使用管理 GuardDuty 账户Amazon Organizations - Amazon GuardDuty
委派管理员的 GuardDuty 要注意事项指定委派管理员所需的权限指定 GuardDuty 委托管理员将 GuardDuty 管理员帐户合并到单个组织委派管理员取消注册 GuardDuty 委派管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用管理 GuardDuty 账户Amazon Organizations

当你将 GuardDuty 与Amazon Organizations您可以将组织内的任意账户指定为 GuardDuty 委派管理员。只有组织管理账户才可以指定 GuardDuty 委派管理员。

指定为委派管理员的账户将成为 GuardDuty 管理员账户,在指定的区域中自动启用 GuardDuty,并且该主账户会被授予权限,以便针对该区域内的组织中的所有账户启用和管理。您可以将组织中的其他账户作为与委派管理员账户关联的 GuardDuty 成员账户来查看和添加。

如果您已经通过邀请设置具有关联成员账户的 GuardDuty 管理员,并且成员账户是同一组织的一部分,则其类型从变为通过邀请通过 Organizations当您为组织设置 GuardDuty 委派管理员时。如果新委派管理员先前通过邀请所添加的成员不属于同一个组织,则其类型通过邀请. 在这两种情况下,这些先前添加的账户是组织的 GuardDuty 委派管理员的成员账户。

您可以继续将账户添加为成员,即使账户位于组织之外也是如此。要了解更多信息,请参阅通过邀请(控制台)指定管理员和成员帐户通过邀请指定 GuardDuty 管理员和会员帐户 (API)

委派管理员的 GuardDuty 要注意事项

请注意以下决定了在 GuardDuty 中委派管理员如何运作的因素:

委派管理员最多可以管理 5000 个成员。

每个 GuardDuty 委派管理员限制为 5000 个成员账户。不过,您组织中的账户数量可能超过 5000 个。的数量全部组织中的账户将显示在账户查看 GuardDuty 控制台的页面。

如果您的成员账户超过 5000 个,您将通过 CloudWatch 收到通知,Amazon Personal Health Dashboard,并在发送给委派管理员账户的电子邮件中。

委托管理员是区域性的。

不像Amazon Organizations,GuardDuty 是一项区域服务。这意味着 GuardDuty 委派管理员及其成员账户必须在每个所需的区域中添加以进行账户管理,方法是:Amazon Organizations在每个区域中保持活跃状态。换句话说,如果组织管理帐户仅在美国东部(弗吉尼亚北部)指定 GuardDuty 的委托管理员,那么委派管理员将只管理在该区域添加的成员账户。有关 GuardDuty 中区域的更多信息,请参阅区域和终端节点.

一个组织只能有一个委派管理员。

每个账户只能有一个委派管理员。如果您已将某个账户指定为一个区域中的委派管理员,则该账户必须是所有其他区域的委派管理员。要在设置委派管理员之后更改委派管理员,请参阅取消注册委派管理员的过程。

不建议将组织管理帐户设置为委派管理员。

组织管理账户可以是委派管理员,但不建议根据Amazon遵循最小权限原则的安全最佳做法。

更改委派管理员不会为成员账户禁用 GuardDuty。

如果您删除委派管理员,则取消所有关联的成员账户作为 GuardDuty 成员,但不会在这些账户中禁用 GuardDuty。

指定委派管理员所需的权限

委派 GuardDuty 委派管理员时,您必须拥有启用 GuardDuty 的权限以及某些权限Amazon Organizations以下策略声明中列出 API 操作。

您可以将以下语句添加到 IAM 策略的末尾来授予这些权限:


{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

此外,如果你想指定你的Amazon Organizations管理帐户作为该实体将需要的 GuardDuty 委托管理员CreateServiceLinkedRole初始化 GuardDuty 的权限。可以使用以下语句将其添加到 IAM 策略,并将账户 ID 替换为您的组织管理账户的 ID: 


{
	'Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
注意

如果您在手动启用的区域中使用 GuardDuty,请将 “服务” 的值替换为该区域的区域终端节点。例如,如果您在中东(巴林)(me-south-1) 区域中使用 GuardDuty,请将"Service": "guardduty.amazonaws.com"替换为"Service": "guardduty.me-south-1.amazonaws.com".

