使用管理 GuardDuty 账户Amazon Organizations - Amazon GuardDuty
GuardDuty 委派管理员的重要考虑指定委派管理员所需的权限指定 GuardDuty 委托管理员将 GuardDuty 管理员帐户合并到单个组织委派管理员取消注册 GuardDuty 委派管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用管理 GuardDuty 账户Amazon Organizations

当你将 GuardDuty 与Amazon Organizations您可以将组织内的任意账户指定为 GuardDuty 委派管理员。只有组织管理账户才可以指定 GuardDuty 委派管理员。

指定为委派管理员的账户将成为 GuardDuty 管理员账户,在指定的区域中自动启用 GuardDuty,并且该主账户会被授予权限,以便针对该区域内的组织中的所有账户启用和管理 GuardDuty。对于组织中的其他账户,可以作为与委派管理员账户关联的 GuardDuty 成员账户来查看和添加。

如果您已经通过邀请而设置 GuardDuty 管理员,并且成员账户是同一组织的一部分,则其类型从更改通过邀请通过 Organizations为您的组织设置 GuardDuty 委派管理员时。如果新委派管理员以前通过邀请所添加的成员不属于同一个组织,则其类型通过邀请. 在这两种情况下,这些先前添加的账户是组织 GuardDuty 委派管理员的成员账户。

您可以继续将账户添加为成员,即使账户位于组织之外也是如此。要了解更多信息,请参阅通过邀请指定管理员和成员帐户(控制台)通过邀请 (API) 指定 GuardDuty 管理员和会员账户

GuardDuty 委派管理员的重要考虑

请注意以下决定了在 GuardDuty 中委派管理员如何运作的因素:

委派管理员最多可以管理 5000 个成员。

每个 GuardDuty 委派管理员限制为 5000 个成员账户。不过,您组织中的账户数量可能超过 5000 个。的数量全部组织中的账户将显示在账户GuardDuty 控制台的页面。

如果您超过 5000 个成员账户,您将通过 CloudWatch 收到通知,Amazon Health Dashboard,并在发送给委派管理员账户的电子邮件中。

委托管理员是区域性的。

不像Amazon Organizations,GuardDuty 是一项区域性服务。这意味着 GuardDuty 委派管理员及其成员账户必须在每个所需的区域中添加以进行账户管理Amazon Organizations在每个区域中保持活跃状态。换句话说,如果组织管理帐户仅在美国东部(弗吉尼亚北部)指定 GuardDuty 的委托管理员,那么委派管理员将只管理在该区域添加的成员账户。有关 GuardDuty 中区域的更多信息,请参阅区域和终端节点.

一个组织只能有一个委派管理员。

每个账户只能有一个委派管理员。如果您已将某个账户指定为一个区域中的委派管理员,则该账户必须是所有其他区域的委派管理员。要在设置委派管理员之后更改委派管理员,请参阅取消注册委派管理员的过程。

不建议将组织管理帐户设置为委派管理员。

组织管理账户可以是委派管理员,但不建议根据Amazon遵循最小权限原则的安全最佳实践。

更改委派管理员不会为成员账户禁用 GuardDuty。

如果您删除委派管理员,则取消所有关联的成员账户作为 GuardDuty 成员,但不会在这些账户中禁用 GuardDuty。

指定委派管理员所需的权限

委派 GuardDuty 委派管理员时,您必须拥有启用 GuardDuty 的权限以及某些权限Amazon Organizations以下策略语句中列出的 API 操作。

您可以将以下语句添加到 IAM 策略的末尾来授予这些权限:


{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

此外,如果你想指定你的Amazon Organizations管理帐户作为该实体将需要的 GuardDuty 委托管理员CreateServiceLinkedRole初始化 GuardDuty 的权限。您可以使用以下语句将其添加到 IAM 策略,并将账户 ID 替换为您的组织管理账户的 ID:


{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
注意

如果您在手动启用的区域中使用 GuardDuty,请将 “服务” 的值替换为该区域的区域终端节点。例如,如果您在中东(巴林)(me-south-1) 区域中使用 GuardDuty,请将"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com".

