本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 GuardDuty 和 AWS Organizations
Amazon GuardDuty 是一项持续的安全监控服务,它分析和处理各种数据源,使用威胁情报源和机器学习来识别 AWS 环境中意外的、可能未经授权的恶意活动。这可能包括权限升级、使用暴露的证书、与恶意 IP 地址或域的通信,或者您的 Amazon Elastic Compute Cloud 实例和容器工作负载上存在恶意软件等问题。 URLs
您可以使用 Organi GuardDuty zations 管理组织中的 GuardDuty 所有账户,从而帮助简化管理。
有关更多信息,请参阅 *Amazon GuardDuty 用户指南 AWS Organizations*中的使用[管理 GuardDuty 账户](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
使用以下信息来帮助您将Amazon GuardDuty 与之集成 AWS Organizations。
## 启用集成时,创建了一个服务相关角色
当您启用信任访问权限后,您组织的管理账户中会自动创建以下服务相关角色。这些角色 GuardDuty 允许在组织中的组织账户中执行支持的操作。只有在和 Organizations GuardDuty 之间禁用可信访问权限或从组织中删除成员帐户后,才能删除角色。
+ `AWSServiceRoleForAmazonGuardDuty`服务相关角色是在已与 Organizations 集 GuardDuty 成的账户中自动创建的。有关更多信息,请参阅 *Amazon GuardDuty 用户指南*中的 [Organizations GuardDuty 账户](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ `AmazonGuardDutyMalwareProtectionServiceRolePolicy`服务相关角色是在启用 GuardDuty 恶意软件防护的帐户中自动创建的。有关更多信息,请参阅 *Amazon GuardDuty 用户*指南中的[ GuardDuty 恶意软件防护服务相关角色权限](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html)
## 服务相关角色使用的服务委托人
+ `guardduty.amazonaws.com`,由 `AWSServiceRoleForAmazonGuardDuty` 服务相关角色使用。
+ `malware-protection.guardduty.amazonaws.com`,由 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 服务相关角色使用。
## 使用启用可信访问 GuardDuty
有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。
您只能使用 Amazon 启用可信访问 GuardDuty。
AWS Organizations 在您将成员账户指定为组织 GuardDuty 管理员之前,Amazon GuardDuty 需要获得可信访问权限。如果您使用 GuardDuty 控制台配置委派管理员,则 GuardDuty 会自动为您启用可信访问权限。
但是,如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则必须显式调[用 Enable A AWSService cces](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) s 操作并提供服务主体作为参数。然后,您可以[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)致电委派 GuardDuty 管理员帐户。
## 使用禁用可信访问 GuardDuty
有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。
您只能使用 Organizations 工具禁用可信访问权限。
您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 禁用信任服务访问权限**
使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
运行以下命令将 Amazon 禁用 Organization GuardDuty s 作为可信服务。
```
$ aws organizations disable-aws-service-access \
--service-principal guardduty.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## 为其启用委派管理员账户 GuardDuty
将成员账户指定为组织的委托管理员后,该账户中的用户和角色将能够对 GuardDuty 执行本来只能由组织管理账户中的用户或角色执行的管理操作。这有利于将组织的管理与 GuardDuty 的管理分开。
**最小权限**
有关将成员账户指定为委托管理员所需的权限的信息,请参阅 *Amazon GuardDuty 用户指南*中的[指定委托管理员所需的权限](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions)
**将成员账户指定为的委托管理员 GuardDuty**
请参阅[指定委托管理员并添加成员账户(控制台)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console)和[指定委托管理员并添加成员账户(API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api)