本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用以下 GuardDuty 方式管理账户Amazon Organizations
在Amazon Organizations组织中 GuardDuty 使用时,您可以将组织内的任何帐户指定为 GuardDuty 委派管理员。只有组织管理账户才能指定 GuardDuty 委托管理员。
被指定为委托管理员的账户将成为 GuardDuty 管理员账户,在指定区域 GuardDuty自动启用,并被授予启用和管理 GuardDuty 该区域内组织内所有账户的权限。可以将组织中的其他账户作为与委托管理员账户关联的 GuardDuty 成员账户进行查看和添加。
如果您已经通过邀请设置了具有关联成员账户的 GuardDuty 管理员,并且这些成员账户属于同一个 Organizations,则当您为组织设置 GuardDuty 委派管理员时,成员账户的类型将从 “通过邀请” 更改为 “通过组织”。如果新的委托管理员之前通过邀请添加了不属于同一组织的成员,则他们的类型为 “通过邀请”。在这两种情况下,这些先前添加的帐户都是组织 GuardDuty 委托管理员的成员账户。
您可以继续将账户添加为成员,即使账户位于组织之外也是如此。要了解更多信息,请参阅通过邀请指定管理员和成员账户(控制台)和通过邀请 (API) 指定 GuardDuty 管理员和成员账户。
GuardDuty委派管理员的重要注意事项
请注意定义委托管理员运作方式的以下因素 GuardDuty:
- 委托管理员最多可以管理 5000 个成员。
-
每个 GuardDuty 委托管理员最多有 5000 个成员账户。不过,您组织中的账户数量可能超过 5000 个。您的组织中所有账户的数量显示在 GuardDuty 控制台的账户页面上。
如果您的成员账户超过 5000 个,您将通过 CloudWatchAmazon Health Dashboard、和的电子邮件收到通知,发送给委托管理员账户。
- 委托管理员是区域性的。
-
与之不同 GuardDuty 的是Amazon Organizations,是区域服务。这意味着必须在每个所需区域中添加 GuardDuty委托管理员及其成员账户,才能Amazon Organizations在每个区域激活账户管理。换句话说,如果组织管理账户仅为 GuardDuty 美国东部(弗吉尼亚北部)指定委托管理员,则该委托管理员将仅管理在该地区添加的成员账户。有关中区域的更多信息, GuardDuty 请参阅区域和终端节点。
- 一个组织只能指定一名 GuardDuty委托管理员。
-
您只能为您的组织指定一个 GuardDuty 委托管理员。如果您已将一个账户指定为一个区域的委托管理员,则该账户必须是所有其他区域的委托管理员。您可以随时指定新的委托管理员。有关更多信息,请参阅取消 GuardDuty 托管理员。
- 不建议将组织的管理账户设置为委托管理员。
-
您组织的管理帐户可以是委托管理员,但根据遵循最小权限原则Amazon的安全最佳实践,不建议这样做。
- 更改委派管理员不会 GuardDuty 对成员账户禁用。
-
如果您移除委派管理员,则所有关联的成员账户都将作为 GuardDuty 成员删除 GuardDuty ,但不会在这些账户中禁用。
指定委派管理员所需的权限
GuardDuty 委派委托管理员时,您必须具有启用权限 GuardDuty 以及以下政策声明中列出的某些Amazon Organizations API 操作。
您可以在 IAM 策略的末尾添加以下语句添加以下语句添加以下语句添加到 IAM 策略来授予这些权限:
{ "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
此外,如果您希望将您的Amazon Organizations管理账户指定为 GuardDuty委托管理员,则该实体将需要CreateServiceLinkedRole
权限才能初始化 GuardDuty。可以使用以下语句将其添加到 IAM 策略中,将账户 ID 替换为组织管理账户的 ID:
{ "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::
111122223333
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }
如果您在手动启用的区域 GuardDuty 中使用,请将 “服务” 的值替换为该区域的区域终端节点。例如,如果您 GuardDuty 在中东(巴林)区域 (me-south-1) 中使用其他命名将"Service":
"guardduty.amazonaws.com"
替换为"Service":
"guardduty.me-south-1.amazonaws.com"
。
指定 GuardDuty 委派管理员
选择您的访问方法,为您的Amazon组织指定委托管理员并添加成员账户。
将 GuardDuty 管理员帐户整合到单个组织委托管理员之下
GuardDuty 建议使用关联Amazon Organizations来管理委托管理员账户下的成员账户。您可以使用下面概述的示例流程,将组织中的管理员和通过邀请关联的成员合并到一个 GuardDuty委托管理员之下。
已由 GuardDuty 委托管理员管理的账户或具有活跃成员的委托管理员账户无法添加到其他 GuardDuty 委托管理员账户。每个组织在每个区域只能有一个 GuardDuty 委托管理员账户,每个成员账户只能有一个委托管理员。
-
确保您要管理的所有 GuardDuty 账户都是您组织的一部分。有关向您的组织添加账户的信息,请参阅邀请和Amazon Web Services 账户加入您的组织。
-
取消所有成员账户与先前存在的管理员账户的关联,但您希望指定为组织 GuardDuty 委托管理员的账户下的成员账户除外。
-
从 “设置” 页面为组织指定 GuardDuty 委派管理员。
-
登录到指定的委派管理员账户。
-
继续添加组织中的成员。
重要 请记住, GuardDuty 这是一项区域服务。建议您指定您的委托管理员帐户并在每个区域添加所有成员,以最大限度地提高其有效性 GuardDuty。
取消 GuardDuty 托管理员
仅在Organizations 管理账户才能取消塔塔管理账户取消注册员。
选择控制台或 API,然后按照提供的步骤注销您的委托管理员。取消注册完成后,您可以指定新的委托管理员。