Amazon GuardDuty und AWS Organizations - AWS Organizations
Serviceverknüpfte RollenService-PrinzipaleDen vertrauenswürdigen Zugriff aktivierenSo deaktivieren Sie den vertrauenswürdigen ZugriffAktivieren eines delegierten Administrators

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon GuardDuty und AWS Organizations

Amazon GuardDuty ist ein kontinuierlicher Sicherheitsüberwachungsservice, der eine Vielzahl von Datenquellen analysiert und verarbeitet, indem er Bedrohungsdaten-Feeds und Machine Learning verwendet, um unerwartete und potenziell nicht autorisierte und böswillige Aktivitäten in Ihrer AWS-Umgebung zu identifizieren. Beispiele dafür sind Berechtigungseskalationen, die Verwendung kompromittierter Anmeldeinformationen, die Kommunikation mit schädlichen IP-Adressen, URLs und Domänen oder das Vorhandensein von Malware auf Instances von Amazon Elastic Compute Cloud und in Container-Workloads.

Sie können die Verwaltung von GuardDuty vereinfachen, indem Sie Organizations verwenden, um GuardDuty für alle Konten in Ihrer Organisation zu verwalten.

Weitere Informationen finden Sie unter Verwalten von GuardDuty-Konten mit AWS Organizations im Amazon-GuardDuty-Benutzerhandbuch

Verwenden Sie die folgenden Informationen, um Amazon GuardDuty mit AWS Organizations zu integrieren.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgenden serviceverknüpften Rollen werden automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit diesen Rollen kann GuardDuty unterstützte Vorgänge innerhalb der Konten in Ihrer Organisation ausführen. Rollen können Sie nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen GuardDuty und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

  • guardduty.amazonaws.com, verwendet von der serviceverknüpften Rolle AWSServiceRoleForAmazonGuardDuty.

  • malware-protection.guardduty.amazonaws.com, verwendet von der serviceverknüpften Rolle AmazonGuardDutyMalwareProtectionServiceRolePolicy.

Den vertrauenswürdigen Zugriff mit GuardDuty aktivieren

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff nur mit Amazon GuardDuty aktivieren.

Amazon GuardDuty erfordert vertrauenswürdigen Zugriff auf AWS Organizations, bevor Sie ein Mitgliedskonto als GuardDuty-Administrator für Ihre Organisation festlegen können. Wenn Sie einen delegierten Administrator mit der GuardDuty-Konsole konfigurieren, aktiviert GuardDuty automatisch den vertrauenswürdigen Zugriff für Sie.

Wenn Sie jedoch ein delegiertes Administratorkonto mit AWS CLI oder einem der AWS-SDKs konfigurieren möchten, müssen Sie die Operation EnableAWSServiceAccess explizit aufrufen und den Serviceprinzipal als Parameter angeben. Rufen Sie die Seite EnableOrganizationAdminAccount auf, um das GuardDuty-Administratorkonto zu delegieren.

Deaktivieren Sie den vertrauenswürdigen Zugriff mit GuardDuty

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie einen Organizations-AWS CLI-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS-SDKs aufrufen.

AWS CLI, AWS API
So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigen Servicezugriff deaktivieren:

  • AWS CLI: disable-aws-service-access

    Sie können den folgenden Befehl ausführen, um Amazon GuardDuty als vertrauenswürdigen Service für Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \
    --service-principal guardduty.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS-API: DisableAWSServiceAccess

Aktivieren eines delegierten Administratorkontos für GuardDuty

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos administrative Aktionen für GuardDuty ausführen, die andernfalls nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung von GuardDuty zu trennen.

Mindestberechtigungen

Informationen zu den Berechtigungen, die erforderlich sind, um ein Mitgliedskonto als delegierten Administrator zu bestimmen, finden Sie unter Erforderliche Berechtigungen zur Benennung eines delegierten Administrators im Amazon-GuardDuty-Benutzerhandbuch

So weisen Sie ein Mitgliedskonto als delegierten Administrator für GuardDuty an

Siehe Bestimmen eines delegierten Administrators und Hinzufügen von Mitgliedskonten (Konsole) und Bestimmen eines delegierten Administrators und Hinzufügen von Mitgliedskonten (API)