Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用管理 GuardDuty 账户 Amazon Organizations
在Amazon Organizations组织中 GuardDuty 使用时,可以将组织内的任何账户指定为 GuardDuty 委派管理员。只有组织管理账号才能指定委派管理员。
被指定为委托管理员的账户将成为 GuardDuty 管理员账户,在指定的账户中自动 GuardDuty启用Amazon Web Services 区域,并且还具有启用和管理 GuardDuty 该区域内组织中所有账户的权限。可以查看组织中的其他账户并将其添加为与该委派管理员账户关联的 GuardDuty 成员账户。
如果您已经通过邀请设置了具有关联成员帐户的 GuardDuty 管理员帐户,并且成员帐户属于同一组织,则当您为组织设置 GuardDuty 委托管理员时,其类型将从 “通过邀请” 更改为 “Via Organizations”。如果授权管理员之前通过邀请添加了不属于同一组织的成员,则其类型仍为 “通过邀请”。在这两种情况下,先前添加的账户都是与组织的 GuardDuty 委托管理员关联的成员账户。
您可以继续将账户添加为成员,即使账户位于组织之外也是如此。有关更多信息,请参阅 通过邀请添加和管理账户 或 指定 GuardDuty 委派管理员和管理成员。
选择 GuardDuty委派管理员时的注意事项
以下因素定义了委派管理员的操作方式 GuardDuty:
- 一个委托管理员最多可以管理 10,000 个成员。
-
每个 GuardDuty 委托管理员最多只能有 10,000 个成员账户。这包括通过添加的成员帐户Amazon Organizations或接受 GuardDuty 管理员邀请加入其组织的成员帐户。但是,您的组织中可能有 10,000 多个帐户。 GuardDuty 控制台账号页面的编号。
如果您超过了 10,000 个成员账户的限制,您将通过和收到通知 CloudWatchAmazon Health Dashboard,并且还会向委派的管理员账户发送一封电子邮件。
- 委派的管理员是区域性的。
-
与之不同 GuardDuty 的是Amazon Organizations,是区域服务。必须将 GuardDuty 授权管理员及其成员账户添加到您已 GuardDuty 启用的每个所需区域。Amazon Organizations如果组织管理账户仅在美国东部(弗吉尼亚北部)指定 GuardDuty 委托管理员,则委派管理员将仅管理添加到该地区组织的成员账户。有关区域的更多信息, GuardDuty 请参阅区域和终端节点。
当委托管理员选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。
- 建议Amazon组织在所有方面都拥有相同的 GuardDuty 委托管理员Amazon Web Services 区域。
-
我们建议您在所有已启用Amazon Web Services 区域的地方为组织指定相同的 GuardDuty 委托管理员 GuardDuty。如果您将一个账户指定为一个区域的委托管理员,则建议您在所有其他区域使用与委托管理员相同的账户。
您可以随时指定新的委派管理员。有关移除现有委派管理员的更多信息,请参阅移除 GuardDuty 委派的管理员。
- 不建议将贵组织的管理账号设置为委派管理员。
-
您组织的管理账号可以是委派的管理员。但是,Amazon安全最佳实践遵循最低权限原则,不建议使用此配置。
- 更改委托管理员不会 GuardDuty 对成员账户禁用。
-
如果您移除委托管理员,则 GuardDuty 会移除与该委托管理员关联的所有成员账户。 GuardDuty 所有这些成员帐户仍保持启用状态。
指定委派管理员所需的权限
委 GuardDuty 派委派管理员时,您必须拥有启用的权限 GuardDuty 以及某些 Amazon Organizations API 操作。您可以在 IAM 策略的末尾添加以下语句来授予这些权限:
{
"Sid": "PermissionsForGuardDutyAdmin",
"Effect": "Allow",
"Action": [
"guardduty:EnableOrganizationAdminAccount",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
此外,如果您希望将您的Amazon Organizations管理账户指定为 GuardDuty委托管理员,则该实体需要CreateServiceLinkedRole权限才能进行初始化 GuardDuty。为此,请将以下声明添加到 IAM 策略中,并将 111122223333 替换为您组织的管理账户的 Amazon Web Services 账户 ID:
{
"Sid": "PermissionsToEnableGuardDuty"
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
}
