Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Mehrere Konten bei Amazon GuardDuty
Wenn Ihre AWS Umgebung über mehrere Konten verfügt, können Sie diese verwalten, indem Sie eines AWS-Konto als Administratorkonto festlegen. Anschließend können Sie mehrere AWS-Konten Konten diesem Administratorkonto als Mitgliedskonten zuordnen. Bei dieser Konfiguration kann ein zugewiesenes GuardDuty Administratorkonto die allgemeine Sicherheit Ihres Unternehmens beurteilen und überwachen. Mit dem Administratorkonto können auch Aufgaben zur Kontoverwaltung ausgeführt werden, z. B. die Überprüfung aller generierten Ergebnisse und die Konfiguration der Schutzpläne innerhalb des Kontos GuardDuty.
GuardDutyIn besteht eine Organisation aus einem delegierten GuardDuty Administratorkonto und einem oder mehreren zugehörigen Mitgliedskonten. Sie können die Konten auf zwei Arten verknüpfen: durch Integration oder durch Verwendung einer älteren Methode zum Senden und Annehmen von Mitgliedschaftseinladungen in der GuardDuty Konsole. AWS Organizations GuardDuty empfiehlt die Integration mit AWS Organizations.
AWS Organizations ist ein globaler Kontoverwaltungsdienst, der es AWS Administratoren ermöglicht, mehrere Konten zu konsolidieren und zentral zu verwalten AWS-Konten. Er bietet Funktionen zur Kontoverwaltung und konsolidierten Fakturierung, die auf die Erfüllung von Haushalts-, Sicherheits- und Compliance-Anforderungen zugeschnitten sind. Es wird ohne zusätzliche Kosten angeboten und lässt sich in mehrere integrieren AWS-Services, darunter Macie AWS Security Hub CSPM, und Amazon GuardDuty. Weitere Informationen finden Sie im [AWS Organizations -Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
**Topics**
+ [Verständnis der Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten](administrator_member_relationships.md)
+ [GuardDuty Konten verwalten mit AWS Organizations](guardduty_organizations.md)
+ [GuardDuty Konten auf Einladung verwalten](guardduty_invitations.md)
+ [GuardDuty Überlegungen zum Exportieren von Mitgliedskontodaten im CSV-Format](exporting-guardduty-accounts-data-to-csv.md)
# Verständnis der Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten
Wenn Sie GuardDuty in einer Umgebung mit mehreren Konten arbeiten, kann das Administratorkonto bestimmte Aspekte von im Namen der GuardDuty Mitgliedskonten verwalten. Ein Administratorkonto kann die folgenden Hauptfunktionen erfüllen:
+ **Zugeordnete Mitgliedskonten hinzufügen und entfernen** — Das Verfahren, mit dem ein Administratorkonto dies tun kann, hängt davon ab, wie Sie die Konten verwalten — über AWS Organizations oder nach GuardDuty Einladungsmethode.
GuardDuty empfiehlt, Ihre Mitgliedskonten über zu verwalten AWS Organizations.
+ **Aktivierung des delegierten GuardDuty Administratorkontos GuardDuty im Verwaltungskonto** — Sollte das AWS Organizations Verwaltungskonto jemals deaktiviert werden GuardDuty, kann das delegierte GuardDuty Administratorkonto GuardDuty im Verwaltungskonto aktiviert werden. Es ist jedoch erforderlich, dass das Verwaltungskonto das nicht ausdrücklich gelöscht hat. [Mit dem Dienst verknüpfte Rollenberechtigungen für GuardDuty](slr-permissions.md)
+ *Status von Mitgliedskonten konfigurieren* — Ein Administratorkonto kann den Status von GuardDuty Schutzplänen aktivieren oder deaktivieren und den Status von im Namen der zugehörigen Mitgliedskonten aktivieren, aussetzen oder deaktivieren. GuardDuty
Ein delegiertes GuardDuty Administratorkonto, das mit verwaltet wird, AWS Organizations kann automatisch aktiviert AWS-Konten werden GuardDuty , wenn sie als Mitglieder hinzugefügt werden.
+ **Passen Sie an, wann Ergebnisse generiert** werden sollen — Ein Administratorkonto kann Ergebnisse innerhalb des GuardDuty Netzwerks individuell anpassen, indem es Unterdrückungsregeln, Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten erstellt und verwaltet. In einer Umgebung mit mehreren Konten steht die Konfiguration dieser Funktionen nur einem delegierten GuardDuty Administratorkonto zur Verfügung. Ein Mitgliedskonto kann diese Konfiguration nicht aktualisieren.
In der folgenden Tabelle wird die Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten detailliert beschrieben.
**Schlüssel für die Tabelle**
+ **Selbst** — Ein Konto kann die aufgelistete Aktion nur für sein eigenes Konto ausführen.
+ **Beliebig** — Ein Konto kann die aufgelistete Aktion für jedes zugehörige Konto ausführen.
+ **Alle** — Ein Konto kann die aufgelistete Aktion ausführen und sie gilt für alle zugehörigen Konten. In der Regel handelt es sich bei dem Konto, das diese Aktion ausführt, um ein GuardDuty designiertes Administratorkonto
+ **Zellen mit Bindestrich (—) —** Tabellenzellen mit Bindestrich (—) weisen darauf hin, dass das Konto die aufgelistete Aktion nicht ausführen kann.
|
|
| **Action (Aktion)** | **Durch AWS Organizations** | **Auf Einladung** |
| --- |--- |--- |
| **Delegiertes GuardDuty Administratorkonto** | **Zugeordnetes Mitgliedskonto** | **GuardDuty Administratorkonto** | **Zugeordnetes Mitgliedskonto** |
| --- |--- |--- |--- |
| Aktivieren GuardDuty | Beliebig | – | Selbst | Selbst |
| GuardDuty Automatisch für die gesamte Organisation aktivieren (ALL,NEW,NONE) | Alle | – | – | – |
| Alle Mitgliedskonten von Organizations unabhängig vom GuardDuty Status anzeigen | Beliebig | – | – | – |
| Generieren Sie Beispielergebnisse | Selbst | Selbst | Selbst | Selbst |
| Alle GuardDuty Ergebnisse anzeigen | Beliebig | Selbst | Beliebig | Selbst |
| GuardDuty Ergebnisse archivieren | Beliebig | – | Beliebig | – |
| Anwenden von Unterdrückungsregeln | Alle | – | Alle | – |
| Erstellen Sie eine Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
| Aktualisieren Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
| Löschen Sie die Liste vertrauenswürdiger IP-Adressen oder Bedrohungslisten | Alle | – | Alle | – |
| Stellen Sie die Häufigkeit der EventBridge Benachrichtigungen ein | Alle | – | Alle | – |
| Festlegen des Amazon-S3-Standorts für den Export von Erkenntnissen | Alle | Selbst | Selbst | Selbst |
| Aktivieren Sie einen oder mehrere optionale Schutzpläne für die gesamte Organisation (`ALL`,`NEW`,`NONE`) Dies beinhaltet nicht den Malware-Schutz für S3. | Alle | – | – | – |
| Aktivieren Sie einen beliebigen GuardDuty Schutzplan für einzelne Konten Dies beinhaltet nicht Malware Protection for EC2 und Malware Protection for S3. | Beliebig | – | Beliebig | – |
| Malware-Schutz für EC2 | Beliebig | – | Selbst | – |
| Malware-Schutz für EC2 — Malware-Scan auf Abruf | Beliebig | Selbst | Selbst | Selbst |
| Malware-Schutz für S3 | – | Selbst | – | Selbst |
| Trennen Sie die Zuordnung eines Mitgliedskontos | Irgendein \$1 | – | Beliebig | – |
| Trennen Sie die Verbindung zu einem Administratorkonto | – | – | – | Selbst |
| Löschen Sie ein getrenntes Mitgliedskonto | Beliebig | – | Beliebig | – |
| Sperren GuardDuty | Irgendein \$1 | – | Irgendein \$1 | – |
| Deaktivieren GuardDuty | Irgendein \$1 | – | Irgendein \$1 | Selbst |
\$1 Zeigt an, dass das delegierte GuardDuty Administratorkonto diese Aktion nur ausführen kann, wenn es die Einstellungen für die automatische Aktivierung für `ALL` die Organisationsmitglieder nicht eingerichtet hat.
\$1 Weist darauf hin, dass ein delegiertes GuardDuty Administratorkonto nicht direkt GuardDuty in einem Mitgliedskonto deaktiviert werden kann. Das delegierte GuardDuty Administratorkonto muss zuerst die Zuordnung zum Mitgliedskonto aufheben und dann löschen. Danach kann jedes Mitgliedskonto GuardDuty in seinen eigenen Konten deaktiviert werden. Weitere Informationen zur Durchführung dieser Aufgaben in Ihrer Organisation finden Sie unter[Kontinuierliche Verwaltung Ihrer Mitgliedskonten innerhalb GuardDuty](maintaining-guardduty-organization-delegated-admin.md).
# GuardDuty Konten verwalten mit AWS Organizations
In einer AWS Organisation kann das Verwaltungskonto jedes Konto innerhalb dieser Organisation als delegiertes Administratorkonto festlegen. GuardDuty GuardDuty Wird für dieses Administratorkonto nur im aktuellen Konto automatisch aktiviert. AWS-Region Standardmäßig kann das Administratorkonto GuardDuty für alle Mitgliedskonten in der Organisation in dieser Region aktiviert und verwaltet werden. Das Administratorkonto kann Mitglieder dieser AWS Organisation anzeigen und ihr hinzufügen.
In den folgenden Abschnitten werden Sie durch verschiedene Aufgaben geführt, die Sie als delegiertes GuardDuty Administratorkonto ausführen können.