指定 GuardDuty 委托管理员

以下过程介绍如何为您的Amazon组织和添加成员账户。选择控制台或 API,然后按照提供的步骤操作。

Console

步骤 1 — 为您的组织注册 GuardDuty 委派管理员

  1. 登录到Amazon Web Services Management Console将管理帐户用于Amazon Organizations组织。

  2. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

    是否已在您的账户中启用 GuardDuty?

    • 如果尚未启用 GuardDuty,则可以选择开始使用然 GuardDuty 在欢迎使用 GuardDuty页.

      注意

      管理帐户必须具有 GuardDuty 服务相关角色,以便委派管理员能够在该账户中启用和管理 GuardDuty。您可以在管理账户的任何区域启用 GuardDuty 以自动创建此角色。

    • 如果启用 GuardDuty,您可以在设置页.

  3. 输入十二位数Amazon要指定为组织的 GuardDuty 委派管理员的账户 ID。

  4. 选择 Delegate (委派)。如果尚未启用 GuardDuty,则指定委派管理员将在当前区域中为该账户启用 GuardDuty。

  5. (推荐)在每个步骤中重复执行上述步骤Amazon区域。

指定委派管理员后,您只需要使用组织管理账户,即可更改或删除委派管理员账户。

重要

当您添加账户作为成员时,系统会在当前区域中为该账户自动启用 GuardDuty。这种行为与邀请方法不同,在邀请方法中,必须在将帐户添加为会员之前启用 GuardDuty。

您必须在每个区域中添加您的组织成员,才能为这些区域启用 GuardDuty。

步骤 2-将现有组织账户添加为成员

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 在导航窗格中,选择 Settings (设置),然后选择 Accounts (账户)

    账户表显示组织中的所有账户。这些账户的 Type (类型)via organizations (通过组织)。与组织的 GuardDuty 委派管理员关联的非成员账户的状态是不是成员.

  3. 通过选中账户 ID 旁边的框,选择要添加为成员的一个或多个账户。

    注意

    通过在页面顶部的横幅中选择 enable (启用),可以在当前区域中为所有组织账户启用 GuardDuty。此操作还会触发自动启用该功能将在添加到组织的任何未来账户中启用 GuardDuty。

    此外,您也可以使用过滤要筛选依据的字段关系状态:不是成员,然后选择在当前区域中尚未启用 GuardDuty 的每个账户。

  4. 选择 Actions (操作),然后选择 Add member (添加成员)

  5. 确认选择了您要添加为成员的账户数量。这些区域有:状态因为账户将更改为Enabled (已启用).

  6. (推荐)在每个中重复执行以下步骤Amazon区域,确保您的委派管理员可以管理所有区域中的成员账户的发现结果。

步骤 3-自动将新组织账户添加为成员

  1. 登录到https://console.aws.amazon.com/guardduty/控制台使用委派管理员账户。

  2. 在导航窗格中的 Settings 下,选择 Accounts。然后选择 “自动启用”。

  3. 如果除了启用 GuardDuty 之外,如果您希望为新成员启用其他检测功能,请选择第一个开启自动启用的切换图标S3 保护或者Kubernetes 审计日志监控选项。有关这些功能的更多信息请参阅在多账户环境中配置 S3 保护要么Amazon GuardDuty 中的 Kubernetes 保护. 当你进行更新后选择更新设置以完成你的更改。

  4. (推荐)在每个中重复执行以下步骤Amazon确保在每个区域的任何新账户上自动启用 GuardDuty。

自动启用功能为组织的所有未来成员启用 GuardDuty。这使您的 GuardDuty 委派管理员可以管理在组织内创建或添加到组织中的任何新成员。当成员账户的数量达到 5000 这一限制时,自动启用功能会自动关闭。如果删除某个账户并且成员总数减少到 5000 以下,则自动启用功能会重新打开。

API

指定委派管理员并添加成员账户 (API)

  1. 运行enableOrganizationAdminAccount使用的凭据进行 API 操作AmazonOrganizations 管理账户的账户。

    您也可以使用Amazon通过运行以下 CLI 命令来执行此操作。确保指定要设置为 GuardDuty 委派管理员的账户的账户 ID。

     Amazon  guardduty enable-organization-admin-account --admin-account-id 11111111111