如果您在手动启用的区域 GuardDuty 中使用,请将 “服务” 的值替换为该地区的区域终端节点。例如,如果您 GuardDuty 在中东(巴林)(me-south-1) 地区使用,请"Service": "guardduty.amazonaws.com"替换为"Service":
"guardduty.me-south-1.amazonaws.com"。
指定 GuardDuty 委派管理员和管理成员
选择以下访问方法之一,为您的Amazon组织指定委派管理员并管理成员账户。
- Console
-
步骤 1-为您的组织指定 GuardDuty 委派管理员打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
要登录,请使用贵Amazon Organizations组织的管理账户凭证。
-
如果您已经启用 GuardDuty 了管理账户,请跳过此步骤并执行下一步操作。
如果您 GuardDuty 尚未启用,请选择 “开始”,然后在 “欢迎使用” GuardDuty 页面上指定 GuardDuty 委派管理员。
管理账户必须具有 GuardDuty 服务关联角色 (SLR),这样委派的管理员才能在该账户 GuardDuty 中启用和管理。在区域 GuardDuty 中为管理账户启用后,系统会自动创建此 SLR。
-
启用 GuardDuty 管理账户后,请执行此步骤。在 GuardDuty 控制台的导航窗格中,选择设置。在 “设置” 页面上,输入要指定为组织 GuardDuty 委派管理员的账户的 12 位 Amazon Web Services 账户 ID。
-
选择 Delegate (委派)。
GuardDuty 如果您的委托管理员账户未启用,它将无法执行任何操作。如果尚未启用,请确保 GuardDuty 为新指定的委派管理员帐户启用。
-
(推荐)重复前面的步骤,在每个已 GuardDuty 启用Amazon Web Services 区域的地方指定委派管理员。
指定委托管理员后,您只能使用组织管理账号更改或移除委托管理员账号。
下一步是在您已 GuardDuty 启用的每个区域向您的组织添加成员。
当您将账户添加为成员 GuardDuty 时,仅在当前地区自动为该成员账户启用。此行为不同于邀请方法,后者 GuardDuty 必须在将账户添加为成员之前启用。有关邀请方法的信息,请参阅通过邀请管理账户。
步骤 2-为组织配置自动启用首选项打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
要登录,请使用 GuardDuty 管理员凭据。
-
在导航窗格中,选择 Accounts (账户)。
-
“帐户” 页面为 GuardDuty 管理员提供了自动启用的配置选项, GuardDuty 以及代表属于该组织的成员帐户的可选保护计划。您可以在 “通过邀请添加帐户” 旁边找到此选项。
此支持可在您的中配置 GuardDuty 和所有支持的可选保护计划Amazon Web Services 区域。您可以代表您的成员账户选择以下配置选项之一: GuardDuty
-
为所有帐户启用-选择此选项可自动为组织中的所有成员帐户启用相应的选项。这包括加入组织的新帐户以及可能已被暂停或从组织中删除的帐户。
更新所有成员账户或新成员账户的配置最多可能需要 24 小时。
-
为新帐户自动启用-选择此选项可在新成员帐户加入您的组织时自动 GuardDuty为其启用。
-
请勿启用-选择该选项可防止为组织中的任何帐户启用相应的选项。在这种情况下, GuardDuty 管理员将单独管理每个帐户。
当委托管理员选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。
-
选择保存更改。
如果您想在每个地区使用相同的首选项,请分别更新每个受支持区域的首选项。
某些可选保护计划可能并非在所有可用Amazon Web Services 区域的地方都可 GuardDuty 用。有关更多信息,请参阅区域和终端节点:
第 3 步-将账户添加为组织成员
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
要登录,请使用委派的管理员凭据。
-
在导航窗格中,选择 Accounts (账户)。
账户表显示通过 Organizations (Amazon Organizations) 或通过邀请添加的所有账户。如果成员账户未与组织 GuardDuty 管理员关联,则该成员账户的状态为 “非成员”。
-
选择一个或多个要添加为成员的账户 ID。这些账户 ID 的类型必须为 Via Organization s。
通过邀请添加的账户不属于您的组织。您可以单独管理此类帐户。有关更多信息,请参阅通过邀请管理账户:
-
选择 “操作” 下拉列表,然后选择 “添加成员”。将此账户添加为成员后,将应用自动启用 GuardDuty 配置。根据中的设置Step 1,这些帐户的 GuardDuty 配置可能会发生变化。
-
您可以选择 “状态” 列的向下箭头,按非成员状态对账户进行排序,然后选择当前区域中未 GuardDuty 启用的每个账户。