**Topics**
+ [Überlegungen und Empfehlungen zur Verwendung mit GuardDuty AWS Organizations](#delegated_admin_important)
+ [Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich](organizations_permissions.md)
+ [Benennen eines delegierten Administratorkontos GuardDuty](delegated-admin-designate.md)
+ [Einstellungen für die automatische Aktivierung von Organisationen festlegen](set-guardduty-auto-enable-preferences.md)
+ [Mitglieder zur Organisation hinzufügen](add-member-accounts-guardduty-organization.md)
+ [(Optional) Aktivieren Sie Schutzpläne für bestehende Mitgliedskonten](guardduty_quick_protection_plan_config.md)
+ [Kontinuierliche Verwaltung Ihrer Mitgliedskonten innerhalb GuardDuty](maintaining-guardduty-organization-delegated-admin.md)
+ [Sperrung GuardDuty für Mitgliedskonto](suspending-guardduty-member-account-from-admin.md)
+ [Mitgliedskonto vom Administratorkonto trennen (entfernen)](disassociate-remove-member-account-from-admin.md)
+ [Mitgliedskonten aus der GuardDuty Organisation löschen](delete-member-accounts-guardduty-organization.md)
+ [Das delegierte GuardDuty Administratorkonto ändern](change-guardduty-delegated-admin.md)
## Überlegungen und Empfehlungen zur Verwendung mit GuardDuty AWS Organizations
Die folgenden Überlegungen und Empfehlungen können Ihnen helfen zu verstehen, wie ein delegiertes GuardDuty Administratorkonto funktioniert in GuardDuty:
**Ein delegiertes GuardDuty Administratorkonto kann maximal 50.000 Mitglieder verwalten.**
Es gibt ein Limit von 50.000 Mitgliedskonten pro delegiertem GuardDuty Administratorkonto. Dies schließt Mitgliedskonten ein, die über die Einladung des Administratorkontos zum Beitritt zu ihrer Organisation hinzugefügt wurden, AWS Organizations oder solche, die die Einladung des GuardDuty Administratorkontos angenommen haben. In Ihrer AWS Organisation kann es jedoch mehr als 50.000 Konten geben.
Wenn Sie das Limit von 50.000 Mitgliedskonten überschreiten, erhalten Sie eine Benachrichtigung von CloudWatch Health Dashboard, und eine E-Mail an das angegebene delegierte GuardDuty Administratorkonto.
**Bei einem delegierten GuardDuty Administratorkonto handelt es sich um ein regionales Konto.**
Im Gegensatz AWS Organizations dazu GuardDuty handelt es sich um einen Regionaldienst. Die delegierten GuardDuty Administratorkonten und ihre Mitgliedskonten müssen AWS Organizations in jeder gewünschten Region, in der Sie sie GuardDuty aktiviert haben, hinzugefügt werden. Wenn das Organisationsverwaltungskonto ein delegiertes GuardDuty Administratorkonto nur für USA Ost (Nord-Virginia) festlegt, verwaltet das delegierte GuardDuty Administratorkonto nur Mitgliedskonten, die der Organisation in dieser Region hinzugefügt wurden. Weitere Informationen zur Funktionsparität in Regionen, in denen GuardDuty sie verfügbar ist, finden Sie unter. [Regionen und Endpunkte](guardduty_regions.md)
**Sonderfälle für Opt-in-Regionen**
+ Wenn sich ein delegiertes GuardDuty Administratorkonto von einer Opt-in-Region abmeldet, GuardDuty kann es für kein Mitgliedskonto in der Organisation aktiviert werden, das derzeit deaktiviert ist, auch wenn in Ihrer Organisation die Konfiguration für die GuardDuty automatische Aktivierung entweder auf nur neue Mitgliedskonten (`NEW``ALL`) oder auf alle Mitgliedskonten () eingestellt ist. GuardDuty Informationen zur Konfiguration Ihrer Mitgliedskonten finden Sie im Navigationsbereich der [GuardDuty Konsole](https://console.aws.amazon.com/guardduty/) unter **Konten** oder verwenden Sie die API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)
+ Wenn Sie mit der Konfiguration für GuardDuty automatische Aktivierung arbeiten, stellen Sie sicher`NEW`, dass die folgende Reihenfolge eingehalten wird:
1. Die Mitgliedskonten melden sich für eine Opt-in-Region an.
1. Fügen Sie die Mitgliedskonten Ihrer Organisation in hinzu. AWS Organizations
Wenn Sie die Reihenfolge dieser Schritte ändern, funktioniert die Einstellung für die GuardDuty automatische Aktivierung mit `NEW` in der jeweiligen Opt-in-Region **nicht** mehr, da das Mitgliedskonto für die Organisation nicht mehr neu ist. GuardDuty bietet zwei alternative Lösungen:
+ Stellen Sie die Konfiguration für die GuardDuty automatische Aktivierung auf ein`ALL`, die neue und bestehende Mitgliedskonten einschließt. In diesem Fall ist die Reihenfolge dieser Schritte nicht relevant.
+ Wenn ein Mitgliedskonto bereits Teil Ihrer Organisation ist, verwalten Sie die GuardDuty Konfiguration für dieses Konto individuell in der jeweiligen Opt-in-Region mithilfe der GuardDuty Konsole oder der API.
**Erforderlich, damit eine AWS Organisation für alle über dasselbe delegierte GuardDuty Administratorkonto verfügt. AWS-Regionen**
Sie müssen ein Mitgliedskonto als delegiertes GuardDuty Administratorkonto für alle aktivierten AWS-Regionen Bereiche GuardDuty festlegen. Wenn Sie beispielsweise ein Mitgliedskonto *111122223333* in angeben*Europe (Ireland)*, können Sie kein anderes Mitgliedskonto in angeben. *555555555555* *Canada (Central)* Es ist erforderlich, dass Sie in allen anderen Regionen dasselbe Konto wie das delegierte GuardDuty Administratorkonto verwenden.
Sie können jederzeit ein neues delegiertes GuardDuty Administratorkonto einrichten. Weitere Informationen zum Entfernen des vorhandenen delegierten GuardDuty Administratorkontos finden Sie unter. [Das delegierte GuardDuty Administratorkonto ändern](change-guardduty-delegated-admin.md)
**Es wird nicht empfohlen, das Verwaltungskonto Ihrer Organisation als delegiertes GuardDuty Administratorkonto festzulegen.**
Das Verwaltungskonto Ihrer Organisation kann das delegierte GuardDuty Administratorkonto sein. Die bewährten AWS -Sicherheitsmethoden folgen jedoch dem Prinzip der geringsten Berechtigung und empfehlen diese Konfiguration nicht.
**Durch das Ändern eines delegierten GuardDuty Administratorkontos werden Mitgliedskonten nicht deaktiviert GuardDuty .**
Wenn Sie ein delegiertes GuardDuty Administratorkonto entfernen, werden alle Mitgliedskonten GuardDuty entfernt, die diesem delegierten GuardDuty Administratorkonto zugeordnet sind. GuardDuty bleibt weiterhin für all diese Mitgliedskonten aktiviert.
# Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich
Um GuardDuty mit der Nutzung von Amazon zu beginnen AWS Organizations, bestimmt das AWS Organizations Verwaltungskonto der Organisation ein Konto als delegiertes GuardDuty Administratorkonto. Dies wird GuardDuty als vertrauenswürdiger Service in aktiviert. AWS Organizations Es aktiviert GuardDuty auch das delegierte GuardDuty Administratorkonto und ermöglicht es dem delegierten Administratorkonto, andere Konten in der Organisation in der aktuellen Region zu aktivieren und zu verwalten GuardDuty . Informationen darüber, wie diese Berechtigungen gewährt werden, finden Sie unter Zusammen [AWS Organizations mit anderen AWS Diensten verwenden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).
Bevor Sie das delegierte GuardDuty Administratorkonto für Ihre Organisation als AWS Organizations Verwaltungskonto festlegen, stellen Sie sicher, dass Sie die folgende GuardDuty Aktion ausführen können:. `guardduty:EnableOrganizationAdminAccount` Mit dieser Aktion können Sie das delegierte GuardDuty Administratorkonto für Ihre Organisation festlegen, indem Sie GuardDuty Sie müssen außerdem sicherstellen, dass Sie die AWS Organizations Aktionen ausführen dürfen, mit denen Sie Informationen über Ihre Organisation abrufen können.
Um diese Berechtigungen zu gewähren, fügen Sie die folgende Erklärung in eine AWS Identity and Access Management (IAM-) Richtlinie für Ihr Konto ein:
```
{
"Sid": "PermissionsForGuardDutyAdmin",
"Effect": "Allow",
"Action": [
"guardduty:EnableOrganizationAdminAccount",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
}
```
Wenn Sie Ihr AWS Organizations Verwaltungskonto als delegiertes GuardDuty Administratorkonto festlegen möchten, benötigt Ihr Konto auch die IAM-Aktion:. `CreateServiceLinkedRole` Mit dieser Aktion können Sie das Verwaltungskonto initialisieren GuardDuty . Überprüfen Sie dies jedoch, [Überlegungen und Empfehlungen zur Verwendung mit GuardDuty AWS Organizations](guardduty_organizations.md#delegated_admin_important) bevor Sie die Berechtigungen hinzufügen.