指定 GuardDuty 委托管理员

以下过程介绍如何为您的Amazon组织和添加成员账户。选择控制台或 API,然后按照提供的步骤操作。

Console

步骤 1 — 为您的组织注册 GuardDuty 委派管理员

  1. 登录到Amazon Web Services Management Console将管理帐户用于Amazon Organizations组织。

  2. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

    是否已在您的账户中启用 GuardDuty?

    • 如果尚未启用 GuardDuty,则可以选择开始使用然 GuardDuty 在欢迎使用 GuardDuty页.

      注意

      管理帐户必须具有 GuardDuty 服务相关角色,以便委派管理员能够在该账户中启用和管理 GuardDuty。您可以在管理账户的任何区域启用 GuardDuty 以自动创建此角色。

    • 如果启用 GuardDuty,您可以在设置页.

  3. 输入十二位数字Amazon要指定为组织的 GuardDuty 委派管理员的账户 ID。

  4. 选择 Delegate (委派)。如果尚未启用 GuardDuty,则指定委派管理员将为您当前区域中的该账户启用 GuardDuty。

  5. (推荐)在每个中重复执行上述步骤Amazon区域。

指定委派管理员后,您只需要使用组织管理员账户即可更改或删除委派管理员账户。

重要

当您添加账户作为成员时,系 GuardDuty 会在当前区域中为该账户自动启用。这种行为与邀请方法不同,在邀请方法中,必须在将帐户添加为会员之前启用 GuardDuty。

您必须在每个区域中添加您的组织成员,才能为这些区域启用 GuardDuty。

步骤 2-将现有组织账户添加为成员

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 在导航窗格中,选择 Settings (设置),然后选择 Accounts (账户)

    账户表显示组织中的所有账户。这些账户的 Type (类型)via organizations (通过组织)。与组织的 GuardDuty 委派管理员关联的非成员账户的状态是:不是成员.

  3. 通过选中账户 ID 旁边的框,选择要添加为成员的一个或多个账户。

    注意

    通过在页面顶部的横幅中选择 enable (启用),可以在当前区域中为所有组织账户启用 GuardDuty。此操作还会触发自动启用该功能将在未来添加到您组织的任何账户中启用 GuardDuty。

    此外,您也可以使用筛选条件要筛选依据的字段关系状态:不是成员,然后选择在当前区域中尚未启用 GuardDuty 的每个账户。

  4. 选择 Actions (操作),然后选择 Add member (添加成员)

  5. 确认选择了您要添加为成员的账户数量。这些区域有:状态因为账户将更改为Enabled (已启用).

  6. (推荐)在每个中重复执行以下步骤Amazon确保您的委派管理员可以管理所有区域中的成员账户的发现结果。

步骤 3-自动将新组织账户添加为成员

  1. 登录到https://console.aws.amazon.com/guardduty/使用委派管理员账户控制台。

  2. 在导航窗格中的 Settings 下,选择 Accounts

  3. 选择 “自动启用”。

  4. 如果您希望在启用 GuardDuty 之外为新成员启用 S3 威胁检测功能,请选择第一个开启自动启用的切换图标,请选择S3 保护切换图标,有关详细信息请参阅在多账户环境中配置 S3 保护. 当你进行更新后选择更新设置.

  5. (推荐)在每个中重复执行以下步骤Amazon确保在每个区域中的任何新账户上自动启用 GuardDuty。

自动启用功能为组织的所有未来成员启用 GuardDuty。这使您的 GuardDuty 委派管理员可以管理在组织内创建或添加到组织中的任何新成员。当成员账户的数量达到 5000 这一限制时,自动启用功能会自动关闭。如果删除某个账户并且成员总数减少到 5000 以下,则自动启用功能会重新打开。

API

指定委派管理员并添加成员账户 (API)

  1. 运行enableOrganizationAdminAccount使用使用的凭据进行 API 操作AmazonOrganizations 管理账户的账户。

    您也可以使用Amazon通过运行以下 CLI 命令来执行此操作。确保指定要设置为 GuardDuty 委派管理员的账户 ID。

     Amazon  guardduty enable-organization-admin-account --admin-account-id 11111111111