如果尚未将账户表中列出的账户添加为成员,则可以在当前区域 GuardDuty 中为所有组织账户启用。在页面顶部的横幅中选择 “启用”。此操作会自动开启自动启用 GuardDuty 配置, GuardDuty 以便为任何加入组织的新账户启用该配置。
-
选择 “确认” 将账户添加为成员。此操作还 GuardDuty 适用于所有选定的帐户。账户的状态将更改为 “已启用”。
-
(推荐)在每个步骤中重复这些步骤Amazon Web Services 区域。这样可以确保委派管理员可以管理您已 GuardDuty 启用的所有区域中成员账户的发现结果和其他配置。
自动启用功能 GuardDuty 适用于组织中的所有 future 成员。这样,您的 GuardDuty 授权管理员就可以管理在组织内创建或添加到组织中的任何新成员。当成员账户数量达到 10,000 的限制时,自动启用功能将自动关闭。如果您删除了一个成员帐户,并且成员总数减少到少于 10,000,则自动启用功能将重新开启。
(可选)步骤 4-为个人账户配置保护计划您可以通过 “帐户” 页面为个人账户配置保护计划。
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
使用委派的管理员凭证。
-
在导航窗格中,选择 Accounts (账户)。
-
选择要为其配置保护计划的一个或多个帐户。对要配置的每个保护计划重复以下步骤:
-
选择 “编辑保护计划”。
-
从保护计划列表中,选择一个要配置的保护计划。
-
选择要为此保护计划执行的操作之一,然后选择确认。
-
对于选定的帐户,与已配置的保护计划对应的列将更新后的配置显示为 “已启用” 或 “未启用”。
- API/CLI
-
步骤 1-为您的组织指定委派管理员-
enableOrganizationAdminAccount使用组织管理账户Amazon Web Services 账户的凭据运行。
-
或者,您可以使用Amazon Command Line Interface来执行此操作。以下Amazon CLI命令仅为您当前的区域指定委派管理员。运行以下Amazon CLI命令并确保将 111111111111 替换为您要指定为委托管理员的帐户的 Amazon Web Services 账户 ID: GuardDuty
aws guardduty enable-organization-admin-account --admin-account-id 111111111111
要为其他区域指定委派管理员,请在Amazon CLI命令中指定区域。以下示例演示如何在美国西部(俄勒冈)启用委托管理员。请务必将 us-west-2 替换为要为其分配委派管理员的 GuardDuty 区域。
aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
有关可用Amazon Web Services 区域位置 GuardDuty 的信息,请参阅GuardDuty 终端节点和配额。
GuardDuty 如果您的委托管理员账户未启用,它将无法执行任何操作。如果尚未启用,请确保 GuardDuty 为新指定的委派管理员帐户启用。
-
(推荐)重复前面的步骤,在每个已 GuardDuty 启用Amazon Web Services 区域的地方指定委派管理员。
步骤 2-为组织配置自动启用首选项-
-
-
或者,运行以下Amazon CLI命令将首选项设置为 GuardDuty 在该区域自动启用或禁用加入组织的新帐户 (NEW)、组织中的所有帐户 (ALL) 或不包含任何帐户 (NONE)。有关更多信息,请参阅autoEnableOrganization成员。根据您的偏好,您可能需要NEW替换为ALL或NONE。请务必指定管理组织配置的委派管理员帐户的检测器 ID。
你可以在 https://console.aws.amazon.com/guardduty/ 控制台detectorId的 “设置” 页面上找到自己的当前区域。
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
-
您可以验证您所在组织在当前区域的首选项。使用委派管理员的检测器 ID 运行以下Amazon CLI命令。
aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
-
(推荐)使用委派的管理员检测器 ID 在每个区域重复上述步骤。
当委托管理员选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。
移除 GuardDuty 委派的管理员
只有 Organizations 管理账户可以移除委派的管理员。
选择以下访问方法之一,将委派管理员从当前区域移除。将委派管理员从每个区域移除后,您才能按照中的步骤指定新的委派管理员指定 GuardDuty 委派管理员和管理成员。
- Console
-
如果您是该组织的管理账户,并且指定了不同的账户作为委托管理员,则该账户将从每个区域中删除。
- API/CLI
-
要从中删除委派管理员账户 GuardDuty,请使用组织管理账户凭据按照步骤操作。