Um mit der Festlegung des Verwaltungskontos als delegiertes GuardDuty Administratorkonto fortzufahren, fügen Sie der IAM-Richtlinie die folgende Anweisung hinzu und *111122223333* ersetzen Sie sie durch die AWS-Konto ID des Verwaltungskontos Ihrer Organisation:
```
{
"Sid": "PermissionsToEnableGuardDuty"
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
}
```
# Benennen eines delegierten Administratorkontos GuardDuty
Dieser Abschnitt enthält Schritte zur Benennung eines delegierten Administrators in der Organisation. GuardDuty
Stellen Sie als Verwaltungskonto der AWS Organisation sicher, dass Sie sich die Informationen zur Funktionsweise eines delegierten GuardDuty Administratorkontos durchlesen. [Überlegungen und Empfehlungen](guardduty_organizations.md#delegated_admin_important) Bevor Sie fortfahren, stellen Sie sicher, dass Sie [Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich](organizations_permissions.md)
Wählen Sie eine bevorzugte Zugriffsmethode, um ein delegiertes GuardDuty Administratorkonto für Ihre Organisation festzulegen. Nur ein Verwaltungskonto kann diesen Schritt ausführen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Um sich anzumelden, verwenden Sie die Anmeldeinformationen für das Verwaltungskonto Ihrer AWS Organizations Organisation.
1. Wählen Sie mithilfe der AWS-Region Auswahltaste in der oberen rechten Ecke der Seite die Region aus, in der Sie das delegierte GuardDuty Administratorkonto für Ihre Organisation festlegen möchten.
1. Führen Sie je nachdem, ob das Konto für Ihr Verwaltungskonto in der aktuellen GuardDuty Region aktiviert ist, einen der folgenden Schritte aus:
+ Falls nicht GuardDuty aktiviert, wählen Sie **Amazon GuardDuty — all features** und wählen Sie **Get started**. Diese Aktion führt Sie zur GuardDuty Seite **Willkommen** auf.
+ Wenn GuardDuty aktiviert, wählen Sie im Navigationsbereich **Einstellungen** aus.
1. Geben Sie unter **Delegierter Administrator** die 12-stellige AWS-Konto ID des Kontos ein, das Sie als delegiertes GuardDuty Administratorkonto für die Organisation festlegen möchten.
Stellen Sie sicher, dass Sie GuardDuty die Aktivierung für Ihr neu benanntes delegiertes GuardDuty Administratorkonto vornehmen, da es sonst keine Aktion ausführen kann.
1. Wählen Sie **Delegieren**.
1. (Empfohlen) Wiederholen Sie die vorherigen Schritte, um das delegierte GuardDuty Administratorkonto für jedes Konto festzulegen, das Sie AWS-Region aktiviert haben. GuardDuty
------
#### [ API/CLI ]
1. Führen Sie die Ausführung [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)mit den Anmeldeinformationen AWS-Konto des Verwaltungskontos der Organisation aus.
+ Alternativ können Sie AWS Command Line Interface dies verwenden. Der folgende AWS CLI Befehl bestimmt ein delegiertes GuardDuty Administratorkonto nur für Ihre aktuelle Region. Führen Sie den folgenden AWS CLI Befehl aus und achten Sie darauf, ihn durch die AWS-Konto ID des Kontos zu *111111111111* ersetzen, das Sie als delegiertes Administratorkonto festlegen möchten: GuardDuty
```
aws guardduty enable-organization-admin-account --admin-account-id 111111111111
```
Um das delegierte GuardDuty Administratorkonto für andere Regionen festzulegen, geben Sie die Region im Befehl an. AWS CLI Das folgende Beispiel zeigt, wie ein delegiertes GuardDuty Administratorkonto in US West (Oregon) aktiviert wird. Stellen Sie sicher, dass Sie es durch die Region *us-west-2* ersetzen, für die Sie das delegierte GuardDuty Administratorkonto zuweisen möchten.
```
aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
```
Informationen darüber, AWS-Regionen wo verfügbar GuardDuty ist, finden Sie unter[Regionen und Endpunkte](guardduty_regions.md).
Wenn GuardDuty es für Ihr delegiertes GuardDuty Administratorkonto deaktiviert ist, kann es keine Aktion ausführen. Falls dies noch nicht geschehen ist, stellen Sie sicher, dass Sie die Aktivierung GuardDuty für das neu festgelegte delegierte GuardDuty Administratorkonto vorgenommen haben.
1. (Empfohlen) Wiederholen Sie die vorherigen Schritte, um das delegierte GuardDuty Administratorkonto AWS-Region in allen Bereichen zuzuweisen, die Sie aktiviert haben. GuardDuty
------
# Einstellungen für die automatische Aktivierung von Organisationen festlegen
GuardDuty Mit der Funktion zur automatischen Aktivierung von Organisationen in können Sie in einem einzigen Schritt den gleichen GuardDuty und den Status der Schutzpläne für `ALL` bestehende Konten oder `NEW` Mitgliedskonten in Ihrer Organisation festlegen. In ähnlicher Weise können Sie auch angeben, wann Sie keine Maßnahmen für die Mitgliedskonten ergreifen möchten, indem Sie wählen`NONE`. In den folgenden Schritten werden diese Einstellungen erklärt und es wird auch angegeben, wann Sie eine bestimmte Einstellung verwenden möchten.
**Anmerkung**
Sie können Einstellungen für die automatische Aktivierung für alle Schutzpläne festlegen, mit Ausnahme [Malware-Schutz für S3](gdu-malware-protection-s3.md) von.
Wählen Sie eine bevorzugte Zugriffsmethode, um die Einstellungen für die automatische Aktivierung für die Organisation zu aktualisieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
Verwenden Sie die Anmeldeinformationen des GuardDuty Administratorkontos, um sich anzumelden.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
Auf der Seite **Konten** finden Sie Konfigurationsoptionen für das GuardDuty Administratorkonto zur **automatischen Aktivierung** GuardDuty sowie optionale Schutzpläne für die Mitgliedskonten, die zur Organisation gehören.
1. Um die vorhandenen Einstellungen für die automatische Aktivierung zu aktualisieren, wählen Sie **Bearbeiten**.
![\[Wählen Sie Bearbeiten, um die Einstellungen für die automatische Aktivierung im Namen der Mitgliedskonten in der Organisation zu aktualisieren.\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)
Dieser Support kann konfiguriert werden, GuardDuty ebenso wie alle unterstützten optionalen Schutzpläne in Ihrem AWS-Region. Sie können im Namen Ihrer Mitgliedskonten eine der folgenden Konfigurationsoptionen auswählen: GuardDuty
+ **Für alle Konten aktivieren (`ALL`)** — Wählen Sie diese Option, um die entsprechende Option für alle Konten in einer Organisation zu aktivieren. Dazu gehören neue Konten, die der Organisation beitreten, und Konten, die möglicherweise gesperrt oder aus der Organisation entfernt wurden. Dazu gehört auch das delegierte GuardDuty Administratorkonto.
**Anmerkung**
Es kann bis zu 24 Stunden dauern, bis die Konfiguration für alle Mitgliedskonten aktualisiert ist.
+ **Automatische Aktivierung für neue Konten (`NEW`)** — Wählen Sie aus, GuardDuty ob die optionalen Schutzpläne nur für neue Mitgliedskonten automatisch aktiviert werden sollen, wenn diese Ihrer Organisation beitreten.
+ **Nicht aktivieren (`NONE`)** — Wählen Sie diese Option, um zu verhindern, dass die entsprechende Option für neue Konten in Ihrer Organisation aktiviert wird. In diesem Fall verwaltet das GuardDuty Administratorkonto jedes Konto einzeln.
Wenn Sie die Einstellung für die automatische Aktivierung von `ALL` oder `NEW` auf aktualisieren`NONE`, deaktiviert diese Aktion nicht die entsprechende Option für Ihre vorhandenen Konten. Diese Konfiguration gilt für die neuen Konten, die der Organisation beitreten. Nachdem Sie die Einstellungen für die automatische Aktivierung aktualisiert haben, wird die entsprechende Option für kein neues Konto aktiviert sein.
**Anmerkung**
Wenn sich ein delegiertes GuardDuty Administratorkonto von einer Opt-in-Region abmeldet, GuardDuty kann es für kein Mitgliedskonto in der Organisation aktiviert werden, das derzeit deaktiviert ist, auch wenn in Ihrer Organisation die Konfiguration für die GuardDuty automatische Aktivierung entweder auf nur neue Mitgliedskonten (`NEW``ALL`) oder auf alle Mitgliedskonten () eingestellt ist. GuardDuty Informationen zur Konfiguration Ihrer Mitgliedskonten finden Sie im Navigationsbereich der [GuardDuty Konsole](https://console.aws.amazon.com/guardduty/) unter **Konten** oder verwenden Sie die API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)
1. Wählen Sie **Änderungen speichern ** aus.
1. (Optional) Wenn Sie in jeder Region dieselben Einstellungen verwenden möchten, aktualisieren Sie Ihre Einstellungen in jeder der unterstützten Regionen separat.
Einige der optionalen Schutzpläne sind möglicherweise nicht überall verfügbar, AWS-Regionen wo sie verfügbar GuardDuty sind. Weitere Informationen finden Sie unter [Regionen und Endpunkte](guardduty_regions.md).
------
#### [ API/CLI ]
1. Verwenden Sie [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)die Anmeldeinformationen des delegierten GuardDuty Administratorkontos, um automatisch optionale Schutzpläne in dieser Region für Ihr Unternehmen zu konfigurieren GuardDuty . Informationen zu den verschiedenen Konfigurationen für die automatische Aktivierung finden Sie unter [autoEnableOrganizationMitglieder](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers).
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
Um die Einstellungen für die automatische Aktivierung für einen der unterstützten optionalen Schutzpläne in Ihrer Region festzulegen, folgen Sie den Schritten in den entsprechenden Dokumentationsabschnitten der einzelnen Schutzpläne.
