使用以下 GuardDuty 方式管理账户Amazon Organizations - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用以下 GuardDuty 方式管理账户Amazon Organizations

在Amazon Organizations组织中 GuardDuty 使用时,您可以将组织内的任何帐户指定为 GuardDuty 委派管理员。只有组织管理账户才能指定 GuardDuty 委托管理员。

被指定为委托管理员的账户将成为 GuardDuty 管理员账户,在指定区域 GuardDuty自动启用,并被授予启用和管理 GuardDuty 该区域内组织内所有账户的权限。可以将组织中的其他账户作为与委托管理员账户关联的 GuardDuty 成员账户进行查看和添加。

如果您已经通过邀请设置了具有关联成员账户的 GuardDuty 管理员,并且这些成员账户属于同一个 Organizations,则当您为组织设置 GuardDuty 委派管理员时,成员账户的类型将从 “通过邀请” 更改为 “通过组织”。如果新的委托管理员之前通过邀请添加了不属于同一组织的成员,则他们的类型为 “通过邀请”。在这两种情况下,这些先前添加的帐户都是组织 GuardDuty 委托管理员的成员账户。

您可以继续将账户添加为成员,即使账户位于组织之外也是如此。要了解更多信息,请参阅通过邀请指定管理员和成员账户(控制台)通过邀请 (API) 指定 GuardDuty 管理员和成员账户

GuardDuty委派管理员的重要注意事项

请注意定义委托管理员运作方式的以下因素 GuardDuty:

委托管理员最多可以管理 5000 个成员。

每个 GuardDuty 委托管理员最多有 5000 个成员账户。不过,您组织中的账户数量可能超过 5000 个。您的组织中所有账户的数量显示在 GuardDuty 控制台的账户页面上。

如果您的成员账户超过 5000 个,您将通过 CloudWatchAmazon Health Dashboard、和的电子邮件收到通知,发送给委托管理员账户。

委托管理员是区域性的。

与之不同 GuardDuty 的是Amazon Organizations,是区域服务。这意味着必须在每个所需区域中添加 GuardDuty委托管理员及其成员账户,才能Amazon Organizations在每个区域激活账户管理。换句话说,如果组织管理账户仅为 GuardDuty 美国东部(弗吉尼亚北部)指定委托管理员,则该委托管理员将仅管理在该地区添加的成员账户。有关中区域的更多信息, GuardDuty 请参阅区域和终端节点

一个组织只能指定一名 GuardDuty委托管理员。

您只能为您的组织指定一个 GuardDuty 委托管理员。如果您已将一个账户指定为一个区域的委托管理员,则该账户必须是所有其他区域的委托管理员。您可以随时指定新的委托管理员。有关更多信息,请参阅取消 GuardDuty 托管理员

不建议将组织的管理账户设置为委托管理员。

您组织的管理帐户可以是委托管理员,但根据遵循最小权限原则Amazon的安全最佳实践,不建议这样做。

更改委派管理员不会 GuardDuty 对成员账户禁用。

如果您移除委派管理员,则所有关联的成员账户都将作为 GuardDuty 成员删除 GuardDuty ,但不会在这些账户中禁用。

指定委派管理员所需的权限

GuardDuty 委派委托管理员时,您必须具有启用权限 GuardDuty 以及以下政策声明中列出的某些Amazon Organizations API 操作。

您可以在 IAM 策略的末尾添加以下语句添加以下语句添加以下语句添加到 IAM 策略来授予这些权限:

{ "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }

此外,如果您希望将您的Amazon Organizations管理账户指定为 GuardDuty委托管理员,则该实体将需要CreateServiceLinkedRole权限才能初始化 GuardDuty。可以使用以下语句将其添加到 IAM 策略中,将账户 ID 替换为组织管理账户的 ID:

{ "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }
注意

如果您在手动启用的区域 GuardDuty 中使用,请将 “服务” 的值替换为该区域的区域终端节点。例如,如果您 GuardDuty 在中东(巴林)区域 (me-south-1) 中使用其他命名将"Service": "guardduty.amazonaws.com"替换为"Service": "guardduty.me-south-1.amazonaws.com"

指定 GuardDuty 委派管理员

选择您的访问方法,为您的Amazon组织指定委托管理员并添加成员账户。

Console
第 1 步 — 为您的组织注册 GuardDuty 委派管理员
  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

    要登录,请使用企业的管理账户登录。Amazon Organizations

  2. 您的账户中 GuardDuty 已经启用了吗?

