As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros
Quando você usa GuardDuty em um ambiente de várias contas, a conta do administrador pode gerenciar certos aspectos GuardDuty em nome das contas dos membros. As funções principais que a conta de administrador pode executar são as seguintes:
-
Adicionar e remover contas-membro associadas. O processo pelo qual isso é feito difere com base no fato de as contas estarem associadas por meio de organizações ou por convite.
-
Gerencie o status das GuardDuty contas dos membros associados, incluindo a ativação e a suspensão GuardDuty.
nota
Contas de administrador delegado gerenciadas com habilitação AWS Organizations automática GuardDuty em contas que são adicionadas como membros.
-
Personalize as descobertas na GuardDuty rede por meio da criação e gerenciamento de regras de supressão, listas de IP confiáveis e listas de ameaças. Em um ambiente de várias contas, a configuração desses recursos está disponível somente para uma conta de administrador delegado GuardDuty . Uma conta de membro não pode atualizar essa configuração.
A tabela a seguir detalha a relação entre a conta GuardDuty do administrador e as contas dos membros.
Nesta tabela:
Self — Uma conta pode realizar a ação listada somente para sua própria conta.
Qualquer — Uma conta pode realizar a ação listada para qualquer conta associada.
Tudo — Uma conta pode realizar a ação listada e ela se aplica a todas as contas associadas. Normalmente, a conta que executa essa ação é uma conta de GuardDuty administrador designada
As células da tabela com traço (—) indicam que a conta não pode realizar a ação listada.
| Ação | Através AWS Organizations | Por convite | ||
|---|---|---|---|---|
| Conta de GuardDuty administrador delegada | Conta de membro associada | Conta de GuardDuty administrador delegada | Conta de membro associada | |
| Habilitar GuardDuty | Any | – | Self | Self |
Ativar GuardDuty automaticamente para toda a organização (ALL,NEW,NONE) |
Todos | – | – | – |
| Visualize todas as contas dos membros da Organizations, independentemente do GuardDuty status | Any | – | – | – |
| Gerar descobertas de exemplo | Self | Self | Self | Self |
| Veja todas as GuardDuty descobertas | Any | Self | Any | Self |
| Arquive GuardDuty as descobertas | Any | – | Any | – |
| Aplicar regras de supressão | Todos | – | Todos | – |
| Crie uma lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
| Atualize a lista de IPs confiáveis ou as listas de ameaças | Todos | – | Todos | – |
| Excluir lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – |
| Definir frequência EventBridge de notificação | Todos | – | Todos | Self |
| Definir o local do Amazon S3 para exportar descobertas | Todos | – | Todos | Self |
|
Habilite um ou mais planos de proteção opcionais para toda a organização ( Isso não inclui a proteção contra malware para S3. |
Todos | – | – | – |
Habilite qualquer plano de GuardDuty proteção para contas individuais Isso não inclui a proteção contra malware para S3. |
Any | – | Any | Self |
|
Proteção contra malware para S3 |
– | Self | – | Self |
| Desassociar uma conta de membro | Any | – | Any | – |
| Desassociar de uma conta de administrador | – | Eu mesmo # | – | Self |
| Excluir uma conta de membro desassociada | Any | – | Any | – |
| Suspender GuardDuty | Qualquer * | – | Qualquer * | – |
| Desativar GuardDuty | Qualquer * | – | Qualquer * | – |
# Indica que a conta pode realizar essa ação somente se a conta do GuardDuty administrador delegado não tiver configurado a preferência de ativação automática para ALL os membros da organização.
* Indica que essa ação deve ser tomada para todas as contas associadas antes de ser tomada para essa conta. Depois de desassociar essas contas, você deve excluí-las. Para obter mais informações sobre como executar essas tarefas em sua organização, consulteMantendo sua organização dentro GuardDuty.
