Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
GuardDuty Konten verwalten mit AWS Organizations
Wenn Sie es GuardDuty zusammen mit einer AWS Organisation verwenden, kann das Verwaltungskonto dieser Organisation jedes Konto innerhalb der Organisation als GuardDuty delegiertes Administratorkonto festlegen. Für dieses Administratorkonto GuardDuty wird es automatisch nur im angegebenen Konto aktiviert. AWS-Region Dieses Konto ist außerdem berechtigt, alle Konten in der Organisation in dieser Region zu aktivieren und zu verwalten GuardDuty . Das Administratorkonto kann die Mitglieder dieser Organisation anzeigen und Mitglieder zu dieser AWS Organisation hinzufügen.
Wenn Sie bereits ein GuardDuty Administratorkonto mit verknüpften Mitgliedskonten auf Einladung eingerichtet haben und die Mitgliedskonten derselben Organisation angehören, ändert sich ihr Typ von „Auf Einladung“ zu „Über Organizations“, wenn Sie ein delegiertes GuardDuty Administratorkonto für Ihre Organisation einrichten. Wenn ein delegiertes GuardDuty Administratorkonto zuvor Mitglieder auf Einladung hinzugefügt hat, die nicht derselben Organisation angehören, bleibt ihr Typ „Auf Einladung“ erhalten. In beiden Fällen handelt es sich bei den zuvor hinzugefügten Konten um Mitgliedskonten, die dem delegierten GuardDuty Administratorkonto der Organisation zugeordnet sind.
Sie können weiterhin Konten als Mitglieder hinzufügen, auch wenn sich diese außerhalb Ihrer Organisation befinden. Weitere Informationen finden Sie unter Hinzufügen und verwalten von Konten auf Einladung oder Benennen Sie ein delegiertes GuardDuty Administratorkonto und verwalten Sie Mitglieder mithilfe der Konsole GuardDuty .
Inhalt
- Überlegungen und Empfehlungen bei der Benennung eines delegierten Administratorkontos GuardDuty
- Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich
- Benennen Sie ein delegiertes GuardDuty Administratorkonto und verwalten Sie Mitglieder mithilfe der Konsole GuardDuty
- Benennen eines GuardDuty delegierten GuardDuty Administratorkontos und Verwalten von Mitgliedern mithilfe der API
- Aufrechterhaltung Ihrer Organisation innerhalb GuardDuty
- Ändern des delegierten GuardDuty Administratorkontos
Überlegungen und Empfehlungen bei der Benennung eines delegierten Administratorkontos GuardDuty
Die folgenden Überlegungen und Empfehlungen können Ihnen helfen zu verstehen, wie ein delegiertes GuardDuty Administratorkonto funktioniert in GuardDuty:
- Ein delegiertes GuardDuty Administratorkonto kann maximal 50.000 Mitglieder verwalten.
-
Es gibt ein Limit von 50.000 Mitgliedskonten pro delegiertem GuardDuty Administratorkonto. Dies schließt Mitgliedskonten ein, die über die Einladung des Administratorkontos zum Beitritt zu ihrer Organisation hinzugefügt wurden, AWS Organizations oder solche, die die Einladung des GuardDuty Administratorkontos angenommen haben. In Ihrer AWS Organisation kann es jedoch mehr als 50.000 Konten geben.
Wenn Sie das Limit von 50.000 Mitgliedskonten überschreiten, erhalten Sie eine Benachrichtigung von CloudWatch AWS Health Dashboard, und eine E-Mail an das angegebene delegierte GuardDuty Administratorkonto.
- Bei einem delegierten GuardDuty Administratorkonto handelt es sich um ein regionales Konto.
