本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon GuardDuty 和 AWS Organizations
Amazon GuardDuty 是持續性安全監控服務,可分析和處理各種資料來源,並使用威脅智慧饋送和機器學習技術來識別您的 AWS 環境中的非預期和可能未經授權的惡意活動。這可能包括權限升級、使用暴露的憑證、與惡意 IP 地址、URL 或網域的通訊,或者 Amazon Elastic Compute Cloud 執行個體和容器工作負載中出現惡意軟體等問題。
您可以透過 Organizations 管理組織中所有帳戶的 GuardDuty,來協助簡化 GuardDuty 的管理。
如需詳細資訊,請參閱 *Amazon GuardDuty 使用者指南*中的[使用 AWS Organizations管理 GuardDuty 帳戶](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
使用以下資訊來協助您整合 Amazon GuardDuty 與 AWS Organizations。
## 當您啟用整合時,即會建立服務連結角色。
當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。這些角色允許 GuardDuty 在您組織的組織帳戶中執行支援的操作。只有在您停用 GuardDuty 與 Organizations 之間的受信任存取,或從組織中移除成員帳戶時,才能刪除此角色。
+ 會在已將 GuardDuty 與 Organizations 整合的帳戶中自動建立 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色。如需詳細資訊,請參閱 *Amazon GuardDuty 使用者指南*中的[使用 Organizations 管理 GuardDuty 帳戶](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ 會在已啟用 GuardDuty 惡意軟體防護的帳戶中自動建立 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 服務連結角色。如需詳細資訊,請參閱 *Amazon GuardDuty 使用者指南*中的[用於 GuardDuty 惡意軟體防護的服務連結角色許可](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html)
## 服務連結角色所使用的服務委託人
+ `guardduty.amazonaws.com`,由 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色使用。
+ `malware-protection.guardduty.amazonaws.com`,由 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 服務連結角色使用。
## 使用 GuardDuty 來啟用受信任存取
如需啟用受信任存取所需許可的資訊,請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。
您只能使用 Amazon GuardDuty 啟用受信任存取。
Amazon GuardDuty 需要信任的 存取權 AWS Organizations ,才能將成員帳戶指定為組織的 GuardDuty 管理員。如果您使用 GuardDuty 主控台設定委派管理員,則 GuardDuty 會自動為您啟用受信任的存取。
不過,如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶,則必須明確呼叫 [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 操作,並提供服務主體做為參數。然後,可以呼叫 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html),來委派 GuardDuty 管理員帳戶。
## 使用 GuardDuty 來停用受信任存取
如需啟用受信任的存取所需許可的資訊,請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。
您只能使用 Organizations 工具停用受信任存取。
您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 來停用受信任服務存取**
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
執行下列命令來停用 Amazon GuardDuty 做為 Organizations 的信任服務。
```
$ aws organizations disable-aws-service-access \
--service-principal guardduty.amazonaws.com
```
此命令成功後就不會產生輸出。
+ AWS API:[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## 啟用 GuardDuty 的委派管理員帳戶
當您將成員帳戶指定為組織的委派管理員時,該帳戶的使用者和角色可以對 GuardDuty 執行管理動作,否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 GuardDuty 的管理分開。
**最低許可**
如需將成員帳戶指定為委派管理員所需許可的相關資訊,請參閱*Amazon GuardDuty 使用者指南*中的[指定委派管理員所需的許可](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions)
**將成員帳戶指定為 GuardDuty 的委派管理員**
請參閱[指定委派的管理員並新增成員帳戶 (主控台)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console)和[指定委派的管理員並新增成員帳戶 (API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api)