Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon GuardDuty und AWS Organizations
Amazon GuardDuty ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der eine Vielzahl von Datenquellen analysiert und verarbeitet und dabei Threat-Intelligence-Feeds und maschinelles Lernen verwendet, um unerwartete und potenziell unautorisierte und böswillige Aktivitäten in Ihrer AWS Umgebung zu identifizieren. Dazu können Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen, die Kommunikation mit bösartigen IP-Adressen oder Domains oder das Vorhandensein von Malware auf Ihren Amazon Elastic Compute Cloud-Instances und Container-Workloads gehören. URLs
Sie können dazu beitragen, die Verwaltung von zu vereinfachen, GuardDuty indem Sie Organizations verwenden, um alle Konten in Ihrer Organisation zu verwalten GuardDuty .
Weitere Informationen finden Sie unter GuardDuty Konten verwalten mit AWS Organizations im GuardDuty Amazon-Benutzerhandbuch
Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von Amazon GuardDuty zu helfen AWS Organizations.
Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren
Die folgenden serviceverknüpften Rollen werden automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen GuardDuty ermöglichen es, unterstützte Vorgänge innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen. Sie können eine Rolle nur löschen, wenn Sie den vertrauenswürdigen Zugriff zwischen GuardDuty Organizations deaktivieren oder wenn Sie das Mitgliedskonto aus der Organisation entfernen.
-
Die
AWSServiceRoleForAmazonGuardDuty
serviceverknüpfte Rolle wird automatisch in Konten erstellt, die in Organizations GuardDuty integriert sind. Weitere Informationen finden Sie unter GuardDutyKonten bei Organizations verwalten im GuardDuty Amazon-Benutzerhandbuch -
Die mit dem
AmazonGuardDutyMalwareProtectionServiceRolePolicy
Service verknüpfte Rolle wird automatisch für Konten erstellt, für die der GuardDuty Malware-Schutz aktiviert ist. Weitere Informationen finden Sie unter Servicebezogene Rollenberechtigungen für GuardDuty Malware-Schutz im GuardDuty Amazon-Benutzerhandbuch
Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden
-
guardduty.amazonaws.com
, verwendet von der serviceverknüpften RolleAWSServiceRoleForAmazonGuardDuty
. -
malware-protection.guardduty.amazonaws.com
, verwendet von der serviceverknüpften RolleAmazonGuardDutyMalwareProtectionServiceRolePolicy
.
Den vertrauenswürdigen Zugriff mit GuardDuty aktivieren
Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.
Sie können vertrauenswürdigen Zugriff nur mit Amazon aktivieren GuardDuty.
Amazon GuardDuty benötigt vertrauenswürdigen Zugriff auf, AWS Organizations bevor Sie ein Mitgliedskonto als GuardDuty Administrator für Ihre Organisation festlegen können. Wenn Sie über die GuardDuty Konsole einen delegierten Administrator konfigurieren, wird GuardDuty automatisch der vertrauenswürdige Zugriff für Sie aktiviert.
Wenn Sie jedoch ein delegiertes Administratorkonto mit dem AWS CLI oder einem der beiden konfigurieren möchten AWS SDKs, müssen Sie den E nableAWSService Access-Vorgang explizit aufrufen und den Dienstprinzipal als Parameter angeben. Dann können Sie anrufen EnableOrganizationAdminAccount, um das GuardDuty Administratorkonto zu delegieren.
Deaktivieren des vertrauenswürdigen Zugriffs mit GuardDuty
Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.
Sie können den vertrauenswürdigen Zugriff nur mit den Tools für Organizations deaktivieren.
Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder indem Sie einen API Organizations-Vorgang in einem der Befehle aufrufen AWS SDKs.
Aktivierung eines delegierten Administratorkontos für GuardDuty
Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos Verwaltungsaktionen für GuardDuty ausführen, die ansonsten nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung von GuardDuty zu trennen.
Mindestberechtigungen
Informationen zu den Berechtigungen, die erforderlich sind, um ein Mitgliedskonto als delegierten Administrator zu benennen, finden Sie unter Erforderliche Berechtigungen zur Benennung eines delegierten Administrators im Amazon-Benutzerhandbuch GuardDuty
So weisen Sie ein Mitgliedskonto als delegierten Administrator für GuardDuty an
Weitere Informationen finden Sie unter Benennen eines delegierten Administrators und Hinzufügen von Mitgliedskonten (Konsole) und Benennen eines delegierten Administrators und Hinzufügen von Mitgliedskonten () API