Amazon GuardDutyAmazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon GuardDutyAmazon Organizations

Amazon GuardDuty 是一项连续安全监控服务,可以使用威胁情报源和机器学习来标识您中意外的和潜在的未经授权及恶意活动。Amazon环境。这包括了特权升级、使用遭暴露的凭证或者与恶意 IP 地址、URL 或域通信等问题。

您可以使用 Organizations 管理组织中所有账户的 GuardDuty,从而帮助简化 GuardDuty 的管理。

有关更多信息,请参阅 。使用管理 GuardDuty 帐户Amazon Organizations中的Amazon GuardDuty 用户指南

使用以下信息可帮助您将 Amazon GuardDuty 与Amazon Organizations.

启用集成时创建的与服务相关的角色

以下服务相关角色启用可信访问时,会自动在组织管理账户中创建。此角色允许 GuardDuty 在组织中的组织帐户中执行受支持的操作。

只有在禁用 GuardDuty 和 Organizations 之间的受信任访问,或者从组织中删除成员帐户时,才可以删除或修改此角色。

  • AWSServiceRoleForAmazonGuardDuty

服务相关角色使用的服务承担者

上一节中的服务链接角色只能由为角色定义的信任关系授权的服务承担者担任。GuardDuty 使用的服务链接角色授予对以下服务主体的访问权限:

  • guardduty.amazonaws.com

使用 GuardDuty 启用可信访问权限

有关启用可信访问所需权限的信息,请参阅允许可信访问所需的权限.

您只能使用 Amazon GuardDuty 启用可信访问。

Amazon GuardDuty 需要可信访问Amazon Organizations之后,您可以指定成员账户作为组织的 GuardDuty 管理员。如果您使用 GuardDuty 控制台配置委派管理员,则 GuardDuty 会自动为您启用受信任访问权限。

但是,如果要使用Amazon CLI或AmazonSDK,则您必须明确调用EnableAWSServiceAccess操作并提供服务主体作为参数。然后您可以调用启用组织管理帐户来委派卫队管理员帐户。

使用 GuardDuty 禁用可信访问权限

有关禁用可信访问所需权限的信息,请参阅。禁止可信访问所需的权限.

您只能使用 Organizations 工具禁用可信访问。

您可以通过运行 “Organizations” 来禁用受信任访问Amazon CLI命令,或者通过调用Amazon软件开发工具包

Amazon CLI, Amazon API

使用 Organizations CLI/SDK 禁用受信任的服务访问

您可以使用以下命令:Amazon CLI命令或 API 操作允许对的可信服务访问:

  • Amazon CLI:禁用 aws-service-user

    您可以运行以下命令来禁用 Amazon GuardDuty 作为受信任的 Organizations 服务。

    $ aws organizations disable-aws-service-access \ --service-principal guardduty.amazonaws.com

    成功后,此命令不会产生任何输出。

  • Amazon API:DisableAWSServiceAccess

为 GuardDuty ens 启用委托管理员账户

当您将成员帐户指定为组织的委派管理员时,该帐户中的用户和角色可以对 GuardDuty 执行管理操作,否则这些操作只能由组织管理帐户中的用户或角色执行。这可以帮助您将组织的管理与 GuardDuty 的管理区分开来。

最小权限

有关将成员帐户指定为委派管理员所需的权限的信息,请参阅指定委派管理员所需的权限中的Amazon GuardDuty 用户指南

指定一个成员帐户作为 GuardDuty 的委派管理员

请参阅指定委托管理员并添加成员账户(控制台)指定委托管理员并添加成员账户 (API)