Noções básicas sobre o relacionamento as contas de administrador e de membro do GuardDuty
Quando você usa o GuardDuty em um ambiente de várias contas, a conta de administrador pode gerenciar determinados aspectos do GuardDuty em nome das contas-membro. Uma conta de administrador pode executar as seguintes funções primárias:
-
Adicionar e remover contas de membros associadas — O processo pelo qual uma conta de administrador pode fazer isso difere com base em como você gerencia as contas — por meio de AWS Organizations ou pelo método de convite do GuardDuty.
O GuardDuty recomenda gerenciar suas contas de membros por meio de AWS Organizations.
-
Conta de administrador delegada do GuardDuty habilitando o GuardDuty na conta de gerenciamento — Se a conta de gerenciamento do AWS Organizations alguma vez desativar o GuardDuty, a conta de administrador delegado do GuardDuty poderá habilitar o GuardDuty na conta de gerenciamento. No entanto, é necessário que a conta de gerenciamento não tenha excluído explicitamente o Permissões de função vinculada ao serviço do GuardDuty.
-
Configurar o status das contas-membro — Uma conta de administrador pode habilitar ou desabilitar o status dos planos de proteção do GuardDuty e habilitar, suspender ou desabilitar o status do GuardDuty em nome das contas-membro associadas.
Contas de administrador delegado gerenciadas com o AWS Organizations habilitam automaticamente o GuardDuty quando o Contas da AWS adicionou membros.
-
Personalizar ao gerar as descobertas — Uma conta de administrador pode personalizar as descobertas dentro da rede do GuardDuty criando e gerenciando regras de supressão, listas de IPs confiáveis e listas de ameaças. Em um ambiente de várias contas, o suporte para configurar esses atributos está disponível somente para uma conta de administrador delegado do GuardDuty. Uma conta-membro não pode modificar essa configuração.
A tabela a seguir detalha o relacionamento entre conta de administrador e contas-membro do GuardDuty.
Pontos chave da tabela
-
Próprio: a conta só pode realizar a ação em sua própria conta.
-
Qualquer — Uma conta pode realizar a ação listada para qualquer conta associada.
-
Todas — Uma conta pode realizar a ação listada e ela se aplica a todas as contas associadas. Normalmente, a conta que executa essa ação é uma conta de administrador designado do GuardDuty
-
As células com traços (—) — As células da tabela com traços (—) indicam que a conta não pode realizar a ação listada.
| Ação | Através AWS Organizations | Por convite | ||
|---|---|---|---|---|
| Conta delegada de administrador do GuardDuty | Conta de membro associada | Conta de administrador do GuardDuty | Conta de membro associada | |
| Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization
(ALL, NEW, NONE) |
All | – | – | – |
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
| Generate sample findings | Self | Self | Self | Self |
| View all GuardDuty findings | Any | Self | Any | Self |
| Archive GuardDuty findings | Any | – | Any | – |
| Apply suppression rules | All | – | All | – |
| Create trusted IP list or threat lists | All | – | All | – |
| Update trusted IP list or threat lists | All | – | All | – |
| Delete trusted IP list or threat lists | All | – | All | – |
| Set EventBridge notification frequency | All | – | All | – |
| Set Amazon S3 location for exporting findings | All | Self | Self | Self |
|
Habilite um ou mais planos de proteção opcionais para toda a organização ( Isso não inclui a Proteção contra malware para o S3. |
All | – | – | – |
Habilitar qualquer plano de proteção do GuardDuty para contas individuais Isso não inclui Proteção contra malware para o EC2 e Proteção contra malware para o S3. |
Any | – | Any | – |
|
Proteção contra malware para EC2 |
Any | – | Self | – |
|
A Proteção contra malware para EC2 – Verificação de malware sob demanda |
Any | Self | Self | Self |
|
Proteção contra malware para S3 |
– | Self | – | Self |
| Disassociate a member account | Any+ | – | Any | – |
| Disassociate from an administrator account | – | – | – | Self |
| Delete a disassociated member account | Any | – | Any | – |
| Suspend GuardDuty | Any* | – | Any* | – |
| Disable GuardDuty | Any* | – | Any* | Self |
+Indica que a conta de administrador delegada do GuardDuty pode realizar essa ação somente se ela não tiver a preferência de habilitação automática configurada para ALL os membros da organização.
* Indica que uma conta de administrador delegado do GuardDuty não pode desabilitar o GuardDuty diretamente em uma conta-membro. A conta do administrador delegado do GuardDuty deve primeiro desassociar a conta-membro e depois excluí-la. Em seguida, cada conta-membro pode desabilitar o GuardDuty em suas próprias contas. Para obter mais informações sobre como executar essas tarefas na sua organização, consulte Como gerenciar continuamente suas contas-membro no GuardDuty.
