AWS-Org-Hardening — F020 + F021 applied
Datum: 2026-05-15 10:27-10:29 UTC
Operator: Claude via aws-api-MCP, SSO-Profile (mgmt, av-prod, becker, mk-priv)
Zusammenfassung
Beide Findings erledigt, alle non-destructive Aenderungen erfolgreich. Keine Permission-Fehler, keine Workarounds noetig.
| Finding | Status |
|---|---|
| F021 Access Analyzer Org-weit | DONE (Analyzer im Status CREATING → wird in <5min ACTIVE) |
| F020 GuardDuty Org-weit | DONE, alle 4 Accounts als Member Enabled, Auto-Enable=ALL fuer neue Accounts |
Erwartete monatliche Kosten: ~3-8 USD (GuardDuty CloudTrail+VPC-Flow Baseline ueber 4 Accounts mit minimalem Traffic, Access Analyzer kostenlos).
F021 — Access Analyzer Org-weit
Aktionen Mgmt-Account (343241684374)
organizations enable-aws-service-access --service-principal access-analyzer.amazonaws.com→ OK (200)organizations register-delegated-administrator --account-id 425924867359 --service-principal access-analyzer.amazonaws.com→ OK (200)iam create-service-linked-role --aws-service-name access-analyzer.amazonaws.com→ OK, SLRAWSServiceRoleForAccessAnalyzerangelegt- Anmerkung: Erster create-analyzer-Versuch im delegated-admin-Account schlug fehl mit
ConflictException: Access Analyzer Service Linked Role is not in the organizational management account. SLR muss explizit im Mgmt provisioniert werden — bei Access Analyzer nicht automatisch via enable-aws-service-access.
- Anmerkung: Erster create-analyzer-Versuch im delegated-admin-Account schlug fehl mit
Aktionen av-production (425924867359, delegated admin)
accessanalyzer create-analyzer --analyzer-name av-org-analyzer --type ORGANIZATION→ OK (200)- ARN:
arn:aws:access-analyzer:eu-central-1:425924867359:analyzer/av-org-analyzer - Status nach Anlage:
CREATING→ erreicht typisch innerhalb 1-5 MinutenACTIVE. Erste Findings nach <30min.
- ARN:
Status nachher
- Org-Analyzer aktiv im
av-production(eu-central-1) - Scope: gesamte Organisation, alle 4 Accounts, alle Regions
- Findings sichtbar im av-prod-Account unter Access Analyzer-Console
F020 — GuardDuty Org-weit
Aktionen Mgmt-Account (343241684374)
organizations enable-aws-service-access --service-principal guardduty.amazonaws.com→ OK (200)organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com→ OK (200)guardduty create-detector --enable --finding-publishing-frequency SIX_HOURS→ OK (200)- DetectorId:
92cf1596e72732fac0295da3de0f2f40
- DetectorId:
guardduty enable-organization-admin-account --admin-account-id 425924867359→ OK (200)
Aktionen av-production (425924867359, delegated admin)
guardduty list-detectors→ Detector wurde automatisch angelegt durch enable-organization-admin-account- DetectorId:
36cf1596ed550eb758eb774f53cfeecb
- DetectorId:
guardduty update-organization-configuration --auto-enable-organization-members ALL→ OK (200)guardduty create-membersfuer alle 3 Member-Accounts (343241684374, 084400305827, 210948569534) → OK (200), UnprocessedAccounts leer
Status nachher (verifiziert)
describe-organization-configuration:
AutoEnable: trueAutoEnableOrganizationMembers: ALL
list-members:
| AccountId | DetectorId | Status |
|---|---|---|
| 343241684374 (mgmt) | 92cf1596e72732fac0295da3de0f2f40 | Enabled |
| 084400305827 (becker) | cecf0b6d9fd55eeeed523b1f0f3a7870 (bestehend, jetzt orchestriert) | Enabled |
| 210948569534 (mk-priv) | 80cf1597400e395d36fc129eb08f8112 (neu, auto-created) | Enabled |
| 425924867359 (av-prod) | 36cf1596ed550eb758eb774f53cfeecb | Admin |
Alle vier Detectors per list-detectors pro Account bestaetigt. Neue Sub-Accounts werden ab jetzt automatisch enrolled (AutoEnable=ALL).
Feature-Konfiguration: Default-Features aktiv (FOUNDATIONAL CloudTrail + VPC-Flow + DNS-Logs). Optionale teure Features bewusst NICHT aktiviert (S3_DATA_EVENTS, RUNTIME_MONITORING, EBS_MALWARE_PROTECTION, RDS_LOGIN_EVENTS, LAMBDA_NETWORK_LOGS, EKS_* jeweils AutoEnable: NONE). Falls in Zukunft EC2/EKS/RDS dazukommen → bewusste Entscheidung pro Feature.
Org-Service-Access Status nachher
| Principal | Aktiviert seit |
|---|---|
| cloudtrail.amazonaws.com | 2026-05-07 |
| config.amazonaws.com | 2026-05-07 |
| sso.amazonaws.com | 2026-05-07 |
| access-analyzer.amazonaws.com | 2026-05-15 (heute) |
| guardduty.amazonaws.com | 2026-05-15 (heute) |
| malware-protection.guardduty.amazonaws.com | 2026-05-15 (heute) |
MARVIN TODO
- Keine. Beide Findings sind voll aktiv, keine Cross-Account-Confirmation noetig (delegated admin via Organizations-API geht ohne).
- Optional: in 24h einmal
aws accessanalyzer list-analyzers --profile av-prodchecken — Status sollteACTIVEsein. Falls nochCREATING: kein Action, AWS-seitiger Pending. - Optional: GuardDuty-Findings-Notification per EventBridge → SNS einrichten (separates Hardening, nicht Teil dieses Tickets).
Update accounts.md
Bestand pro Account ergaenzen (siehe intern/capabilities/aws/accounts.md):
- mgmt: + GuardDuty Detector
92cf1596e72732fac0295da3de0f2f40, + Access Analyzer Service-Linked Role - av-prod: + Org-Analyzer
av-org-analyzer(Organisation-Type), + GuardDuty Detector36cf1596ed550eb758eb774f53cfeecb(delegated admin), + delegated-admin-Rolle fuer access-analyzer + guardduty - mk-priv: + GuardDuty Detector
80cf1597400e395d36fc129eb08f8112(Member via av-prod) - becker: GuardDuty Detector unveraendert (
cecf0b6d9fd55eeeed523b1f0f3a7870), jetzt aber unter av-prod-Administration
Related
- report — Audit-Bericht
- fix-plan — Plan fuer F020/F021 (jetzt erledigt)
- 05-aws-org — AWS-Org-Detailblock im Audit
- accounts — Account-Inventar (bitte nachziehen)