    此命令仅为当前区域设置委派管理员。如 GuardDuty 在当前区域中尚未为该账户启用,则会自动启用。

    要为其他区域设置委派管理员,您必须指定您希望委派管理员管理的区域。有关更多信息,请参阅 。GuardDuty 终端节点和配额. 以下示例演示如何在美国西部(俄勒冈)启用委派管理员。

     Amazon  guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2

  2. 运行CreateMembers使用的凭据进行 API 操作Amazon您在上一步中指定为 GuardDuty 的委托管理员的帐户。

    必须指定委派管理员的区域探测器 IDAmazon账户以及要成为 GuardDuty 成员的账户详细信息,包括账户 ID 和电子邮件地址。可以使用此 API 操作创建一个或多个成员。

    重要

    作为会员添加的帐户将在该区域启用 GuardDuty,但组织管理帐户除外,该帐户必须先启用 GuardDuty 才能添加为会员账户。

    您也可以使用执行此操作Amazon通过运行以下 CLI 命令,命令行工具。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。

     Amazon  guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com

    您可以使用 ListAccounts API 操作或运行以下 CLI 命令,查看所有组织成员的列表。

     Amazon  organizations list-accounts

  3. 运行updateOrganizationConfigurationAPI 操作使用 GuardDuty 委派管理员帐户的凭据,为新成员账户自动启用该区域中的 GuardDuty。

    必须指定委派管理员的探测器 IDAmazonaccount.

    您也可以使用执行此操作Amazon通过运行以下 CLI 命令,命令行工具。务必使用您自己的有效探测器 ID。

     Amazon  guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

    您可以 GuardDuty 过运行describeOrganizationConfiguration或者,使用所需区域中委派管理员的探测器 ID,运行以下 CLI 命令。

     Amazon  guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0

  4. (建议)在每个区域中使用您针对该区域的唯一探测器 ID,重复执行这些步骤,以便针对所有成员启用 GuardDuty 监控覆盖。Amazon地区。

将 GuardDuty 管理员帐户合并到单个组织委派管理员

GuardDuty 建议通过Amazon Organizations以管理委派管理员账户下的成员账户。您可以使用下面概述的示例流程,将组织中通过邀请关联的管理员和成员账户合并到单个 GuardDuty 管理员下。

注意

已由 GuardDuty 委派管理员管理的帐户或具有活跃成员的委派管理员帐户无法添加到其他 GuardDuty 委派管理员帐户。每个组织在每个区域中只能有一个 GuardDuty 委派管理员账户,每个成员账户只能有一个委派管理员。

  1. 确保您要为管理 GuardDuty 的所有账户都是您组织的一部分。有关向组织添加账户的信息,请参阅邀请Amazon加入组织的账户.

  2. 取消所有成员账户与先前存在的管理员账户的关联,但要指定为组织的 GuardDuty 委派管理员的账户下的账户除外。

  3. 设置页.

  4. 登录到指定的委派管理员账户。

  5. 继续添加组织中的成员。

    重要

    请记住,GuardDuty 是一项区域性服务。建议您指定委派管理员账户并添加每个区域中的所有成员,以最大限度地提高 GuardDuty 的效率。

取消注册 GuardDuty 委派管理员

注意

只有 Organizations 管理账户才可以取消注册委派管理员。

选择控制台或 API,然后按照提供的步骤取消注册委派管理员。取消注册完成后,您可以指定新的委托管理员。

Console

当您从控制台中取消注册委派管理员时,如果您的帐户也是 Organizations 管理帐户,则必须在每个区域重复此过程,您的账户被指定为委派管理员。

重要

如果您是 Organizations 管理帐户,并且已指定另一个账户作为委托管理员,则他们将在每个区域中取消注册。

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 选择设置

  3. 在 “设置” 页面中,在委托管理员选择Remove.

  4. 选择以下命令来确认更改删除管理员.

API

当您从 API 中取消注册委派管理员时,必须先在任何地区执行此操作,然后才能指定新的委派管理员。

  1. 运行禁用组织管理员帐户使用 Organizations 管理账户的凭据进行 API 操作。

    aws guardduty disable-organization-admin-account ‐‐admin-account-id "123456789012"

  2. 在该委派管理员管理的每个区域中重复操作。