1. Sie können die Einstellungen für Ihre Organisation in der aktuellen Region überprüfen. Führen Sie [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html). Stellen Sie sicher, dass Sie die Melder-ID des delegierten GuardDuty Administratorkontos angeben.
**Anmerkung**
Die Aktualisierung der Konfiguration aller Mitgliedskonten kann bis zu 24 Stunden dauern.
1. Führen Sie alternativ den folgenden AWS CLI Befehl aus, um die Einstellungen so festzulegen, dass GuardDuty in dieser Region automatisch neue Konten (`NEW`), die der Organisation beitreten, alle Konten (`ALL`) oder keines der Konten (`NONE`) in der Organisation aktiviert oder deaktiviert werden. Weitere Informationen finden Sie unter [autoEnableOrganizationMitglieder](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers). Je nach Ihren Einstellungen müssen Sie möglicherweise `NEW` durch `ALL` oder `NONE` ersetzen. Wenn Sie den Schutzplan mit konfigurieren`ALL`, wird der Schutzplan auch für das delegierte GuardDuty Administratorkonto aktiviert. Stellen Sie sicher, dass Sie die Melder-ID des delegierten GuardDuty Administratorkontos angeben, das die Organisationskonfiguration verwaltet.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
```
1. Sie können die Einstellungen für Ihre Organisation in der aktuellen Region überprüfen. Führen Sie den folgenden AWS CLI Befehl aus, indem Sie die Detektor-ID des delegierten GuardDuty Administratorkontos verwenden.
```
aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
```
(Empfohlen) Wiederholen Sie die vorherigen Schritte in jeder Region, indem Sie die Detektor-ID für das delegierte GuardDuty Administratorkonto verwenden.
**Anmerkung**
Wenn sich ein delegiertes GuardDuty Administratorkonto von einer Opt-in-Region abmeldet, GuardDuty kann es für kein Mitgliedskonto in der Organisation aktiviert werden, das derzeit deaktiviert ist, auch wenn in Ihrer Organisation die Konfiguration für die GuardDuty automatische Aktivierung entweder auf nur neue Mitgliedskonten (`NEW``ALL`) oder auf alle Mitgliedskonten () eingestellt ist. GuardDuty Informationen zur Konfiguration Ihrer Mitgliedskonten finden Sie im Navigationsbereich der [GuardDuty Konsole](https://console.aws.amazon.com/guardduty/) unter **Konten** oder verwenden Sie die API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)
------
# Mitglieder zur Organisation hinzufügen
Als delegiertes GuardDuty Administratorkonto können Sie der GuardDuty Organisation ein oder mehrere AWS-Konten Konten hinzufügen. Wenn Sie ein Konto als GuardDuty Mitglied hinzufügen, wird es automatisch in dieser Region GuardDuty aktiviert. Es gibt eine Ausnahme für das Organisationsverwaltungskonto. Bevor das Verwaltungskonto als GuardDuty Mitglied hinzugefügt werden kann, muss es GuardDuty aktiviert worden sein.
Wählen Sie eine bevorzugte Methode, um Ihrer GuardDuty Organisation ein Mitgliedskonto hinzuzufügen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Verwenden Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto, um sich anzumelden.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
In der Kontentabelle werden alle Mitgliedskonten angezeigt, die aktiv (nicht gesperrt AWS-Konten) sind und möglicherweise dem delegierten GuardDuty Administratorkonto zugeordnet sind. Wenn das Mitgliedskonto mit dem Administratorkonto der Organisation verknüpft ist, ist der **Typ** einer der folgenden: **Über Organizations** oder **Auf Einladung**. Wenn ein Mitgliedskonto nicht mit dem GuardDuty Administratorkonto der Organisation verknüpft ist, lautet der **Typ** dieses Mitgliedskontos **Kein Mitglied**.
1. Wählen Sie ein oder mehrere Konten aus IDs , die Sie als Mitglieder hinzufügen möchten. Diese Konten IDs müssen den **Typ** **Via Organizations** haben.
Konten, die auf Einladung hinzugefügt werden, gehören nicht zu Ihrer Organisation. Sie können solche Konten einzeln verwalten. Weitere Informationen finden Sie unter [Verwalten von Konten auf Einladung](guardduty_invitations.md).
1. Wählen Sie das Drop-down-Menü **Aktionen** und dann **Mitglied hinzufügen** aus. Nachdem Sie dieses Konto als Mitglied hinzugefügt haben, gilt die GuardDuty Konfiguration für die automatische Aktivierung. Je nach den Einstellungen in kann [Einstellungen für die automatische Aktivierung von Organisationen festlegen](set-guardduty-auto-enable-preferences.md) sich die GuardDuty Konfiguration dieser Konten ändern.
1. Sie können den Abwärtspfeil in der Spalte **Status** auswählen, um die Konten nach dem Status **Kein Mitglied** zu sortieren, und dann jedes Konto auswählen, das in der aktuellen Region nicht GuardDuty aktiviert wurde.
Wenn noch keines der in der Kontentabelle aufgelisteten Konten als Mitglied hinzugefügt wurde, können Sie es GuardDuty in der aktuellen Region für alle Organisationskonten aktivieren. Wählen Sie im Banner oben auf der Seite **Aktivieren** aus. Durch diese Aktion wird automatisch die GuardDuty Konfiguration **„Automatische Aktivierung**“ aktiviert, sodass sie für jedes neue Konto aktiviert GuardDuty wird, das der Organisation beitritt.
1. Wählen Sie **Bestätigen**, um die Konten als Mitglieder hinzuzufügen. Diese Aktion ist auch GuardDuty für alle ausgewählten Konten aktiviert. Der **Status** für die eingeladenen Konten ändert sich in **Aktiviert**.
1. (Empfohlen) Wiederholen Sie diese Schritte in jedem Schritt AWS-Region. Dadurch wird sichergestellt, dass das delegierte GuardDuty Administratorkonto Ergebnisse und andere Konfigurationen für Mitgliedskonten in allen Regionen verwalten kann, in denen Sie die GuardDuty Aktivierung aktiviert haben.
Die automatische Aktivierungsfunktion ist GuardDuty für alle future Mitglieder Ihrer Organisation aktiviert. Auf diese Weise kann Ihr delegiertes GuardDuty Administratorkonto alle neuen Mitglieder verwalten, die innerhalb der Organisation erstellt wurden oder der Organisation hinzugefügt werden. Wenn die Anzahl der Mitgliedskonten das Limit von 50.000 erreicht, wird die Funktion zur automatischen Aktivierung automatisch deaktiviert. Wenn Sie ein Mitgliedskonto entfernen und die Gesamtzahl der Mitglieder auf weniger als 50.000 sinkt, wird die Funktion zur automatischen Aktivierung wieder aktiviert.
------
#### [ API/CLI ]
+ Führen Sie [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)die Ausführung mit den Anmeldeinformationen des delegierten GuardDuty Administratorkontos aus.
Sie müssen die regionale Detektor-ID des delegierten GuardDuty Administratorkontos und die Kontodetails (AWS-Konto IDs und die entsprechenden E-Mail-Adressen) der Konten angeben, die Sie als GuardDuty Mitglieder hinzufügen möchten. Sie können mit dieser API-Operation ein oder mehrere Mitglieder erstellen.
Wenn Sie CreateMembers in Ihrer Organisation aktiv sind, gelten die Einstellungen für die automatische Aktivierung für neue Mitglieder, sobald neue Mitgliedskonten Ihrer Organisation beitreten. Wenn Sie CreateMembers mit einem bestehenden Mitgliedskonto arbeiten, gilt die Organisationskonfiguration auch für die vorhandenen Mitglieder. Dies könnte die aktuelle Konfiguration der vorhandenen Mitgliedskonten ändern.
Führen Sie [https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)die *AWS Organizations API-Referenz* aus, um alle Konten in der AWS Organisation anzuzeigen.
+ Alternativ können Sie verwenden AWS Command Line Interface. Führen Sie den folgenden AWS CLI -Befehl aus und stellen Sie sicher, dass Sie Ihre eigene gültige Detektor-ID und die mit der AWS-Konto -ID verknüpfte E-Mail-Adresse verwenden.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com
```
Sie können eine Liste aller Organisationsmitglieder anzeigen, indem Sie den folgenden AWS CLI Befehl ausführen:
```
aws organizations list-accounts
```
Nachdem Sie dieses Konto als Mitglied hinzugefügt haben, gilt die GuardDuty Konfiguration für die automatische Aktivierung.
------
# (Optional) Aktivieren Sie Schutzpläne für bestehende Mitgliedskonten
Das folgende Verfahren umfasst Schritte zum Aktivieren von Schutzplänen für bestehende Mitgliedskonten mithilfe der **Kontoseite**. Die Schritte dazu mithilfe der API oder AWS CLI finden Sie in den Dokumenten zum jeweiligen Schutzplan.
Auf der Seite Konten können Sie Schutzpläne für einzelne **Konten** aktivieren.
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Verwenden Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie das Konto aus, für das Sie einen Schutzplan konfigurieren möchten. Wiederholen Sie die folgenden Schritte für jeden Schutzplan, den Sie konfigurieren möchten:
1. Wählen Sie **Schutzpläne bearbeiten** aus.
1. Wählen Sie aus der Liste der Schutzpläne einen Schutzplan aus, den Sie konfigurieren möchten.
1. Wählen Sie eine der Aktionen aus, die Sie für diesen Schutzplan ausführen möchten, und klicken Sie dann auf **Bestätigen**.