    • 如果 GuardDuty 尚未启用,请选择 “开始”,然后在 “欢迎使用 GuardDuty” 页面上指定 GuardDuty 委派管理员。

      注意

      管理账户必须具有 GuardDuty服务关联角色,委托管理员才能在该账户 GuardDuty 中启用和管理。您可以在管理账户的任何区域启用 GuardDuty 自动创建此角色。

    • 如果 GuardDuty 已启用,则可以在 “设置” 页面上指定 GuardDuty委派管理员。

  3. 输入要指定Amazonaccount ID为组织 GuardDuty 委托管理员的账户的 12 位数字。

  4. 选择 Delegate (委派)。如果尚未启用, GuardDuty 则指定委托管理员将在您当前区域 GuardDuty 为该账户启用。

  5. 如果要允许委托管理员将相关权限附加到成员帐户以启用恶意软件防护,请打开 “权限” 设置。

  6. (推荐)在每个Amazon区域重复前面的步骤。

指定委托管理员后,您只需要使用组织管理帐户即可更改或删除委托管理员帐户。

重要

当您将账户添加为成员时, GuardDuty 将在当前区域的该账户中自动启用。此行为与邀请方法不同,在邀请方法中, GuardDuty 必须在将账户添加为成员之前启用。

您必须在每个区域中添加您的组织成员才能 GuardDuty 为这些区域启用。

步骤 2 - 将现有组织账户添加为成员
  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 在导航窗格中,选择 Settings (设置),然后选择 Accounts (账户)

    账户表显示组织中的所有账户。这些账户的 Type (类型)via organizations (通过组织)。与组织 GuardDuty 委托管理员关联的非成员账户的状态为非成员

  3. 选中账户 ID 旁边的复选框,选择要添加为成员的一个或多个账户。

    注意

    通过 GuardDuty 在页面顶部的横幅中选择 “启用”,可以在当前区域为所有组织帐户启用。此操作还会启用 “自动启用” 功能,该功能将在您future 添加到组织 GuardDuty中的任何帐户中启用。

    或者,您可以使用筛选字段按 “关系状态:非会员” 进行筛选,然后选择当前区域中所有未 GuardDuty 启用的账户。

  4. 选择 “操作”,然后选择 “添加成员”。

  5. 确认您要将所选账户添加为成员。账户的状态将更改为 “已启用”

  6. (推荐)在每个Amazon区域重复这些步骤,以确保您的委托管理员可以管理所有区域的成员账户的调查结果。

步骤 3 - 自动将新组织账户添加为成员
  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

    使用托管理员凭证登录。

  2. 在导航窗格的 “设置” 下,选择 “帐户”,然后打开 “自动启用”。

  3. 此外 GuardDuty,如果您想为新账户启用可选检测功能,请选择 “操作”,然后选择 “启用 S3 保护”、“启用 Kubernetes 审核日志监控” 或 “启用恶意软件保护”。有关这些功能的更多信息,请参见在多账户环境中配置 S3 保护在多账户环境中配置 EKS 保护、或在多账户环境中配置 GuardDuty 恶意软件防护

  4. (推荐)在每个Amazon区域重复这些步骤,以确保 GuardDuty 在每个区域的任何新账户上自动启用该功能。

自动启用功能 GuardDuty 适用于您组织的所有future 成员。这允许您的 GuardDuty 委托管理员管理在组织内创建或添加到组织中的任何新成员。当成员账户的数量达到 5000 这一限制时,自动启用功能会自动关闭。如果帐户被移除且成员总数减少到少于 5000,则自动启用功能将重新启用。

API
指定委托管理员并添加成员账户 (API)
  1. 使用Organizations 管理账户Amazon Web Services 账户的凭证运行 enableOrganizationAdminAccountAPI 操作。

    您还可以使用Amazon命令行通过运行以下 CLI 命令来执行此操作。确保指定要指定为 GuardDuty 委托管理员的账户的账户 ID。

    aws guardduty enable-organization-admin-account --admin-account-id 11111111111

    此命令仅为您的当前区域设置委托管理员。如果尚未在当前区域中为该账户启用 GuardDuty ,则会自动启用。

    要为其他区域设置委派管理员,必须指定希望委托管理员管理的区域。有关更多信息,请参阅 GuardDuty 终端节点和配额。以下示例演示如何在美国西部(俄勒冈)中启用管理员。

    aws guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2
  2. 使用Amazon Web Services 账户您在上一步中指定为 GuardDuty 委托管理员的凭证运行 CreateMembersAPI 操作。

