compte.
N'importe lequel : un compte peut exécuter l'action répertoriée pour n'importe quel compte associé.
Tout — Un compte peut effectuer l'action répertoriée et elle s'applique à tous les comptes associés. Généralement, le compte effectuant cette action est un compte GuardDuty administrateur désigné
Les cellules du tableau marquées d'un tiret (—) indiquent que le compte ne peut pas effectuer l'action répertoriée.
| Action | À travers AWS Organizations | Sur invitation | ||
|---|---|---|---|---|
| Compte GuardDuty d'administrateur délégué | Compte de membre associé | Compte GuardDuty d'administrateur délégué | Compte de membre associé | |
| Activer GuardDuty | N’importe quel compte | – | Auto-utilisateur | Auto-utilisateur |
GuardDuty Activation automatique pour l'ensemble de l'organisation (ALL,NEW,NONE) |
Tous | – | – | – |
| Afficher les comptes de tous les membres des Organisations, quel que soit leur GuardDuty statut | N’importe quel compte | – | – | – |
| Générer des exemples de résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Afficher tous les GuardDuty résultats | N’importe quel compte | Auto-utilisateur | N’importe quel compte | Auto-utilisateur |
| GuardDuty Conclusions des archives | N’importe quel compte | – | N’importe quel compte | – |
| Appliquer des règles de suppression | Tous | – | Tous | – |
| Créez une liste d'adresses IP fiables ou des listes de menaces | Tous | – | Tous | – |
| Mettre à jour la liste d'adresses IP fiables ou les listes de menaces | Tous | – | Tous | – |
| Supprimer la liste d'adresses IP fiables ou les listes de menaces | Tous | – | Tous | – |
| Définissez la fréquence des EventBridge notifications | Tous | – | Tous | Auto-utilisateur |
| Définir l'emplacement Amazon S3 pour l'exportation des résultats | Tous | – | Tous | Auto-utilisateur |
|
Activez un ou plusieurs plans de protection facultatifs pour l'ensemble de l'entreprise ( Cela n'inclut pas la protection contre les programmes malveillants pour S3. |
Tous | – | – | – |
Activez n'importe quel plan de GuardDuty protection pour les comptes individuels Cela n'inclut pas la protection contre les programmes malveillants pour S3. |
N’importe quel compte | – | N’importe quel compte | Auto-utilisateur |
|
Protection contre les logiciels malveillants pour S3 |
– | Auto-utilisateur | – | Auto-utilisateur |
| Dissocier un compte membre | N’importe quel compte | – | N’importe quel compte | – |
| Dissocier d'un compte administrateur | – | N° de soi | – | Auto-utilisateur |
| Supprimer un compte de membre dissocié | N’importe quel compte | – | N’importe quel compte | – |
| Suspendre GuardDuty | N'importe lequel * | – | N'importe lequel * | – |
| Désactiver GuardDuty | N'importe lequel * | – | N'importe lequel * | – |
# Indique que le compte ne peut effectuer cette action que si le compte GuardDuty administrateur délégué n'a pas configuré la préférence d'activation automatique pour ALL les membres de l'organisation.
* Indique que cette action doit être effectuée pour tous les comptes associés avant d'être prise pour ce compte. Après avoir dissocié ces comptes, vous devez les supprimer. Pour plus d'informations sur l'exécution de ces tâches dans votre organisation, consultezMaintien de votre organisation au sein de GuardDuty.