1. Für das ausgewählte Konto wird in der Spalte, die dem konfigurierten Schutzplan entspricht, die aktualisierte Konfiguration als **Aktiviert** oder **Nicht aktiviert** angezeigt.
# Kontinuierliche Verwaltung Ihrer Mitgliedskonten innerhalb GuardDuty
Als delegiertes GuardDuty Administratorkonto sind Sie dafür verantwortlich, die Konfiguration GuardDuty und die optionalen Schutzpläne für alle Konten in Ihrer Organisation in allen unterstützten Konten aufrechtzuerhalten. AWS-Region In den folgenden Abschnitten finden Sie die Optionen zur Beibehaltung des Konfigurationsstatus der optionalen Schutzpläne GuardDuty oder der zugehörigen optionalen Schutzpläne:
**Um den Konfigurationsstatus Ihrer gesamten Organisation in jeder Region aufrechtzuerhalten**
+ **Legen Sie mithilfe der GuardDuty Konsole Einstellungen für die automatische Aktivierung für die gesamte Organisation** fest — Sie können die GuardDuty automatische Aktivierung entweder für alle (`ALL`) Mitglieder der Organisation oder für neue (`NEW`) Mitglieder, die der Organisation beitreten, aktivieren oder festlegen, dass (`NONE`) keines der Mitglieder der Organisation automatisch aktiviert wird.
Sie können auch dieselben oder unterschiedliche Einstellungen für alle darin enthaltenen Schutzpläne konfigurieren. GuardDuty
Es kann bis zu 24 Stunden dauern, bis die Konfiguration für alle Mitgliedskonten in der Organisation aktualisiert ist.
+ **Aktualisieren Sie die Einstellungen für die automatische Aktivierung mithilfe von API** — Run [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html), um die automatische Konfiguration GuardDuty und die optionalen Schutzpläne für das Unternehmen zu konfigurieren. Wenn Sie ausführen [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html), um neue Mitgliedskonten in Ihrer Organisation hinzuzufügen, werden die konfigurierten Einstellungen automatisch angewendet. Wenn Sie CreateMembers mit einem vorhandenen Mitgliedskonto arbeiten, gilt die Organisationskonfiguration auch für die vorhandenen Mitglieder. Dies könnte die aktuelle Konfiguration der vorhandenen Mitgliedskonten ändern.
Um alle Konten in Ihrer Organisation anzuzeigen, führen Sie [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)den Befehl *AWS Organizations API-Referenz* aus.
**Um den Konfigurationsstatus für Mitgliedskonten in jeder Region einzeln beizubehalten**
+ Um alle Konten in Ihrer Organisation anzuzeigen, führen Sie [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)den Befehl *AWS Organizations API-Referenz* aus.
+ Wenn Sie möchten, dass ausgewählte Mitgliedskonten einen anderen Konfigurationsstatus haben, führen Sie den Vorgang [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)für jedes Mitgliedskonto einzeln aus.
Sie können die GuardDuty Konsole verwenden, um dieselbe Aufgabe auszuführen, indem Sie in der GuardDuty Konsole zur Seite **Konten** navigieren.
Informationen zur Aktivierung von Schutzplänen für einzelne Konten mithilfe der Konsole oder der API finden Sie auf der Konfigurationsseite für den entsprechenden Schutzplan.
# Sperrung GuardDuty für Mitgliedskonto
Als delegiertes GuardDuty Administratorkonto können Sie den GuardDuty Dienst für ein Mitgliedskonto in Ihrer Organisation sperren. Wenn Sie dies tun, verbleibt das Mitgliedskonto weiterhin in Ihrer GuardDuty Organisation. Sie können es GuardDuty für diese Mitgliedskonten auch zu einem späteren Zeitpunkt wieder aktivieren. Wenn Sie dieses Mitgliedskonto jedoch irgendwann trennen (entfernen) möchten, müssen Sie, **nachdem** Sie die Schritte in diesem Abschnitt ausgeführt haben, die Schritte unter befolgen. [Mitgliedskonto vom Administratorkonto trennen (entfernen)](disassociate-remove-member-account-from-admin.md)
Wenn Sie ein Mitgliedskonto sperren GuardDuty , können Sie mit den folgenden Änderungen rechnen:
+ GuardDuty überwacht nicht mehr die Sicherheit der AWS Umwelt oder generiert neue Erkenntnisse.
+ Die vorhandenen Ergebnisse im Mitgliedskonto bleiben erhalten.
+ Für ein GuardDuty gesperrtes Mitgliedskonto fallen keine Gebühren an. GuardDuty
Wenn das Mitgliedskonto Malware Protection for S3 für einen oder mehrere Buckets in seinem Konto aktiviert hat, hat die Sperrung GuardDuty keine Auswirkungen auf die Konfiguration von Malware Protection for S3. Für das Mitgliedskonto fallen weiterhin die Nutzungskosten für Malware Protection for S3 an. Damit das Mitgliedskonto Malware Protection for S3 nicht mehr nutzen kann, muss es diese Funktion für die geschützten Buckets deaktivieren. Weitere Informationen finden Sie unter [Malware-Schutz für S3 für einen geschützten Bucket deaktivieren](disable-malware-s3-protected-bucket.md).
Wählen Sie eine bevorzugte Methode GuardDuty zur Sperrung eines Mitgliedskontos in Ihrer Organisation.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Verwenden Sie zur Anmeldung die Anmeldeinformationen des delegierten GuardDuty Administratorkontos.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie auf der Seite Konten ein oder mehrere Konten aus, für die Sie eine Sperrung vornehmen möchten. GuardDuty
1. Wählen Sie das Dropdownmenü „**Aktionen**“ und dann „** GuardDutySperren**“.
1. Wählen Sie „**Sperren**“ GuardDuty, um die Auswahl zu bestätigen.
Dadurch wird der **Status** des Mitgliedskontos auf **Deaktiviert (gesperrt)** geändert.
Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie die Zuordnung zum Mitgliedskonto aufheben oder entfernen möchten.
------
#### [ API ]
1. Verwenden Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API, um die Konto-ID des Mitgliedskontos abzurufen GuardDuty, für das Sie die Sperre sperren möchten. Nehmen Sie den `OnlyAssociated` Parameter in Ihre Anfrage auf. Wenn Sie den Wert dieses Parameters auf setzen`true`, wird ein `members` Array GuardDuty zurückgegeben, das nur Details zu den Konten enthält, die derzeit GuardDuty Mitglieder sind.
Alternativ können Sie AWS Command Line Interface (AWS CLI) verwenden, um den folgenden Befehl auszuführen:
```
aws guardduty list-members --only-associated true --region us-east-1
```
Ersetzen Sie es *us-east-1* durch die Region, in der Sie GuardDuty das Konto sperren möchten.
1. Um ein oder mehrere GuardDuty Mitgliedskonten [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html)zu sperren, führe den Befehl Sperren GuardDuty für ein Mitgliedskonto aus.
Alternativ können Sie AWS CLI den folgenden Befehl ausführen:
```
aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
```
Ersetzen Sie es *us-east-1* durch die Region, in der Sie dieses Konto sperren möchten. Wenn Sie eine Liste mit Konten haben IDs, die Sie entfernen möchten, trennen Sie sie durch ein Leerzeichen.
------
Wenn Sie die Zuordnung zu diesem Mitgliedskonto weiter aufheben (entfernen) möchten, folgen Sie den Schritten unter[Mitgliedskonto vom Administratorkonto trennen (entfernen)](disassociate-remove-member-account-from-admin.md).
# Mitgliedskonto vom Administratorkonto trennen (entfernen)
Wenn Sie die Konfiguration der GuardDuty Einstellungen und den Zugriff auf die Daten eines Mitgliedskontos beenden möchten, entfernen Sie dieses Konto als GuardDuty Mitgliedskonto. Sie können dies tun, indem Sie dieses Konto vom GuardDuty Administratorkonto trennen (entfernen).
Wenn Sie die Zuordnung zu einem GuardDuty Mitgliedskonto aufheben, passiert Folgendes:
+ GuardDuty bleibt für das aktuelle Konto aktiviert AWS-Region, aber das Konto wird vom GuardDuty delegierten Administratorkonto getrennt.
+ Das getrennte Konto wird weiterhin im Kontoinventar angezeigt.
+ Das GuardDuty Administratorkonto hat keinen Zugriff mehr auf die Ergebnisse dieses eigenständigen Kontos.
+ Der Kontoinhaber wird nicht über die Trennung der Verbindung informiert.
Sie können das getrennte Konto zu einem späteren Zeitpunkt wieder zu Ihrer Organisation hinzufügen.
Wählen Sie eine bevorzugte Methode, um ein Mitgliedskonto von Ihrer Organisation zu trennen (zu entfernen).
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
Verwenden Sie zur Anmeldung die Anmeldeinformationen des delegierten GuardDuty Administratorkontos.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. In der Tabelle **Konten** können Sie ein Konto entfernen, dessen **Typ** auf **Via Organizations** und der **Status** auf **Aktiviert gesetzt ist**.
Wählen Sie ein oder mehrere Konten mit demselben **Typ** und **Status** aus.
1. Wählen Sie im Dropdownmenü **Aktionen** die Option Konto **trennen aus.**
1. Wählen Sie **Konto trennen, um** Ihre Auswahl zu bestätigen.
1. Der **Statuswert** für die ausgewählten Konten wird auf **Kein Mitglied** geändert. Die **Anzahl der Via-Organisationen (aktiv/Alle)** in der oberen rechten Ecke der Kontoseite ändert sich entsprechend der Aktualisierung.
Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie die Zuordnung zum Mitgliedskonto aufheben möchten.