-
Im Gegensatz AWS Organizations dazu GuardDuty handelt es sich um einen Regionaldienst. Die delegierten GuardDuty Administratorkonten und ihre Mitgliedskonten müssen AWS Organizations in jeder gewünschten Region, in der Sie sie GuardDuty aktiviert haben, hinzugefügt werden. Wenn das Organisationsverwaltungskonto ein delegiertes GuardDuty Administratorkonto nur für USA Ost (Nord-Virginia) festlegt, verwaltet das delegierte GuardDuty Administratorkonto nur Mitgliedskonten, die der Organisation in dieser Region hinzugefügt wurden. Weitere Informationen zur Funktionsparität in Regionen, in denen GuardDuty sie verfügbar ist, finden Sie unter. Regionen und Endpunkte
- Sonderfälle für Opt-in-Regionen
-
Wenn sich ein delegiertes GuardDuty Administratorkonto von einer Opt-in-Region abmeldet, GuardDuty kann es für kein Mitgliedskonto in der Organisation aktiviert werden, das derzeit deaktiviert ist, auch wenn in Ihrer Organisation die Konfiguration für die GuardDuty automatische Aktivierung entweder auf nur neue Mitgliedskonten (
NEWALL) oder auf alle Mitgliedskonten () eingestellt ist. GuardDuty Informationen zur Konfiguration Ihrer Mitgliedskonten finden Sie im Navigationsbereich der GuardDuty Konsoleunter Konten oder verwenden Sie die API. ListMembers -
Wenn Sie mit der Konfiguration für GuardDuty automatische Aktivierung arbeiten, stellen Sie sicher
NEW, dass die folgende Reihenfolge eingehalten wird:-
Die Mitgliedskonten melden sich für eine Opt-in-Region an.
-
Fügen Sie die Mitgliedskonten Ihrer Organisation in hinzu. AWS Organizations
Wenn Sie die Reihenfolge dieser Schritte ändern, funktioniert die Einstellung für die GuardDuty automatische Aktivierung mit
NEWin der jeweiligen Opt-in-Region nicht mehr, da das Mitgliedskonto für die Organisation nicht mehr neu ist. GuardDuty bietet zwei alternative Lösungen:-
Stellen Sie die Konfiguration für die GuardDuty automatische Aktivierung auf ein
ALL, die neue und bestehende Mitgliedskonten einschließt. In diesem Fall ist die Reihenfolge dieser Schritte nicht relevant. -
Wenn ein Mitgliedskonto bereits Teil Ihrer Organisation ist, verwalten Sie die GuardDuty Konfiguration für dieses Konto individuell in der jeweiligen Opt-in-Region mithilfe der GuardDuty Konsole oder der API.
-
- Es wird empfohlen, dass eine AWS Organisation für alle über dasselbe delegierte GuardDuty Administratorkonto verfügt. AWS-Regionen
-
Wir empfehlen Ihnen, Ihrer Organisation AWS-Regionen in allen Bereichen, die Sie aktiviert haben, dasselbe delegierte GuardDuty Administratorkonto zuzuweisen. GuardDuty Wenn Sie in einer Region ein Konto als delegiertes GuardDuty Administratorkonto festlegen, wird empfohlen, dasselbe Konto als delegiertes GuardDuty Administratorkonto in allen anderen Regionen zu verwenden.
Sie können jederzeit ein neues delegiertes GuardDuty Administratorkonto einrichten. Weitere Informationen zum Entfernen des vorhandenen delegierten GuardDuty Administratorkontos finden Sie unter. Ändern des delegierten GuardDuty Administratorkontos
- Es wird nicht empfohlen, das Verwaltungskonto Ihrer Organisation als delegiertes GuardDuty Administratorkonto festzulegen.
-
Das Verwaltungskonto Ihrer Organisation kann das delegierte GuardDuty Administratorkonto sein. Die bewährten AWS -Sicherheitsmethoden folgen jedoch dem Prinzip der geringsten Berechtigung und empfehlen diese Konfiguration nicht.
- Durch das Ändern eines delegierten GuardDuty Administratorkontos werden Mitgliedskonten nicht deaktiviert GuardDuty .
-
Wenn Sie ein delegiertes GuardDuty Administratorkonto entfernen, werden alle Mitgliedskonten GuardDuty entfernt, die diesem delegierten GuardDuty Administratorkonto zugeordnet sind. GuardDuty bleibt weiterhin für all diese Mitgliedskonten aktiviert.