    此命令仅为当前区域设置委派管理员。如果尚未在当前区域中为该账户启用 GuardDuty,则会自动启用。

    要为其他区域设置委派管理员,您必须指定您希望委派管理员管理的区域。有关更多信息,请参阅 。GuardDuty 终端节点和配额. 以下示例演示如何在美国西部(俄勒冈)启用委派管理员。 

     Amazon  guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2

  2. 运行CreateMembers使用使用的凭据进行 API 操作Amazon您在上一步中指定为 GuardDuty 的委托管理员的帐户。

    必须指定委派管理员的区域探测器 IDAmazon您要成为 GuardDuty 成员的账户以及账户详细信息,包括账户 ID 和电子邮件地址,包括要成为 GuardDuty 成员的账户。可以使用此 API 操作创建一个或多个成员。

    重要

    作为会员添加的帐户将在该区域启用 GuardDuty,但组织管理帐户除外,必须先启用 GuardDuty 才能添加为会员账户。

    您也可以使用执行此操作Amazon通过运行以下 CLI 命令来执行命令行工具。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。

     Amazon  guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com

    您可以使用 ListAccounts API 操作或运行以下 CLI 命令,查看所有组织成员的列表。 

     Amazon  organizations list-accounts

  3. 运行updateOrganizationConfigurationAPI 操作使用 GuardDuty 委派管理员帐户的凭据,为新成员账户自动启用该区域中的 GuardDuty。

    必须指定委派管理员的探测器 IDAmazonaccount.

    您也可以使用执行此操作Amazon通过运行以下 CLI 命令来执行命令行工具。务必使用您自己的有效探测器 ID。

     Amazon  guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

    您可以 GuardDuty 过运行describeOrganizationConfiguration或者,或者使用所需区域中的委派管理员的探测器 ID,运行以下 CLI 命令。 

     Amazon  guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0

  4. (建议)使用该区域的唯一探测器 ID 在每个区域中重复执行这些步骤,以便针对所有成员启用 GuardDuty 监控覆盖范围。Amazon地区。

将 GuardDuty 管理员帐户合并到单个组织委派管理员

GuardDuty 建议通过Amazon Organizations以管理委派管理员账户下的成员账户。您可以使用下面概述的示例流程将组织中通过邀请关联的管理员和成员账户合并到单个 GuardDuty 管理员下。

  1. 确保您要为管理 GuardDuty 的所有账户都是您组织的一部分。有关向组织添加账户的信息,请参阅邀请Amazon加入组织的账户.

  2. 取消所有成员账户与先前存在的管理员账户的关联,但要指定为组织的 GuardDuty 管理员的账户下的账户除外。

    注意

    已由 GuardDuty 委派管理员管理的帐户或具有活跃成员的委派管理员帐户无法添加到其他 GuardDuty 委派管理员帐户。每个组织在每个区域中只能有一个 GuardDuty 委派管理员账户,每个成员账户只能有一个委派管理员。

  3. 从中为组织指定 GuardDuty 委派管理员设置页.

  4. 登录到指定的委派管理员账户。

  5. 继续添加组织中的成员。

    重要

    请记住,GuardDuty 是一个区域性服务。建议您指定委派管理员账户并添加每个区域中的所有成员,以最大限度地提高 GuardDuty 的效率。

取消注册 GuardDuty 委派管理员

注意

只有 Organizations 管理账户才可以取消注册委派管理员。

选择控制台或 API,然后按照提供的步骤取消注册委派管理员。注销完成后,您可以指定新的委托管理员。

Console

从控制台取消注册委派管理员时,如果您的帐户也是 Organizations 管理帐户,则必须在每个区域重复此过程,您的账户被指定为委派管理员。

重要

如果您是 Organizations 管理帐户,并且已指定另一个账户作为委托管理员,则他们将在每个区域中取消注册。

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 选择设置

  3. 在 “设置” 页面下的委托管理员选择Remove.

  4. 选择以下命令来确认更改删除管理员.

API

当您从 API 中注销委派管理员时,必须先在任何地区执行此操作,然后才能指定新的委派管理员。

  1. 运行禁用组织管理员帐户使用 Organizations 管理账户的凭据进行 API 操作。 

     Amazon  guardduty disable-organization-admin-account ‐‐admin-account-id "123456789012"

  2. 在该委派管理员管理的每个区域中重复操作。