------
#### [ API ]
1. Verwenden Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API, um die Konto-ID für das Mitgliedskonto abzurufen, das Sie entfernen möchten. Nehmen Sie den `OnlyAssociated` Parameter in Ihre Anfrage auf. Wenn Sie den Wert dieses Parameters auf setzen`true`, wird ein `members` Array GuardDuty zurückgegeben, das nur Details zu den Konten enthält, die derzeit GuardDuty Mitglieder sind.
Alternativ können Sie AWS Command Line Interface (AWS CLI) verwenden, um den folgenden Befehl auszuführen:
```
aws guardduty list-members --only-associated true --region us-east-1
```
Ersetzen Sie es *us-east-1* durch die Region, aus der Sie dieses Konto entfernen möchten.
1. Um ein oder mehrere GuardDuty Mitgliedskonten zu entfernen, führen Sie den Befehl [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)zum Entfernen des Mitgliedskontos aus, das dem Administratorkonto zugeordnet ist.
Alternativ können Sie AWS CLI den folgenden Befehl ausführen:
```
aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
```
Ersetzen Sie es *us-east-1* durch die Region, aus der Sie dieses Konto entfernen möchten. Wenn Sie eine Liste mit Konten haben IDs, die Sie entfernen möchten, trennen Sie sie durch ein Leerzeichen.
------
# Mitgliedskonten aus der GuardDuty Organisation löschen
Als delegiertes GuardDuty Administratorkonto können Sie, nachdem Sie die Zuordnung zu einem Mitgliedskonto aufgehoben haben und dieses Mitgliedskonto nicht mehr in der GuardDuty Organisation behalten möchten, dieses Mitgliedskonto aus Ihrer GuardDuty Organisation löschen. Dieses Mitgliedskonto wird nicht mehr in Ihrem Kontoinventar angezeigt. Wenn es in diesem Mitgliedskonto jedoch nicht gesperrt GuardDuty wurde, bleiben die Konfiguration GuardDuty und die speziellen Schutzpläne unverändert. Dieses Konto wird nun zu einem eigenständigen Konto und kann GuardDuty sich selbst [deaktivieren](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html).
Durch diesen Schritt wird das Mitgliedskonto nicht aus Ihrer AWS Organisation gelöscht.
Wählen Sie eine bevorzugte Methode, um ein Mitgliedskonto aus Ihrer GuardDuty Organisation zu löschen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Verwenden Sie zur Anmeldung die Anmeldeinformationen des delegierten GuardDuty Administratorkontos.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. In der Tabelle **Konten** können Sie ein Konto entfernen, dessen **Typ** die Option **Über Organizations** und **den Status** **Entfernt (getrennt) hat**.
Wählen Sie ein oder mehrere Konten mit demselben **Typ** und **Status** aus.
1. Wählen Sie im Dropdownmenü **Aktionen** die Option **Konto löschen** aus.
1. Wählen Sie **Konten löschen**, um Ihre Auswahl zu bestätigen. Das ausgewählte Kontomitglied wird nicht mehr in Ihrer Kontentabelle angezeigt.
Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie dieses Mitgliedskonto löschen möchten.
------
#### [ API/CLI ]
1. Verwenden Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API, um die Konto-ID für das Mitgliedskonto abzurufen, das Sie löschen möchten. Nehmen Sie den `OnlyAssociated` Parameter in Ihre Anfrage auf. Wenn Sie den Wert dieses Parameters auf setzen, wird ein `members` Array GuardDuty zurückgegeben`false`, das nur Details zu den Konten enthält, bei denen es sich derzeit um GuardDuty Mitglieder handelt, deren Zuordnung aufgehoben wurde.
Alternativ können Sie AWS Command Line Interface (AWS CLI) verwenden, um den folgenden Befehl auszuführen:
```
aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
```
*12abc34d567e8fa901bc2d34EXAMPLE*Ersetzen Sie es durch die Erkennungs-ID für das delegierte GuardDuty Administratorkonto und *us-east-1* durch die Region, aus der Sie dieses Konto entfernen möchten.
1. Um ein oder mehrere GuardDuty Mitgliedskonten zu löschen, führen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)Befehl zum Löschen des Mitgliedskontos aus der GuardDuty Organisation aus.
Alternativ können Sie AWS CLI den folgenden Befehl ausführen:
```
aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
```
*12abc34d567e8fa901bc2d34EXAMPLE*Ersetzen Sie es durch die Erkennungs-ID für das delegierte GuardDuty Administratorkonto und *us-east-1* durch die Region, aus der Sie dieses Konto entfernen möchten. Wenn Sie eine Liste mit Konten haben IDs, die Sie entfernen möchten, trennen Sie sie durch ein Leerzeichen.
------
# Das delegierte GuardDuty Administratorkonto ändern
Sie können das delegierte GuardDuty Administratorkonto für Ihre Organisation in jeder Region entfernen und dann in jeder Region einen neuen Administrator delegieren. Um die Sicherheit der Mitgliedskonten Ihrer Organisation in einer Region aufrechtzuerhalten, benötigen Sie in dieser Region ein delegiertes GuardDuty Administratorkonto.
**Hinweis**
Bevor Sie ein delegiertes GuardDuty Administratorkonto entfernen, müssen Sie die Zuordnung aller Mitgliedskonten, die dem delegierten GuardDuty Administratorkonto zugeordnet sind, aufheben und sie anschließend aus der Organisation löschen. GuardDuty Weitere Informationen zu diesen Schritten finden Sie in den folgenden Dokumenten:
[Mitgliedskonto vom Administratorkonto trennen (entfernen)](disassociate-remove-member-account-from-admin.md)
[Mitgliedskonten aus der GuardDuty Organisation löschen](delete-member-accounts-guardduty-organization.md)
## Bestehendes delegiertes GuardDuty Administratorkonto wird entfernt
**Schritt 1 — Um ein vorhandenes delegiertes GuardDuty Administratorkonto in jeder Region zu entfernen**
1. Führen Sie als vorhandenes delegiertes GuardDuty Administratorkonto alle Mitgliedskonten auf, die Ihrem Administratorkonto zugeordnet sind. Führen Sie [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)mit`OnlyAssociated=false`.
1. Wenn die Einstellung Automatische Aktivierung für GuardDuty oder einen der optionalen Schutzpläne auf gesetzt ist, führen Sie den Befehl aus`ALL`, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)um die Organisationskonfiguration entweder auf `NEW` oder `NONE` zu aktualisieren. Diese Aktion verhindert, dass ein Fehler auftritt, wenn Sie im nächsten Schritt die Verknüpfung aller Mitgliedskonten aufheben.
1. Führen Sie aus [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html), um die Zuordnung aller Mitgliedskonten aufzuheben, die dem Administratorkonto zugeordnet sind.
1. Führen Sie aus [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html), um die Verknüpfungen zwischen dem Administratorkonto und den Mitgliedskonten zu löschen.
1. Führen Sie als Organisationsverwaltungskonto aus, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)um das vorhandene delegierte GuardDuty Administratorkonto zu entfernen.
1. Wiederholen Sie diese Schritte in allen Bereichen, in AWS-Region denen Sie über dieses delegierte GuardDuty Administratorkonto verfügen.
**Schritt 2 — So heben Sie die Registrierung eines bestehenden delegierten GuardDuty Administratorkontos in AWS Organizations (Einmalige globale Aktion) auf**
+ Führen Sie [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)die *AWS Organizations API-Referenz* aus, um das bestehende delegierte GuardDuty Administratorkonto in abzumelden. AWS Organizations
Alternativ können Sie den folgenden AWS CLI Befehl ausführen:
```
aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
```
Stellen Sie sicher, dass Sie es *111122223333* durch das vorhandene delegierte GuardDuty Administratorkonto ersetzen.
Nachdem Sie das alte delegierte GuardDuty Administratorkonto abgemeldet haben, können Sie es dem neuen delegierten GuardDuty Administratorkonto als Mitgliedskonto hinzufügen.
## Benennen eines neuen delegierten GuardDuty Administratorkontos in jeder Region
1. Weisen Sie in jeder Region ein neues delegiertes GuardDuty Administratorkonto zu, indem Sie Ihre bevorzugte Zugriffsmethode verwenden: GuardDuty Konsole oder API oder. AWS CLI Weitere Informationen finden Sie unter [Benennen eines delegierten Administratorkontos GuardDuty](delegated-admin-designate.md).
1. Führen Sie den [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)Befehl aus, um die aktuelle Konfiguration für die automatische Aktivierung für Ihre Organisation anzuzeigen.
**Wichtig**
Bevor Sie dem neuen delegierten GuardDuty Administratorkonto Mitglieder hinzufügen, müssen Sie die Konfiguration für die automatische Aktivierung für Ihre Organisation überprüfen. Diese Konfiguration ist spezifisch für das neue delegierte GuardDuty Administratorkonto und die ausgewählte Region und bezieht sich nicht auf. AWS Organizations Wenn Sie (ein neues oder ein vorhandenes) Mitgliedskonto einer Organisation unter dem neuen delegierten GuardDuty Administratorkonto hinzufügen, gilt die automatische Aktivierungskonfiguration des neuen delegierten GuardDuty Administratorkontos zum Zeitpunkt der Aktivierung GuardDuty oder eines seiner optionalen Schutzpläne.
Ändern Sie die Organisationskonfiguration für das neue delegierte GuardDuty Administratorkonto, indem Sie Ihre bevorzugte Zugriffsmethode verwenden: GuardDuty Konsole oder API oder. AWS CLI Weitere Informationen finden Sie unter [Einstellungen für die automatische Aktivierung von Organisationen festlegen](set-guardduty-auto-enable-preferences.md).
