向组织添加成员 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向组织添加成员

作为委派 GuardDuty 管理员账号,您可以添加一个或多个 Amazon Web Services 账户 给 GuardDuty 组织。当您将账户添加为 GuardDuty 成员时,该账户将在该地区自动 GuardDuty 启用。组织管理账户有一个例外。在将管理账户账户添加为 GuardDuty 成员之前,必须将其 GuardDuty 启用。

选择向您的 GuardDuty 组织添加成员帐户的首选方法。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    要登录,请使用委派的 GuardDuty 管理员账户证书。

  2. 在导航窗格中,选择账户

    账户表显示所有处于活动状态(未暂停状态)的成员账户 Amazon Web Services 账户) 并且可能与委派的 GuardDuty 管理员账户关联。如果成员账户与组织的管理员账户关联,则类型将为以下类型之一:通过 Organizations 或 B y 邀请。如果成员账户未与组织的 GuardDuty 管理员账户关联,则该成员账户的类型为 “非成员”。

  3. 选择一个或多个IDs要添加为成员的帐户。这些账户的类型IDs必须为 Via Org anization s。

    通过邀请添加的账户不属于您的组织。您可以单独管理此类账户。有关更多信息,请参阅 通过邀请管理账户

  4. 选择 “操作” 下拉列表,然后选择 “添加成员”。将此账户添加为成员后,将应用自动启用 GuardDuty 配置。根据中的设置设置组织自动启用首选项,这些帐户的 GuardDuty 配置可能会发生变化。

  5. 您可以选择 “状态” 列的向下箭头,按非成员状态对账户进行排序,然后选择当前区域中未 GuardDuty 启用的每个账户。

    如果尚未将账户表中列出的账户添加为成员,则可以在当前区域 GuardDuty 中为所有组织账户启用。在页面顶部的横幅中选择启用。此操作会自动开启自动启用 GuardDuty 配置, GuardDuty 以便为任何加入组织的新账户启用该配置。

  6. 选择确认,添加账户作为成员。此操作还 GuardDuty 适用于所有选定的帐户。账户的状态将变为已启用

  7. (推荐)在每个步骤中重复这些步骤 Amazon Web Services 区域。 这样可以确保委派 GuardDuty 管理员账户可以在您 GuardDuty 启用的所有区域中管理成员账户的发现结果和其他配置。

    自动启用功能 GuardDuty 适用于组织中的所有 future 成员。这样,您的委托 GuardDuty 管理员帐户就可以管理在组织内创建或添加到组织中的任何新成员。当成员账户数量达到 50,000 的限制时,自动启用功能将自动关闭。如果您删除了一个成员帐户,并且成员总数减少到少于 50,000,则自动启用功能将重新开启。

API/CLI

  • 运行 CreateMembers通过使用委派 GuardDuty 管理员账户的凭证。

    您必须指定委派 GuardDuty 管理员账户的区域探测器 ID 和账户详细信息 (Amazon Web Services 账户 IDs以及您要添加为 GuardDuty 成员的账户的相应电子邮件地址)。您可以使用此API操作创建一个或多个成员。

    当你跑步的时候 CreateMembers 在您的组织中,新成员的自动启用首选项将在新成员帐户加入您的组织时适用。当你跑步的时候 CreateMembers 使用现有成员帐户时,组织配置也将适用于现有成员。这可能会更改现有成员账户的当前配置。

    运行 ListAccounts中的 Amazon Organizations API参考,查看中的所有账户 Amazon 组织。

    • 或者,你可以使用 Amazon Command Line Interface。 运行以下命令 Amazon CLI 命令并确保使用您自己的有效探测器 ID, Amazon Web Services 账户 ID 以及与账户 ID 关联的电子邮件地址。

      要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

      aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com

      您可以通过运行以下命令来查看所有组织成员的列表 Amazon CLI 命令:

      aws organizations list-accounts

    将此账户添加为成员后,将应用自动启用 GuardDuty配置。