As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros
Quando você usa GuardDuty em um ambiente de várias contas, a conta do administrador pode gerenciar certos aspectos GuardDuty em nome das contas dos membros. As funções principais que a conta de administrador pode executar são as seguintes:
-
Adicionar e remover contas-membro associadas. O processo pelo qual isso é feito difere com base no fato de as contas estarem associadas por meio de organizações ou por convite.
-
Gerencie o status das GuardDuty contas dos membros associados, incluindo a ativação e a suspensão GuardDuty.
nota
Contas de administrador delegado gerenciadas com habilitação AWS Organizations automática GuardDuty em contas que são adicionadas como membros.
-
Personalize as descobertas na GuardDuty rede por meio da criação e gerenciamento de regras de supressão, listas de IP confiáveis e listas de ameaças. Em um ambiente de várias contas, a configuração desses recursos está disponível somente para uma conta de administrador delegado GuardDuty . Uma conta de membro não pode atualizar essa configuração.
A tabela a seguir detalha a relação entre a conta GuardDuty do administrador e as contas dos membros.
Nesta tabela:
Self — Uma conta pode realizar a ação listada somente para sua própria conta.
Qualquer — Uma conta pode realizar a ação listada para qualquer conta associada.
Tudo — Uma conta pode realizar a ação listada e ela se aplica a todas as contas associadas. Normalmente, a conta que executa essa ação é uma conta de GuardDuty administrador designada
As células da tabela com traço (—) indicam que a conta não pode realizar a ação listada.
Ação | Através AWS Organizations | Por convite | ||
---|---|---|---|---|
Conta de GuardDuty administrador delegada | Conta de membro associada | Conta de GuardDuty administrador delegada | Conta de membro associada | |
Habilitar GuardDuty | Any | – | Self | Self |
Ativar GuardDuty automaticamente para toda a organização (ALL ,NEW ,NONE ) |
Todos | – | – | – |
Visualize todas as contas dos membros da Organizations, independentemente do GuardDuty status | Any | – | – | – |
Gerar descobertas de exemplo | Self | Self | Self | Self |
Veja todas as GuardDuty descobertas | Any | Self | Any | Self |
Arquive GuardDuty as descobertas | Any | – | Any | – |
Aplicar regras de supressão | Todos | – | Todos | – |
Crie uma lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
Atualize a lista de IPs confiáveis ou as listas de ameaças | Todos | – | Todos | – |
Excluir lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
Definir frequência EventBridge de notificação | Todos | – | Todos | Self |
Definir o local do Amazon S3 para exportar descobertas | Todos | – | Todos | Self |
Habilite um ou mais planos de proteção opcionais para toda a organização ( Isso não inclui a proteção contra malware para S3. |
Todos | – | – | – |
Habilite qualquer plano de GuardDuty proteção para contas individuais Isso não inclui a proteção contra malware para S3. |
Any | – | Any | Self |
Proteção contra malware para S3 |
– | Self | – | Self |
Desassociar uma conta de membro | Any | – | Any | – |
Desassociar de uma conta de administrador | – | Eu mesmo # | – | Self |
Excluir uma conta de membro desassociada | Any | – | Any | – |
Suspender GuardDuty | Qualquer * | – | Qualquer * | – |
Desativar GuardDuty | Qualquer * | – | Qualquer * | – |
# Indica que a conta pode realizar essa ação somente se a conta do GuardDuty administrador delegado não tiver configurado a preferência de ativação automática para ALL
os membros da organização.
* Indica que essa ação deve ser tomada para todas as contas associadas antes de ser tomada para essa conta. Depois de desassociar essas contas, você deve excluí-las. Para obter mais informações sobre como executar essas tarefas em sua organização, consulteMantendo sua organização dentro GuardDuty.