# GuardDuty Konten auf Einladung verwalten
Um Konten außerhalb Ihrer Organisation zu verwalten, können Sie die Legacy-Einladungsmethode verwenden. Wenn Sie diese Methode verwenden, wird Ihr Konto als Administratorkonto designiert, wenn ein anderes Konto Ihre Einladung annimmt, ein Mitgliedskonto zu werden.
**Anmerkung**
GuardDuty empfiehlt, Ihre Mitgliedskonten AWS Organizations anstelle von GuardDuty Einladungen zu verwalten. Weitere Informationen finden Sie unter [Verwalten von Konten mit AWS Organizations](guardduty_organizations.md).
Wenn es sich bei Ihrem Konto nicht um ein Administratorkonto handelt, können Sie eine Einladung von einem anderen Konto annehmen. In diesem Fall wird Ihr Konto ein Mitgliedskonto. Ein AWS Konto kann nicht gleichzeitig GuardDuty Administratorkonto und Mitgliedskonto sein.
Wenn Sie eine Einladung von einem Konto annehmen, können Sie keine Einladung von einem anderen Konto annehmen. Um eine Einladung von einem anderen Konto anzunehmen, müssen Sie zunächst die Verbindung zwischen Ihrem Konto und dem vorhandenen Administratorkonto trennen. Alternativ kann das Administratorkonto auch die Zuordnung Ihres Kontos zu seiner Organisation aufheben und es daraus entfernen.
Konten, die per Einladung verknüpft wurden, haben insgesamt eine ähnliche account-to-member Administratorbeziehung wie Konten, denen von zugeordnet wurde AWS Organizations, wie unter beschrieben[Verständnis der Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten](administrator_member_relationships.md). Benutzer mit Administratorkonten für Einladungen können jedoch nicht GuardDuty im Namen der zugehörigen Mitgliedskonten aktivieren oder andere Konten innerhalb ihrer AWS Organizations Organisation einsehen, die keine Mitglieder sind.
**Wichtig**
Bei der Erstellung von Mitgliedskonten mit dieser Methode kann es GuardDuty zu einer überregionalen Datenübertragung kommen. GuardDuty verwendet zur Überprüfung der E-Mail-Adressen von Mitgliedskonten einen E-Mail-Bestätigungsdienst, der nur in der Region USA Ost (Nord-Virginia) verfügbar ist.
**Topics**
+ [Konten auf Einladung hinzufügen](guardduty_become_console.md)
+ [Konsolidierung von GuardDuty Administratorkonten unter einer einzigen Organisation](consolidate-orgs.md)
# Konten auf Einladung hinzufügen
Als Administratorkonto, das bereits GuardDuty aktiviert wurde, können Sie Mitglieder hinzufügen, um mit der Nutzung zu beginnen GuardDuty. Nachdem Sie die Mitglieder hinzugefügt haben, können Sie sie zum Beitritt einladen GuardDuty, und sie können wählen, ob sie auf Ihre Einladung antworten möchten.
**Anmerkung**
GuardDuty empfiehlt, Ihre Mitgliedskonten AWS Organizations anstelle von GuardDuty Einladungen zu verwalten. Weitere Informationen finden Sie unter [Verwalten von Konten mit AWS Organizations](guardduty_organizations.md).
Wählen Sie eine bevorzugte Zugriffsmethode, um GuardDuty Mitgliedskonten als GuardDuty Administratorkonto hinzuzufügen.
------
#### [ Console ]
**Schritt 1: Konto hinzufügen**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie im oberen Bereich **Konten auf Einladung hinzufügen** aus.
1. Geben Sie auf der Seite **Mitgliedskonten hinzufügen** unter **Kontendetails eingeben** die AWS-Konto -ID und E-Mail-Adresse des Kontos ein, das Sie hinzufügen möchten.
1. Um eine weitere Zeile hinzuzufügen, in der die Kontodetails nacheinander eingegeben werden können, wählen Sie **Weiteres Konto hinzufügen**. Sie können auch **CSV-Datei mit Kontodetails hochladen** wählen, um mehrere Konten gleichzeitig hinzuzufügen.
**Wichtig**
Die erste Zeile Ihrer CSV-Datei muss wie im folgenden Beispiel den folgenden Header enthalten – `Account ID,Email`. Jede nachfolgende Zeile muss eine einzige gültige AWS-Konto ID und die zugehörige E-Mail-Adresse enthalten. Das Format einer Zeile ist gültig, wenn sie nur eine AWS-Konto -ID und die zugehörige E-Mail-Adresse enthält, die durch ein Komma getrennt sind.
```
Account ID,Email
555555555555,user@example.com
```
1. Nachdem Sie alle Kontodetails hinzugefügt haben, wählen Sie **Weiter**. Sie können die neu hinzugefügten Konten in der Tabelle Konten einsehen. Der **Status** dieser Konten lautet **Einladung nicht gesendet**. Informationen zum Senden einer Einladung an ein oder mehrere hinzugefügte Konten finden Sie unter [Step 2 - Invite an account](#guardduty_invite_member_proc).
**Schritt 2: Ein Konto einladen**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie ein oder mehrere Konten aus, die Sie zu Amazon einladen möchten GuardDuty.
1. Wählen Sie im Drop-down-Menü **Aktionen** und dann **Einladen** aus.
1. Geben Sie im GuardDuty Dialogfeld „**Einladung zu**“ eine (optionale) Einladungsnachricht ein.
Wenn das eingeladene Konto keinen Zugriff auf E-Mails hat, aktivieren Sie das Kontrollkästchen **Außerdem eine E-Mail-Benachrichtigung an den Root-Benutzer der eingeladenen Person senden AWS-Konto und in der Liste der eingeladenen Person eine Benachrichtigung generieren**. AWS Health Dashboard
1. Wählen Sie **Send invitation** (Einladung senden) aus. Wenn die eingeladenen Personen Zugriff auf die angegebene E-Mail-Adresse haben, können sie sich die Einladung ansehen, indem sie die Konsole unter öffnen. GuardDuty [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Wenn ein Eingeladener die Einladung annimmt, ändert sich der Wert in der Spalte **Status** in **Eingeladen**. Weitere Informationen zur Annahme einer Einladung finden Sie unter [Step 3 - Accept an invitation](#guardduty_accept_invite_proc).
**Schritt 3: Eine Einladung annehmen**
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
**Wichtig**
Sie müssen sie aktivieren, GuardDuty bevor Sie eine Mitgliedschaftseinladung anzeigen oder annehmen können.
1. Gehen Sie nur dann wie folgt vor, wenn Sie es GuardDuty noch nicht aktiviert haben. Andernfalls können Sie diesen Schritt überspringen und mit dem nächsten Schritt fortfahren.
Wenn Sie es noch nicht aktiviert haben GuardDuty, wählen **Sie auf der GuardDuty Amazon-Seite Erste Schritte** aus.
Wählen Sie auf der Seite **Welcome to (Willkommen bei) GuardDuty** die Option **Enable (Aktivieren) GuardDuty** aus.
1. Gehen Sie nach der Aktivierung GuardDuty für Ihr Konto wie folgt vor, um die Einladung zur Mitgliedschaft anzunehmen:
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie **-Accounts (Konten)**.
1. Stellen Sie sicher, dass Sie bei den **Konten** den Inhaber des Kontos verifizieren, von dem Sie die Einladung annehmen. Aktivieren Sie **Annehmen**, um die Einladung zur Mitgliedschaft anzunehmen.
1. Nachdem Sie die Einladung angenommen haben, wird Ihr Konto zu einem GuardDuty Mitgliedskonto. Das Konto, dessen Besitzer die Einladung gesendet hat, wird zum GuardDuty Administratorkonto. Das Administratorkonto wird wissen, dass Sie die Einladung angenommen haben. Die **Kontentabelle** in ihrem GuardDuty Konto wird aktualisiert. Der Wert in der Spalte **Status**, der Ihrer Mitgliedskonto-ID entspricht, wird auf **Aktiviert** geändert. Der Inhaber des Administratorkontos kann nun die Konfigurationen GuardDuty und Schutzpläne für Ihr Konto einsehen und verwalten. Das Administratorkonto kann auch die für Ihr Mitgliedskonto generierten GuardDuty Ergebnisse einsehen und verwalten.
------
#### [ API/CLI ]
Sie können über die API-Operationen ein GuardDuty Administratorkonto festlegen und GuardDuty Mitgliedskonten auf Einladung erstellen oder hinzufügen. Führen Sie die folgenden GuardDuty API-Operationen aus, um Administratorkonten und Mitgliedskonten in festzulegen. GuardDuty
Führen Sie das folgende Verfahren mit den Anmeldeinformationen des Kontos aus AWS-Konto , das Sie als GuardDuty Administratorkonto festlegen möchten.
**Mitgliedskonten erstellen oder hinzufügen**
1. Führen Sie den [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)API-Vorgang mit den Anmeldeinformationen des AWS Kontos aus, das GuardDuty aktiviert wurde. Dies ist das Konto, das Sie als GuardDuty Administratorkonto verwenden möchten.
Sie müssen die Melder-ID des AWS Girokontos sowie die Konto-ID und E-Mail-Adresse der Konten angeben, denen Sie GuardDuty beitreten möchten. Sie können mit dieser API-Operation ein oder mehrere Mitglieder erstellen.
Sie können auch die AWS Befehlszeilentools verwenden, um ein Administratorkonto festzulegen, indem Sie den folgenden CLI-Befehl ausführen. Stellen Sie sicher, dass Sie Ihre eigene gültige Detektor-ID, Konto-ID und E-Mail verwenden.
