Comprender la relación entre la cuenta de administrador de GuardDuty y las cuentas de miembro
Cuando se utiliza GuardDuty en un entorno multicuenta, la cuenta de administrador puede administrar algunos aspectos de GuardDuty en nombre de las cuentas de miembro. Una cuenta de administrador puede realizar las siguientes funciones principales:
-
Agregue y elimine cuentas de miembro asociadas: el proceso por el cual una cuenta de administrador puede hacer esto varía según cómo administre las cuentas: a través de AWS Organizations o por el método de invitación de GuardDuty.
GuardDuty recomienda administrar las cuentas de miembro a través de AWS Organizations.
-
La cuenta de administrador delegado de GuardDuty habilita GuardDuty en la cuenta de administración: si la cuenta de administración de AWS Organizations desactiva GuardDuty en algún momento, la cuenta de administrador delegado de GuardDuty podrá habilitar GuardDuty en la cuenta de administración. Sin embargo, es necesario que la cuenta de administración no haya eliminado explícitamente el Permisos de roles vinculados a servicios de GuardDuty.
-
Configure el estado de las cuentas de miembro: una cuenta de administrador puede habilitar o desactivar el estado de los planes de protección de GuardDuty, y habilitar, suspender o desactivar el estado de GuardDuty en nombre de las cuentas de miembro asociadas.
La cuenta de administrador delegado de GuardDuty administrada con AWS Organizations puede habilitar automáticamente GuardDuty cuando las Cuentas de AWS se agregan como miembros.
-
Personalice cuándo generar resultados: una cuenta de administrador puede personalizar los resultados dentro de la red de GuardDuty mediante la creación y administración de reglas de supresión, listas de IP de confianza y listas de amenazas. En un entorno de varias cuentas, la compatibilidad para configurar estas características está disponible únicamente para una cuenta de administrador delegado de GuardDuty. Una cuenta de miembro no puede actualizar esta configuración.
En la siguiente tabla se describe la relación entre la cuenta de administrador de GuardDuty y las cuentas de miembro.
Clave para la tabla
-
Auto: una cuenta solo puede realizar la acción enumerada para su propia cuenta.
-
Cualquiera: una cuenta puede realizar la acción enumerada para cualquier cuenta asociada.
-
Todas: una cuenta puede realizar la acción enumerada y se aplica a todas las cuentas asociadas. Generalmente, la cuenta que realiza esta acción es una cuenta designada como administrador de GuardDuty
-
Celdas con guión (-): las celdas de la tabla con guión (-) indican que la cuenta no puede realizar la acción indicada.
| Acción | A través de AWS Organizations | Por invitación | ||
|---|---|---|---|---|
| Cuenta de administrador delegado de GuardDuty | Cuenta de miembro asociada | Cuenta de administrador de GuardDuty | Cuenta de miembro asociada | |
| Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization
(ALL, NUEVO, NONE) |
All | – | – | – |
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
| Generate sample findings | Self | Self | Self | Self |
| View all GuardDuty findings | Any | Self | Any | Self |
| Archive GuardDuty findings | Any | – | Any | – |
| Apply suppression rules | All | – | All | – |
| Create trusted IP list or threat lists | All | – | All | – |
| Update trusted IP list or threat lists | All | – | All | – |
| Delete trusted IP list or threat lists | All | – | All | – |
| Set EventBridge notification frequency | All | – | All | – |
| Set Amazon S3 location for exporting findings | All | Self | Self | Self |
|
Habilitar uno o varios planes de protección opcionales para toda la organización ( Esto no incluye la protección contra malware para S3. |
All | – | – | – |
Habilitar cualquier plan de protección de GuardDuty para cuentas individuales Esto no incluye Malware Protection for EC2 y la protección contra malware para S3. |
Any | – | Any | – |
|
Malware Protection for EC2 |
Any | – | Self | – |
|
Malware Protection for EC2: análisis de malware bajo demanda |
Any | Self | Self | Self |
|
Protección contra malware para S3 |
– | Self | – | Self |
| Disassociate a member account | Any+ | – | Any | – |
| Disassociate from an administrator account | – | – | – | Self |
| Delete a disassociated member account | Any | – | Any | – |
| Suspend GuardDuty | Any* | – | Any* | – |
| Disable GuardDuty | Any* | – | Any* | Self |
+Indica que la cuenta del administrador de GuardDuty delegado puede realizar esta acción únicamente si no ha configurado la preferencia de habilitación automática a ALL los miembros de la organización.
*Indica que una cuenta de administrador delegado de GuardDuty no puede desactivar GuardDuty en una cuenta de miembro directamente. La cuenta de administrador delegado de GuardDuty debe primero desasociar la cuenta de miembro, y luego eliminarlas. Después de esto, cada cuenta de miembro puede desactivar GuardDuty en sus propias cuentas. Para obtener más información sobre cómo realizar estas tareas en la organización, consulte Administración continua de las cuentas de miembro en GuardDuty.
