GuardDuty Konten verwalten mit AWS Organizations - Amazon GuardDuty
Überlegungen und Empfehlungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Konten verwalten mit AWS Organizations

In einer AWS Organisation kann das Verwaltungskonto jedes Konto innerhalb dieser Organisation als delegiertes Administratorkonto festlegen. GuardDuty GuardDuty Wird für dieses Administratorkonto nur im aktuellen Konto automatisch aktiviert. AWS-Region Standardmäßig kann das Administratorkonto GuardDuty für alle Mitgliedskonten in der Organisation in dieser Region aktiviert und verwaltet werden. Das Administratorkonto kann Mitglieder dieser AWS Organisation anzeigen und ihr hinzufügen.

In den folgenden Abschnitten werden Sie durch verschiedene Aufgaben geführt, die Sie als delegiertes GuardDuty Administratorkonto ausführen können.

Überlegungen und Empfehlungen zur Verwendung mit GuardDuty AWS Organizations

Die folgenden Überlegungen und Empfehlungen können Ihnen helfen zu verstehen, wie ein delegiertes GuardDuty Administratorkonto funktioniert in GuardDuty:

Ein delegiertes GuardDuty Administratorkonto kann maximal 50.000 Mitglieder verwalten.

Es gibt ein Limit von 50.000 Mitgliedskonten pro delegiertem GuardDuty Administratorkonto. Dies schließt Mitgliedskonten ein, die über die Einladung des Administratorkontos zum Beitritt zu ihrer Organisation hinzugefügt wurden, AWS Organizations oder solche, die die Einladung des GuardDuty Administratorkontos angenommen haben. In Ihrer AWS Organisation kann es jedoch mehr als 50.000 Konten geben.

Wenn Sie das Limit von 50.000 Mitgliedskonten überschreiten, erhalten Sie eine Benachrichtigung von CloudWatch AWS Health Dashboard, und eine E-Mail an das angegebene delegierte GuardDuty Administratorkonto.

Ein delegiertes GuardDuty Administratorkonto ist Regional.

Im Gegensatz AWS Organizations dazu GuardDuty handelt es sich um einen Regionaldienst. Die delegierten GuardDuty Administratorkonten und ihre Mitgliedskonten müssen AWS Organizations in jeder gewünschten Region, in der Sie sie GuardDuty aktiviert haben, hinzugefügt werden. Wenn das Organisationsverwaltungskonto ein delegiertes GuardDuty Administratorkonto nur für USA Ost (Nord-Virginia) festlegt, verwaltet das delegierte GuardDuty Administratorkonto nur Mitgliedskonten, die der Organisation in dieser Region hinzugefügt wurden. Weitere Informationen zur Funktionsparität in Regionen, in denen GuardDuty sie verfügbar ist, finden Sie unter. Regionen und Endpunkte

Sonderfälle für Opt-in-Regionen

  • Wenn sich ein delegiertes GuardDuty Administratorkonto von einer Opt-in-Region abmeldet, GuardDuty kann es für kein Mitgliedskonto in der Organisation aktiviert werden, das derzeit deaktiviert ist, auch wenn in Ihrer Organisation die Konfiguration für die GuardDuty automatische Aktivierung entweder auf nur neue Mitgliedskonten (NEWALL) oder auf alle Mitgliedskonten () eingestellt ist. GuardDuty Informationen zur Konfiguration Ihrer Mitgliedskonten finden Sie im Navigationsbereich der GuardDuty Konsole unter Konten oder verwenden Sie den. ListMembersAPI

  • Wenn Sie mit der Konfiguration für GuardDuty automatische Aktivierung arbeiten, stellen Sie sicherNEW, dass die folgende Reihenfolge eingehalten wird:

    1. Die Mitgliedskonten melden sich für eine Opt-in-Region an.

    2. Fügen Sie die Mitgliedskonten Ihrer Organisation in hinzu. AWS Organizations

    Wenn Sie die Reihenfolge dieser Schritte ändern, funktioniert die Einstellung für die GuardDuty automatische Aktivierung mit NEW in der jeweiligen Opt-in-Region nicht mehr, da das Mitgliedskonto für die Organisation nicht mehr neu ist. GuardDuty bietet zwei alternative Lösungen:

    • Stellen Sie die Konfiguration für die GuardDuty automatische Aktivierung auf einALL, die neue und bestehende Mitgliedskonten einschließt. In diesem Fall ist die Reihenfolge dieser Schritte nicht relevant.

    • Wenn ein Mitgliedskonto bereits Teil Ihrer Organisation ist, verwalten Sie die GuardDuty Konfiguration für dieses Konto individuell in der jeweiligen Opt-in-Region mithilfe der GuardDuty Konsole oder derAPI.

Erforderlich, damit eine AWS Organisation für alle über dasselbe delegierte GuardDuty Administratorkonto verfügt. AWS-Regionen

Sie müssen ein Mitgliedskonto als delegiertes GuardDuty Administratorkonto für alle aktivierten AWS-Regionen Bereiche GuardDuty festlegen. Zum Beispiel, wenn Sie ein Mitgliedskonto angeben 111122223333 in Europe (Ireland), Sie können kein anderes Mitgliedskonto angeben 555555555555 in Canada (Central). Es ist erforderlich, dass Sie in allen anderen Regionen dasselbe Konto wie das delegierte GuardDuty Administratorkonto verwenden.

Sie können jederzeit ein neues delegiertes GuardDuty Administratorkonto einrichten. Weitere Informationen zum Entfernen des vorhandenen delegierten GuardDuty Administratorkontos finden Sie unter. Ändern des delegierten GuardDuty Administratorkontos

Es wird nicht empfohlen, das Verwaltungskonto Ihrer Organisation als delegiertes GuardDuty Administratorkonto festzulegen.

Das Verwaltungskonto Ihrer Organisation kann das delegierte GuardDuty Administratorkonto sein. Die bewährten AWS -Sicherheitsmethoden folgen jedoch dem Prinzip der geringsten Berechtigung und empfehlen diese Konfiguration nicht.

Durch das Ändern eines delegierten GuardDuty Administratorkontos werden Mitgliedskonten nicht deaktiviert GuardDuty .

Wenn Sie ein delegiertes GuardDuty Administratorkonto entfernen, werden alle Mitgliedskonten GuardDuty entfernt, die diesem delegierten GuardDuty Administratorkonto zugeordnet sind. GuardDuty bleibt weiterhin für all diese Mitgliedskonten aktiviert.