Amazon GuardDuty und AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon GuardDuty und AWS Organizations

Amazon GuardDuty ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der eine Vielzahl von Datenquellen analysiert und verarbeitet und dabei Threat-Intelligence-Feeds und maschinelles Lernen verwendet, um unerwartete und potenziell unautorisierte und böswillige Aktivitäten in Ihrer AWS Umgebung zu identifizieren. Dazu können Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen, die Kommunikation mit bösartigen IP-Adressen oder Domains oder das Vorhandensein von Malware auf Ihren Amazon Elastic Compute Cloud-Instances und Container-Workloads gehören. URLs

Sie können dazu beitragen, die Verwaltung von zu vereinfachen, GuardDuty indem Sie Organizations verwenden, um alle Konten in Ihrer Organisation zu verwalten GuardDuty .

Weitere Informationen finden Sie unter GuardDuty Konten verwalten mit AWS Organizations im GuardDuty Amazon-Benutzerhandbuch

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von Amazon GuardDuty zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgenden serviceverknüpften Rollen werden automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen GuardDuty ermöglichen es, unterstützte Vorgänge innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen. Sie können eine Rolle nur löschen, wenn Sie den vertrauenswürdigen Zugriff zwischen GuardDuty Organizations deaktivieren oder wenn Sie das Mitgliedskonto aus der Organisation entfernen.

  • Die AWSServiceRoleForAmazonGuardDuty serviceverknüpfte Rolle wird automatisch in Konten erstellt, die in Organizations GuardDuty integriert sind. Weitere Informationen finden Sie unter GuardDutyKonten bei Organizations verwalten im GuardDuty Amazon-Benutzerhandbuch

  • Die mit dem AmazonGuardDutyMalwareProtectionServiceRolePolicy Service verknüpfte Rolle wird automatisch für Konten erstellt, für die der GuardDuty Malware-Schutz aktiviert ist. Weitere Informationen finden Sie unter Servicebezogene Rollenberechtigungen für GuardDuty Malware-Schutz im GuardDuty Amazon-Benutzerhandbuch

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

  • guardduty.amazonaws.com, verwendet von der serviceverknüpften Rolle AWSServiceRoleForAmazonGuardDuty.

  • malware-protection.guardduty.amazonaws.com, verwendet von der serviceverknüpften Rolle AmazonGuardDutyMalwareProtectionServiceRolePolicy.

Den vertrauenswürdigen Zugriff mit GuardDuty aktivieren

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können vertrauenswürdigen Zugriff nur mit Amazon aktivieren GuardDuty.

Amazon GuardDuty benötigt vertrauenswürdigen Zugriff auf, AWS Organizations bevor Sie ein Mitgliedskonto als GuardDuty Administrator für Ihre Organisation festlegen können. Wenn Sie über die GuardDuty Konsole einen delegierten Administrator konfigurieren, wird GuardDuty automatisch der vertrauenswürdige Zugriff für Sie aktiviert.

Wenn Sie jedoch ein delegiertes Administratorkonto mit dem AWS CLI oder einem der beiden konfigurieren möchten AWS SDKs, müssen Sie den E nableAWSService Access-Vorgang explizit aufrufen und den Dienstprinzipal als Parameter angeben. Dann können Sie anrufen EnableOrganizationAdminAccount, um das GuardDuty Administratorkonto zu delegieren.

Deaktivieren des vertrauenswürdigen Zugriffs mit GuardDuty

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff nur mit den Tools für Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder indem Sie einen API Organizations-Vorgang in einem der Befehle aufrufen AWS SDKs.

AWS CLI, AWS API
Um den vertrauenswürdigen Dienstzugriff mit den Organizations zu deaktivierenCLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API Operationen, um den Zugriff auf vertrauenswürdige Dienste zu deaktivieren:

  • AWS CLI: disable-aws-service-access

    Führen Sie den folgenden Befehl aus, um Amazon GuardDuty als vertrauenswürdigen Service bei Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \ --service-principal guardduty.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: D isableAWSService Zugriff

Aktivierung eines delegierten Administratorkontos für GuardDuty

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos Verwaltungsaktionen für GuardDuty ausführen, die ansonsten nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung von GuardDuty zu trennen.

Mindestberechtigungen

Informationen zu den Berechtigungen, die erforderlich sind, um ein Mitgliedskonto als delegierten Administrator zu benennen, finden Sie unter Erforderliche Berechtigungen zur Benennung eines delegierten Administrators im Amazon-Benutzerhandbuch GuardDuty

So weisen Sie ein Mitgliedskonto als delegierten Administrator für  GuardDuty an

Weitere Informationen finden Sie unter Benennen eines delegierten Administrators und Hinzufügen von Mitgliedskonten (Konsole) und Benennen eines delegierten Administrators und Hinzufügen von Mitgliedskonten () API