    您必须指定委托管理员Amazon账户的区域检测器 ID 和您想要成为 GuardDuty 成员的账户的账户详细信息,包括账户 ID 和电子邮件地址。可以使用此 API 操作创建一个或多个成员。

    重要

    添加为成员的账户将在该区域 GuardDuty 启用,但组织管理账户除外,该账户必须先启用, GuardDuty 然后才能将其添加为成员账户。

    您也可以使用Amazon命令行工具通过运行以下 CLI 命令来执行此操作。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。

    你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI。

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com

    您可以使用 ListAccountsAPI 操作或运行以下 CLI 命令查看所有组织成员的列表。

    aws organizations list-accounts
  3. 使用 GuardDuty 委托管理员账户的凭据运行 updateOrganizationConfigurationAPI 操作,以便 GuardDuty 在该区域为新成员账户自动启用。

    您必须指定委托管理员Amazon账户的检测器 ID。

    您也可以使用Amazon命令行工具通过运行以下 CLI 命令来执行此操作。务必使用您自己的有效探测器 ID。

    你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

    您可以通过运行 describeOrganizationConfigurationAPI 操作或使用所需区域中委托管理员的检测器 ID 运行以下 CLI 命令来确认您已在区域中启用auto 启用 GuardDuty功能。

    你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI。

    aws guardduty describe-organization-configuration —-detector-id 12abc34d567e8fa901bc2d34e56789f0
  4. (推荐)使用该区域的唯一探测器 ID 在每个区域重复这些步骤,以启用对所有成员的 GuardDuty 监控覆盖范围Amazon Web Services 区域。

将 GuardDuty 管理员帐户整合到单个组织委托管理员之下

GuardDuty 建议使用关联Amazon Organizations来管理委托管理员账户下的成员账户。您可以使用下面概述的示例流程,将组织中的管理员和通过邀请关联的成员合并到一个 GuardDuty委托管理员之下。

注意

已由 GuardDuty 委托管理员管理的账户或具有活跃成员的委托管理员账户无法添加到其他 GuardDuty 委托管理员账户。每个组织在每个区域只能有一个 GuardDuty 委托管理员账户,每个成员账户只能有一个委托管理员。

  1. 确保您要管理的所有 GuardDuty 账户都是您组织的一部分。有关向您的组织添加账户的信息,请参阅邀请和Amazon Web Services 账户加入您的组织

  2. 取消所有成员账户与先前存在的管理员账户的关联,但您希望指定为组织 GuardDuty 委托管理员的账户下的成员账户除外。

  3. “设置” 页面为组织指定 GuardDuty 委派管理员。

  4. 登录到指定的委派管理员账户。

  5. 继续添加组织中的成员。

    重要

    请记住, GuardDuty 这是一项区域服务。建议您指定您的委托管理员帐户并在每个区域添加所有成员,以最大限度地提高其有效性 GuardDuty。

取消 GuardDuty 托管理员

注意

仅在Organizations 管理账户才能取消塔塔管理账户取消注册员。

选择控制台或 API,然后按照提供的步骤注销您的委托管理员。取消注册完成后,您可以指定新的委托管理员。

Console

当您从控制台注销委派管理员时,如果您的账户也是Organizations 管理账户,则必须在您的账户被指定为委托管理员的每个区域重复此过程。

重要

如果您是Organizations 管理账户,并且指定了不同的账户作为委托管理员,则他们将在每个区域被注销。

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 选择设置

  3. 在 “设置” 页面的 “委派管理员” 下,选择 “删除”。

  4. 选择 “删除管理员” 确认更改。

API

从 API 注销委派管理员时,必须先在每个区域取消注册,然后才能指定新的委派管理员。

  1. 使用Organizations 管理账户的证书运行 DisableOrganizationAdminAccountAPI 操作。

    aws guardduty disable-organization-admin-account --admin-account-id "123456789012"
  2. 在该委派管理员管理的每个区域中重复此操作。