Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione GuardDuty degli account con AWS Organizations
Quando si utilizza GuardDuty con un' AWS organizzazione, l'account di gestione di tale organizzazione può designare qualsiasi account all'interno dell'organizzazione come account amministratore delegato GuardDuty . Per questo account amministratore, GuardDuty viene abilitato automaticamente solo nell'account designato. Regione AWS Questo account è inoltre autorizzato ad abilitare e gestire tutti GuardDuty gli account dell'organizzazione all'interno di quella regione. L'account amministratore può visualizzare e aggiungere membri a questa AWS organizzazione.
Se hai già impostato un account GuardDuty amministratore con account membro associati su invito e gli account membro fanno parte della stessa organizzazione, il loro tipo cambia da By Invitation a Via Organizations quando imposti un account GuardDuty amministratore delegato per la tua organizzazione. Se un account GuardDuty amministratore delegato ha precedentemente aggiunto membri su invito che non fanno parte della stessa organizzazione, il relativo tipo rimane Per invito. In entrambi i casi, gli account aggiunti in precedenza sono account membro associati all'account GuardDuty amministratore delegato dell'organizzazione.
È possibile continuare ad aggiungere account come membri anche se non sono all'esterno dell'organizzazione. Per ulteriori informazioni, consulta Aggiunta e gestione degli account tramite invito o Designazione di un account GuardDuty amministratore delegato e gestione dei membri tramite la console GuardDuty .
Indice
- Considerazioni e consigli per la designazione di un account amministratore delegato GuardDuty
- Autorizzazioni necessarie per designare un account amministratore delegato GuardDuty
- Designazione di un account GuardDuty amministratore delegato e gestione dei membri tramite la console GuardDuty
- Designazione di un account GuardDuty amministratore GuardDuty delegato e gestione dei membri utilizzando l'API
- Mantenere la propria organizzazione all'interno GuardDuty
- Modifica dell'account amministratore delegato GuardDuty
Considerazioni e consigli per la designazione di un account amministratore delegato GuardDuty
Le considerazioni e i consigli seguenti possono aiutarti a capire come funziona un account GuardDuty amministratore delegato in: GuardDuty
- Un account GuardDuty amministratore delegato può gestire un massimo di 50.000 membri.
-
È previsto un limite di 50.000 account membro per account amministratore delegato GuardDuty . Ciò include gli account membro aggiunti tramite AWS Organizations o quelli che hanno accettato l'invito dell'account GuardDuty amministratore a entrare a far parte della propria organizzazione. Tuttavia, nella tua AWS organizzazione potrebbero esserci più di 50.000 account.
Se superi il limite di 50.000 account membri, riceverai una notifica e un'e-mail all'account amministratore delegato designato GuardDuty . CloudWatch AWS Health Dashboard
- Un account GuardDuty amministratore delegato è regionale.
-
Al contrario AWS Organizations, GuardDuty è un servizio regionale. Gli account di GuardDuty amministratore delegato e i relativi account membro devono essere aggiunti AWS Organizations in ogni regione desiderata in cui è stata GuardDuty abilitata. Se l'account di gestione dell'organizzazione designa un account GuardDuty amministratore delegato solo negli Stati Uniti orientali (Virginia settentrionale), l'account GuardDuty amministratore delegato gestirà solo gli account dei membri aggiunti all'organizzazione in quella regione. Per ulteriori informazioni sulla parità di funzionalità nelle regioni in cui GuardDuty è disponibile, consulta. Regioni ed endpoint
- Casi speciali per le regioni che hanno aderito all'iniziativa
-
Quando un account GuardDuty amministratore delegato disattiva un'area di attivazione, anche se l'organizzazione ha la configurazione di GuardDuty attivazione automatica impostata su Solo nuovi account membro (
NEW) o su tutti gli account membro (ALL), GuardDuty non può essere abilitata per nessun account membro dell'organizzazione attualmente disabilitato. GuardDuty Per informazioni sulla configurazione degli account membro, apri Account nel riquadro di navigazione della GuardDuty consoleo utilizza l'API. ListMembers -
Quando lavori con la configurazione di GuardDuty attivazione automatica impostata su
NEW, assicurati che sia soddisfatta la seguente sequenza:-
Gli account dei membri aderiscono a una regione opt-in.
-
Aggiungi gli account dei membri alla tua organizzazione in. AWS Organizations
Se modifichi l'ordine di questi passaggi, l'impostazione di GuardDuty attivazione automatica con non
NEWfunzionerà nella regione di attivazione specifica perché l'account membro non è più nuovo per l'organizzazione. GuardDuty offre due soluzioni alternative:-
Imposta la configurazione di GuardDuty attivazione automatica su
ALL, che include account membri nuovi ed esistenti. In questo caso, l'ordine di questi passaggi non è rilevante. -
Se un account membro fa già parte della tua organizzazione, gestisci la GuardDuty configurazione di questo account individualmente nella regione di attivazione specifica utilizzando la GuardDuty console o l'API.
-
- Si consiglia a un' AWS organizzazione di avere lo stesso account GuardDuty amministratore delegato in tutti i. Regioni AWS
-
Ti consigliamo di designare lo stesso account GuardDuty amministratore delegato per la tua organizzazione in tutti i paesi in Regioni AWS cui hai abilitato. GuardDuty Se si designa un account come account GuardDuty amministratore delegato in una regione, si consiglia di utilizzare lo stesso account dell'account GuardDuty amministratore delegato in tutte le altre regioni.
È possibile designare un nuovo account GuardDuty amministratore delegato in qualsiasi momento. Per ulteriori informazioni sulla rimozione dell'account GuardDuty amministratore delegato esistente, consulta. Modifica dell'account amministratore delegato GuardDuty
- Non è consigliabile impostare l'account di gestione dell'organizzazione come account GuardDuty amministratore delegato.
-
L'account di gestione dell'organizzazione può essere l'account GuardDuty amministratore delegato. Tuttavia, le best practice di sicurezza AWS seguono il principio del privilegio minimo e sconsigliano questa configurazione.
- La modifica di un account GuardDuty amministratore delegato non disabilita gli account GuardDuty dei membri.
-
Se rimuovi un account GuardDuty amministratore delegato, GuardDuty rimuove tutti gli account membro associati a tale account amministratore delegato GuardDuty . GuardDuty rimane comunque abilitato per tutti questi account membro.
