Gérer des GuardDuty comptes avec AWS Organizations - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer des GuardDuty comptes avec AWS Organizations

Lorsque vous l'utilisez GuardDuty avec une AWS organisation, le compte de gestion de cette organisation peut désigner n'importe quel compte au sein de l'organisation comme compte d' GuardDuty administrateur délégué. Pour ce compte administrateur, GuardDuty il est activé automatiquement uniquement dans le compte désigné Région AWS. Ce compte est également autorisé à activer et à gérer tous GuardDuty les comptes de l'organisation au sein de cette région. Le compte administrateur peut voir les membres de cette AWS organisation et y ajouter des membres.

Si vous avez déjà configuré un compte GuardDuty administrateur avec des comptes membres associés sur invitation et que les comptes membres font partie de la même organisation, leur type passe de Par invitation à Via Organizations lorsque vous définissez un compte d' GuardDuty administrateur délégué pour votre organisation. Si un compte d' GuardDuty administrateur délégué a précédemment ajouté des membres sur invitation qui ne font pas partie de la même organisation, leur type reste sur invitation. Dans les deux cas, les comptes précédemment ajoutés sont des comptes de membres associés au compte d' GuardDuty administrateur délégué de l'organisation.

Vous pouvez continuer à ajouter des comptes en tant que membres même s'ils ne font pas partie de votre organisation. Pour plus d’informations, consultez Ajout et gestion des comptes par invitation ou Désignation d'un compte d' GuardDuty administrateur délégué et gestion des membres à l'aide de la console GuardDuty .

Considérations et recommandations lors de la désignation d'un compte d'administrateur délégué GuardDuty

Les considérations et recommandations suivantes peuvent vous aider à comprendre le fonctionnement d'un compte d' GuardDuty administrateur délégué dans GuardDuty :

Un compte d' GuardDuty administrateur délégué peut gérer un maximum de 50 000 membres.

Il y a une limite de 50 000 comptes membres par compte GuardDuty d'administrateur délégué. Cela inclut les comptes de membres ajoutés par le biais du compte GuardDuty administrateur AWS Organizations ou ceux qui ont accepté l'invitation du compte administrateur à rejoindre leur organisation. Toutefois, votre AWS organisation peut compter plus de 50 000 comptes.

Si vous dépassez la limite de 50 000 comptes membres, vous recevrez une notification et un e-mail du compte d' GuardDuty administrateur délégué désigné. CloudWatch AWS Health Dashboard

Un compte GuardDuty d'administrateur délégué est régional.

Contrairement AWS Organizationsà GuardDuty un service régional. Les comptes GuardDuty d'administrateur délégué et leurs comptes de membre doivent être ajoutés AWS Organizations dans chaque région que vous avez GuardDuty activée. Si le compte de gestion de l'organisation désigne un compte d' GuardDuty administrateur délégué uniquement dans l'est des États-Unis (Virginie du Nord), le compte d' GuardDuty administrateur délégué gérera uniquement les comptes des membres ajoutés à l'organisation dans cette région. Pour plus d'informations sur la parité des fonctionnalités dans les régions où GuardDuty elle est disponible, consultezRégions et points de terminaison.

Cas particuliers pour les régions optionnelles
  • Lorsqu'un compte d' GuardDuty administrateur délégué se retire d'une région optionnelle, même si la configuration d' GuardDuty activation automatique de votre organisation est définie sur les nouveaux comptes membres uniquement (NEW) ou sur tous les comptes membres (ALL), il GuardDuty ne peut être activé pour aucun compte de membre de l'organisation actuellement désactivé. GuardDuty Pour plus d'informations sur la configuration de vos comptes membres, ouvrez Comptes dans le volet de navigation de la GuardDuty console ou utilisez l'ListMembersAPI.

  • Lorsque vous travaillez avec la configuration GuardDuty d'activation automatique définie surNEW, assurez-vous que la séquence suivante est respectée :

    1. Les comptes membres optent pour une région optionnelle.

    2. Ajoutez les comptes des membres à votre organisation dans AWS Organizations.

    Si vous modifiez l'ordre de ces étapes, le paramètre d' GuardDuty activation automatique ne NEW fonctionnera pas dans la région d'inscription spécifique, car le compte du membre n'est plus nouveau pour l'organisation. GuardDuty propose deux solutions alternatives :

    • Définissez la configuration GuardDuty d'activation automatique surALL, qui inclut les comptes de membres nouveaux et existants. Dans ce cas, l'ordre de ces étapes n'est pas pertinent.

    • Si un compte membre fait déjà partie de votre organisation, gérez la GuardDuty configuration de ce compte individuellement dans la région d'adhésion spécifique à l'aide de la GuardDuty console ou de l'API.

Il est recommandé à une AWS organisation d'avoir le même compte GuardDuty d'administrateur délégué pour tous les Régions AWS.

Nous vous recommandons de désigner le même compte d' GuardDuty administrateur délégué pour votre organisation sur tous les Régions AWS sites que vous avez activés GuardDuty. Si vous désignez un compte en tant que compte d' GuardDuty administrateur délégué dans une région, il est recommandé d'utiliser le même compte que le compte d' GuardDuty administrateur délégué dans toutes les autres régions.

Vous pouvez désigner un nouveau compte GuardDuty d'administrateur délégué à tout moment. Pour plus d'informations sur la suppression du compte GuardDuty administrateur délégué existant, consultezModification du compte GuardDuty d'administrateur délégué.

Il n'est pas recommandé de définir le compte de gestion de votre organisation comme compte GuardDuty d'administrateur délégué.

Le compte de gestion de votre organisation peut être le compte GuardDuty d'administrateur délégué. Cependant, les bonnes pratiques de sécurité AWS suivent le principe du moindre privilège et ne recommandent pas cette configuration.

La modification d'un compte d' GuardDuty administrateur délégué n'est pas désactivée GuardDuty pour les comptes des membres.

Si vous supprimez un compte d' GuardDuty administrateur délégué, GuardDuty tous les comptes de membre associés à ce compte d' GuardDuty administrateur délégué sont supprimés. GuardDuty reste activé pour tous ces comptes de membres.