Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
GuardDuty Konten verwalten mit AWS Organizations
In einer AWS Organisation kann das Verwaltungskonto jedes Konto innerhalb dieser Organisation als delegiertes Administratorkonto festlegen. GuardDuty GuardDuty Wird für dieses Administratorkonto nur im aktuellen Konto automatisch aktiviert. AWS-Region Standardmäßig kann das Administratorkonto GuardDuty für alle Mitgliedskonten in der Organisation in dieser Region aktiviert und verwaltet werden. Das Administratorkonto kann Mitglieder dieser AWS Organisation anzeigen und ihr hinzufügen.
In den folgenden Abschnitten werden Sie durch verschiedene Aufgaben geführt, die Sie als delegiertes GuardDuty Administratorkonto ausführen können.
Inhalt
- Überlegungen und Empfehlungen zur Verwendung mit GuardDuty AWS Organizations
- Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich
- Benennen eines delegierten Administratorkontos GuardDuty
- Einstellungen für die automatische Aktivierung von Organisationen festlegen
- Mitglieder zur Organisation hinzufügen
- (Optional) Aktivieren Sie Schutzpläne für bestehende Mitgliedskonten
- Kontinuierliche Verwaltung Ihrer Mitgliedskonten innerhalb GuardDuty
- Sperrung GuardDuty für Mitgliedskonto
- Mitgliedskonto vom Administratorkonto trennen (entfernen)
- Mitgliedskonten aus der GuardDuty Organisation löschen
- Das delegierte GuardDuty Administratorkonto ändern
Überlegungen und Empfehlungen zur Verwendung mit GuardDuty AWS Organizations
Die folgenden Überlegungen und Empfehlungen können Ihnen helfen zu verstehen, wie ein delegiertes GuardDuty Administratorkonto funktioniert in GuardDuty:
- Ein delegiertes GuardDuty Administratorkonto kann maximal 50.000 Mitglieder verwalten.
-
Es gibt ein Limit von 50.000 Mitgliedskonten pro delegiertem GuardDuty Administratorkonto. Dies schließt Mitgliedskonten ein, die über die Einladung des Administratorkontos zum Beitritt zu ihrer Organisation hinzugefügt wurden, AWS Organizations oder solche, die die Einladung des GuardDuty Administratorkontos angenommen haben. In Ihrer AWS Organisation kann es jedoch mehr als 50.000 Konten geben.
Wenn Sie das Limit von 50.000 Mitgliedskonten überschreiten, erhalten Sie eine Benachrichtigung von CloudWatch AWS Health Dashboard, und eine E-Mail an das angegebene delegierte GuardDuty Administratorkonto.
- Ein delegiertes GuardDuty Administratorkonto ist Regional.
-
Im Gegensatz AWS Organizations dazu GuardDuty handelt es sich um einen Regionaldienst. Die delegierten GuardDuty Administratorkonten und ihre Mitgliedskonten müssen AWS Organizations in jeder gewünschten Region, in der Sie sie GuardDuty aktiviert haben, hinzugefügt werden. Wenn das Organisationsverwaltungskonto ein delegiertes GuardDuty Administratorkonto nur für USA Ost (Nord-Virginia) festlegt, verwaltet das delegierte GuardDuty Administratorkonto nur Mitgliedskonten, die der Organisation in dieser Region hinzugefügt wurden. Weitere Informationen zur Funktionsparität in Regionen, in denen GuardDuty sie verfügbar ist, finden Sie unter. Regionen und Endpunkte
- Sonderfälle für Opt-in-Regionen
-
Wenn sich ein delegiertes GuardDuty Administratorkonto von einer Opt-in-Region abmeldet, GuardDuty kann es für kein Mitgliedskonto in der Organisation aktiviert werden, das derzeit deaktiviert ist, auch wenn in Ihrer Organisation die Konfiguration für die GuardDuty automatische Aktivierung entweder auf nur neue Mitgliedskonten (
NEW
ALL
) oder auf alle Mitgliedskonten () eingestellt ist. GuardDuty Informationen zur Konfiguration Ihrer Mitgliedskonten finden Sie im Navigationsbereich der GuardDuty Konsoleunter Konten oder verwenden Sie den. ListMembersAPI -
Wenn Sie mit der Konfiguration für GuardDuty automatische Aktivierung arbeiten, stellen Sie sicher
NEW
, dass die folgende Reihenfolge eingehalten wird:-
Die Mitgliedskonten melden sich für eine Opt-in-Region an.
-
Fügen Sie die Mitgliedskonten Ihrer Organisation in hinzu. AWS Organizations
Wenn Sie die Reihenfolge dieser Schritte ändern, funktioniert die Einstellung für die GuardDuty automatische Aktivierung mit
NEW
in der jeweiligen Opt-in-Region nicht mehr, da das Mitgliedskonto für die Organisation nicht mehr neu ist. GuardDuty bietet zwei alternative Lösungen:-
Stellen Sie die Konfiguration für die GuardDuty automatische Aktivierung auf ein
ALL
, die neue und bestehende Mitgliedskonten einschließt. In diesem Fall ist die Reihenfolge dieser Schritte nicht relevant. -
Wenn ein Mitgliedskonto bereits Teil Ihrer Organisation ist, verwalten Sie die GuardDuty Konfiguration für dieses Konto individuell in der jeweiligen Opt-in-Region mithilfe der GuardDuty Konsole oder derAPI.
-
- Erforderlich, damit eine AWS Organisation für alle über dasselbe delegierte GuardDuty Administratorkonto verfügt. AWS-Regionen
-
Sie müssen ein Mitgliedskonto als delegiertes GuardDuty Administratorkonto für alle aktivierten AWS-Regionen Bereiche GuardDuty festlegen. Zum Beispiel, wenn Sie ein Mitgliedskonto angeben
111122223333
inEurope (Ireland)
, Sie können kein anderes Mitgliedskonto angeben555555555555
inCanada (Central)
. Es ist erforderlich, dass Sie in allen anderen Regionen dasselbe Konto wie das delegierte GuardDuty Administratorkonto verwenden.Sie können jederzeit ein neues delegiertes GuardDuty Administratorkonto einrichten. Weitere Informationen zum Entfernen des vorhandenen delegierten GuardDuty Administratorkontos finden Sie unter. Das delegierte GuardDuty Administratorkonto ändern
- Es wird nicht empfohlen, das Verwaltungskonto Ihrer Organisation als delegiertes GuardDuty Administratorkonto festzulegen.
-
Das Verwaltungskonto Ihrer Organisation kann das delegierte GuardDuty Administratorkonto sein. Die bewährten AWS -Sicherheitsmethoden folgen jedoch dem Prinzip der geringsten Berechtigung und empfehlen diese Konfiguration nicht.
- Durch das Ändern eines delegierten GuardDuty Administratorkontos werden Mitgliedskonten nicht deaktiviert GuardDuty .
-
Wenn Sie ein delegiertes GuardDuty Administratorkonto entfernen, werden alle Mitgliedskonten GuardDuty entfernt, die diesem delegierten GuardDuty Administratorkonto zugeordnet sind. GuardDuty bleibt weiterhin für all diese Mitgliedskonten aktiviert.