Um das `detectorId` für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole auf die Seite **„Einstellungen**“ oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
```
1. Verwenden Sie für die Ausführung [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html)die Anmeldeinformationen des AWS Kontos, das GuardDuty aktiviert wurde. Dies ist das Konto, das Sie als GuardDuty Administratorkonto verwenden möchten.
Sie müssen die Melder-ID des AWS Girokontos und das Konto IDs der Konten angeben, denen Sie GuardDuty beitreten möchten. Sie können mit dieser API-Operation ein oder mehrere Mitglieder einladen.
**Anmerkung**
Sie können mit dem `message`-Anfrageparameter auch eine optionale Einladungsbenachrichtigung erstellen.
Sie können dies auch verwenden AWS Command Line Interface , um Mitgliedskonten festzulegen, indem Sie den folgenden Befehl ausführen. Stellen Sie sicher, dass Sie Ihre eigene gültige Melder-ID und ein gültiges Konto IDs für die Konten verwenden, die Sie einladen möchten.
Um die `detectorId` für dein Konto und deine aktuelle Region geltenden zu finden, besuche die **Einstellungsseite** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führe die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
```
**Einladungen annehmen**
Führen Sie das folgende Verfahren mit den Anmeldedaten der einzelnen AWS Konten aus, die Sie als GuardDuty Mitgliedskonto festlegen möchten.
1. Führen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html)API-Vorgang für jedes AWS Konto aus, das als GuardDuty Mitgliedskonto eingeladen wurde und das Sie annehmen möchten.
Sie müssen angeben, ob die Detektorressource mithilfe des GuardDuty Dienstes aktiviert werden soll. Ein Detektor muss erstellt und aktiviert werden, damit er GuardDuty betriebsbereit ist. Sie müssen die Aktivierung zuerst aktivieren, GuardDuty bevor Sie eine Einladung annehmen können.
Sie können dies auch mithilfe der AWS Befehlszeilentools mit dem folgenden CLI-Befehl tun.
```
aws guardduty create-detector --enable
```
1. Führen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html)API-Vorgang für jedes AWS Konto aus, für das Sie die Einladung zur Mitgliedschaft annehmen möchten, und verwenden Sie dabei die Anmeldeinformationen dieses Kontos.
Sie müssen die Melder-ID dieses AWS Kontos für das Mitgliedskonto, die Konto-ID des Administratorkontos, das die Einladung gesendet hat, und die Einladungs-ID der Einladung, die Sie annehmen, angeben. Die Konto-ID des Administratorkontos finden Sie in der Einladungs-E-Mail. Sie können sie auch mittels des API-Vorgangs [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html) ermitteln.
Sie können eine Einladung auch mit den AWS Befehlszeilentools annehmen, indem Sie den folgenden CLI-Befehl ausführen. Stellen Sie sicher, dass Sie eine gültige Detektor-ID, Administratorkonto-ID und Einladungs-ID verwenden.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
```
------
# Konsolidierung von GuardDuty Administratorkonten unter einer einzigen Organisation
GuardDuty empfiehlt die Verwendung von Assoziation AWS Organizations bis zur Verwaltung von Mitgliedskonten unter einem delegierten GuardDuty Administratorkonto. Sie können das unten beschriebene Beispielverfahren verwenden, um das Administratorkonto und das per Einladung zugeordnete Mitglied in einer Organisation unter einem einzigen GuardDuty delegierten GuardDuty Administratorkonto zu konsolidieren.
**Anmerkung**
GuardDuty empfiehlt, Ihre Mitgliedskonten AWS Organizations anstelle von GuardDuty Einladungen zu verwalten. Weitere Informationen finden Sie unter [Verwalten von Konten mit AWS Organizations](guardduty_organizations.md).
Konten, die bereits von einem delegierten GuardDuty Administratorkonto verwaltet werden, oder aktive Mitgliedskonten, die einem delegierten GuardDuty Administratorkonto zugeordnet sind, können keinem anderen delegierten GuardDuty Administratorkonto hinzugefügt werden. Jede Organisation kann nur über ein delegiertes GuardDuty Administratorkonto pro Region verfügen, und jedes Mitgliedskonto kann nur über ein delegiertes Administratorkonto verfügen. GuardDuty
Wählen Sie eine bevorzugte Zugriffsmethode, um GuardDuty Administratorkonten unter einem einzigen delegierten GuardDuty Administratorkonto zu konsolidieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
Verwenden Sie die Anmeldeinformationen des Verwaltungskontos der Organisation, um sich anzumelden.
1. Alle Konten, die Sie verwalten möchten, GuardDuty müssen Teil Ihrer Organisation sein. Informationen zum Hinzufügen eines Kontos zu Ihrer Organisation finden Sie unter [Einen AWS-Konto einladen, Ihrer Organisation beizutreten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. Vergewissern Sie sich, dass alle Mitgliedskonten mit dem Konto verknüpft sind, das Sie als einziges delegiertes GuardDuty Administratorkonto festlegen möchten. Trennen Sie alle Mitgliedskonten, die noch mit den bereits vorhandenen Administratorkonten verknüpft sind.
Die folgenden Schritte helfen Ihnen dabei, Mitgliedskonten vom bereits vorhandenen Administratorkonto zu trennen:
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Um sich anzumelden, verwenden Sie die Anmeldeinformationen des bereits vorhandenen Administratorkontos.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie auf der Seite **Konten** ein oder mehrere Konten aus, die Sie vom Administratorkonto trennen möchten.
1. Wählen Sie **Aktionen** und dann** Konto trennen**.
1. Wählen Sie **Bestätigen**, um den Schritt abzuschließen.
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Verwenden Sie die Anmeldeinformationen des Verwaltungskontos, um sich anzumelden.
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen). Geben Sie auf der Seite **Einstellungen** das delegierte GuardDuty Administratorkonto für die Organisation an.
1. Melden Sie sich mit dem angegebenen delegierten Administratorkonto an. GuardDuty
1. Fügen Sie Mitglieder der Organisation hinzu. Weitere Informationen finden Sie unter [GuardDuty Konten verwalten mit AWS Organizations](guardduty_organizations.md).
------
#### [ API/CLI ]
1. Alle Konten, die Sie verwalten möchten, GuardDuty müssen Teil Ihrer Organisation sein. Informationen zum Hinzufügen eines Kontos zu Ihrer Organisation finden Sie unter [Einen AWS-Konto einladen, Ihrer Organisation beizutreten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. Vergewissern Sie sich, dass alle Mitgliedskonten mit dem Konto verknüpft sind, das Sie als einziges delegiertes GuardDuty Administratorkonto festlegen möchten.
1. Führen Sie [DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)den Befehl aus, um die Zuordnung aller Mitgliedskonten aufzuheben, die noch mit den bereits vorhandenen Administratorkonten verknüpft sind.
1. Alternativ können Sie den folgenden Befehl ausführen und ihn durch die Melder-ID des bereits vorhandenen Administratorkontos ersetzen, von dem Sie die Verknüpfung *777777777777* mit dem Mitgliedskonto trennen möchten. AWS Command Line Interface *666666666666*Ersetzen Sie es durch die AWS-Konto ID des Mitgliedskontos, dessen Verknüpfung Sie aufheben möchten.
```
aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666
```
1. Führen Sie [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)den Befehl aus, um ein AWS-Konto als delegiertes Administratorkonto zu delegieren. GuardDuty
Alternativ können Sie den folgenden Befehl ausführen AWS Command Line Interface , um ein delegiertes Administratorkonto zu delegieren: GuardDuty
```
aws guardduty enable-organization-admin-account --admin-account-id 777777777777
```
1. Fügen Sie Mitglieder der Organisation hinzu. Weitere Informationen finden Sie unter [Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api).
------
**Wichtig**
Um die Effektivität eines regionalen Dienstes zu maximieren GuardDuty, empfehlen wir Ihnen, Ihr delegiertes GuardDuty Administratorkonto festzulegen und all Ihre Mitgliedskonten in jeder Region hinzuzufügen.
# GuardDuty Überlegungen zum Exportieren von Mitgliedskontodaten im CSV-Format
Als GuardDuty Administratorkonto können Sie die Details des Mitgliedskontos im CSV-Format exportieren. Zu diesen Details gehören die ID des Mitgliedskontos, der Name, der Typ (durch AWS Organizations oder durch Einladung hinzugefügt) sowie der Konfigurationsstatus GuardDuty und die speziellen Schutzpläne.
Je **nachdem, wie Sie die verschiedenen Mitgliedskonten verwalten, wird auf der Seite GuardDuty **Konten** die Option CSV exportieren** angezeigt. Mithilfe der Option **CSV exportieren** können Sie ermitteln, für welche Mitgliedskonten ein bestimmter Schutzplan aktiviert ist.
Die folgende Liste enthält die Kriterien dafür, ob der **CSV-Export** auf Ihrer GuardDuty **Kontoseite** verfügbar sein wird oder nicht:
+ Sie verwenden es nur AWS Organizations zur Verwaltung mehrerer Mitgliedskonten und die Gesamtzahl der Mitgliedskonten in Ihrer GuardDuty Organisation beträgt bis zu 5.000.
+ Sie verwenden AWS Organizations sowohl die Einladungsmethode als auch die Einladungsmethode, und die Gesamtzahl der Mitgliedskonten in Ihrer GuardDuty Organisation beträgt bis zu 5.000.
In diesem Szenario enthält die exportierte CSV-Datei, ob ein Mitgliedskonto über AWS Organizations oder mithilfe einer Einladungsmethode hinzugefügt wurde.
+ **Wenn Sie nur die auf Einladung basierende Methode zur Verwaltung mehrerer Mitgliedskonten verwenden, gibt es keine Option CSV exportieren.**