Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola GuardDuty akun dengan AWS Organizations
Bila Anda menggunakan GuardDuty dengan AWS organisasi, akun manajemen organisasi tersebut dapat menunjuk akun apa pun dalam organisasi sebagai akun GuardDuty administrator yang didelegasikan. Untuk akun administrator ini, GuardDuty diaktifkan secara otomatis hanya di yang ditunjuk Wilayah AWS. Akun ini juga memiliki izin untuk mengaktifkan dan mengelola GuardDuty semua akun di organisasi dalam Wilayah tersebut. Akun administrator dapat melihat anggota dan menambahkan anggota ke AWS organisasi ini.
Jika Anda telah menyiapkan akun GuardDuty administrator dengan akun anggota terkait berdasarkan undangan dan akun anggota merupakan bagian dari organisasi yang sama, Jenisnya berubah dari Berdasarkan Undangan menjadi Melalui Organisasi saat Anda menetapkan akun GuardDuty administrator yang didelegasikan untuk organisasi Anda. Jika akun GuardDuty administrator yang didelegasikan sebelumnya menambahkan anggota melalui undangan yang bukan bagian dari organisasi yang sama, Tipe mereka tetap Berdasarkan Undangan. Dalam kedua kasus tersebut, akun yang ditambahkan sebelumnya adalah akun anggota yang terkait dengan akun GuardDuty administrator yang didelegasikan organisasi.
Anda dapat terus menambahkan akun sebagai anggota meski berada di luar organisasi Anda. Untuk informasi selengkapnya, lihat Menambahkan dan mengelola akun berdasarkan undangan atau Menunjuk akun GuardDuty administrator yang didelegasikan dan mengelola anggota dengan menggunakan konsol GuardDuty .
Daftar Isi
- Pertimbangan dan rekomendasi saat menunjuk akun administrator yang didelegasikan GuardDuty
- Izin yang diperlukan untuk menunjuk akun administrator yang didelegasikan GuardDuty
- Menunjuk akun GuardDuty administrator yang didelegasikan dan mengelola anggota dengan menggunakan konsol GuardDuty
- Menunjuk akun GuardDuty administrator yang GuardDuty didelegasikan dan mengelola anggota dengan menggunakan API
- Mempertahankan organisasi Anda di dalam GuardDuty
- Mengubah akun GuardDuty administrator yang didelegasikan
Pertimbangan dan rekomendasi saat menunjuk akun administrator yang didelegasikan GuardDuty
Pertimbangan dan rekomendasi berikut dapat membantu Anda memahami cara operasi akun GuardDuty administrator yang didelegasikan: GuardDuty
- Akun GuardDuty administrator yang didelegasikan dapat mengelola maksimal 50.000 anggota.
-
Ada batas 50.000 akun anggota per akun GuardDuty administrator yang didelegasikan. Ini termasuk akun anggota yang ditambahkan melalui AWS Organizations atau mereka yang menerima undangan akun GuardDuty administrator untuk bergabung dengan organisasi mereka. Namun, mungkin ada lebih dari 50.000 akun di AWS organisasi Anda.
Jika Anda melebihi batas 50.000 akun anggota, Anda akan menerima pemberitahuan dari CloudWatch, AWS Health Dashboard, dan email ke akun GuardDuty administrator yang didelegasikan yang ditunjuk.
- Akun GuardDuty administrator yang didelegasikan adalah Regional.
-
Tidak seperti AWS Organizations, GuardDuty adalah layanan Regional. Akun GuardDuty administrator yang didelegasikan dan akun anggotanya harus ditambahkan AWS Organizations di setiap Wilayah yang diinginkan tempat Anda telah GuardDuty mengaktifkan. Jika akun manajemen organisasi menunjuk akun GuardDuty administrator yang didelegasikan hanya di AS Timur (Virginia N.), maka akun GuardDuty administrator yang didelegasikan hanya akan mengelola akun anggota yang ditambahkan ke organisasi di Wilayah tersebut. Untuk informasi selengkapnya tentang paritas fitur di Wilayah GuardDuty yang tersedia, lihatWilayah dan titik akhir.
- Kasus khusus untuk Wilayah keikutsertaan
-
Ketika akun GuardDuty administrator yang didelegasikan memilih keluar dari Wilayah keikutsertaan, meskipun organisasi Anda memiliki konfigurasi GuardDuty aktifkan otomatis yang disetel ke akun anggota baru saja (
NEW) atau semua akun anggota (ALL), GuardDuty tidak dapat diaktifkan untuk akun anggota mana pun di organisasi yang saat ini telah dinonaktifkan. GuardDuty Untuk informasi tentang konfigurasi akun anggota Anda, buka Akun di panel navigasi GuardDuty konsolatau gunakan ListMembersAPI. -
Saat bekerja dengan konfigurasi GuardDuty aktifkan otomatis yang disetel ke
NEW, pastikan urutan berikut terpenuhi:-
Akun anggota ikut serta ke Wilayah keikutsertaan.
-
Tambahkan akun anggota ke organisasi Anda di AWS Organizations.
Jika Anda mengubah urutan langkah-langkah ini, pengaturan GuardDuty aktifkan otomatis dengan tidak
NEWakan berfungsi di Wilayah keikutsertaan tertentu karena akun anggota tidak lagi baru bagi organisasi. GuardDuty menyediakan dua solusi alternatif:-
Setel konfigurasi GuardDuty aktifkan otomatis ke
ALL, yang mencakup akun anggota baru dan yang sudah ada. Dalam hal ini, urutan langkah-langkah ini tidak relevan. -
Jika akun anggota sudah menjadi bagian dari organisasi Anda, kelola GuardDuty konfigurasi untuk akun ini secara individual di Wilayah keikutsertaan tertentu dengan menggunakan GuardDuty konsol atau API.
-
- Disarankan bagi AWS organisasi untuk memiliki akun GuardDuty administrator yang didelegasikan yang sama di semua. Wilayah AWS
-
Kami menyarankan Anda menunjuk akun GuardDuty administrator yang didelegasikan yang sama ke organisasi Anda di semua Wilayah AWS tempat yang telah Anda aktifkan. GuardDuty Jika Anda menetapkan akun sebagai akun GuardDuty administrator yang didelegasikan di satu Wilayah, disarankan agar Anda menggunakan akun yang sama dengan akun GuardDuty administrator yang didelegasikan di semua Wilayah lainnya.
Anda dapat menunjuk akun GuardDuty administrator yang didelegasikan baru kapan saja. Untuk informasi selengkapnya tentang menghapus akun GuardDuty administrator terdelegasi yang ada, lihatMengubah akun GuardDuty administrator yang didelegasikan.
- Tidak disarankan untuk menetapkan akun manajemen organisasi Anda sebagai akun GuardDuty administrator yang didelegasikan.
-
Akun manajemen organisasi Anda dapat berupa akun GuardDuty administrator yang didelegasikan. Namun, praktik terbaik AWS keamanan mengikuti prinsip hak istimewa paling sedikit dan tidak merekomendasikan konfigurasi ini.
- Mengubah akun GuardDuty administrator yang didelegasikan tidak menonaktifkan GuardDuty akun anggota.
-
Jika Anda menghapus akun GuardDuty administrator yang didelegasikan, GuardDuty hapus semua akun anggota yang terkait dengan akun GuardDuty administrator yang didelegasikan ini. GuardDuty masih tetap diaktifkan untuk semua akun anggota ini.
