向组织添加成员
作为委派 GuardDuty 管理员账户,您可以向该 GuardDuty 组织添加一个或多个 Amazon Web Services 账户。当您添加账户作为 GuardDuty 成员时,该账户将在该区域自动启用 GuardDuty。组织管理账户有一个例外。在添加管理账户作为 GuardDuty 成员之前,必须启用 GuardDuty。
选择一种您偏好的方法,向 GuardDuty 组织添加成员账户。
- Console
-
通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/。
若要登录,请使用委派 GuardDuty 管理员账户的凭证。
-
在导航窗格中,选择账户。
账户表会显示所有处于活动状态(未暂停的 Amazon Web Services 账户)且可以与该委派 GuardDuty 管理员账户关联的成员账户。如果成员账户已与组织的管理员账户关联,则类型将为以下之一:通过 Organizations 或通过邀请。如果成员账户未与组织的 GuardDuty 管理员账户关联,则该成员账户的类型为非成员。
-
选择要添加为成员的一个或多个账户 ID。这些账户 ID 的类型必须为通过组织。
通过邀请添加的账户不属于您的组织。您可以单独管理此类账户。有关更多信息,请参阅 通过邀请管理账户。
-
选择操作下拉菜单,然后选择添加成员。将此账户添加为成员后,将应用自动启用 GuardDuty 配置。根据 设置组织自动启用首选项 中的设置,这些账户的 GuardDuty 配置可能会更改。
-
您可以选择状态列的向下箭头,按非成员状态对账户进行排序,然后选择当前区域中未启用 GuardDuty 的每个账户。
如果账户表中列出的账户均未添加为成员,则可以在当前区域为所有组织账户启用 GuardDuty。在页面顶部的横幅中选择启用。此操作会自动打开自动启用 GuardDuty 配置,以便为加入组织的任何新账户启用 GuardDuty。
-
选择确认,添加账户作为成员。此操作还会为所有选定账户启用 GuardDuty。账户的状态将变为已启用。
-
(建议)在每个 Amazon Web Services 区域 重复这些步骤。这将确保该委派 GuardDuty 管理员账户可以在启用了 GuardDuty 的所有区域中管理成员账户的调查发现和其他配置。
自动启用功能可为您组织的所有未来成员启用 GuardDuty。这样,您的委派 GuardDuty 管理员账户就可以管理在组织内创建或添加到组织中的任何新成员。当成员账户的数量达到 5 万的上限时,自动启用功能会自动关闭。如果移除了某个账户,并且成员总数减少到 5 万以下,自动启用功能将重新开启。
- API/CLI
-
-
使用委派 GuardDuty 管理员账户的凭证运行 CreateMembers。
您必须指定委派 GuardDuty 管理员账户的区域检测器 ID 以及要添加为 GuardDuty 成员的账户的详细信息(Amazon Web Services 账户 ID 和相应的电子邮件地址)。可以使用此 API 操作创建一个或多个成员。
当您在组织中运行 CreateMembers 时,新成员的自动启用首选项将在新成员账户加入组织时应用。当您使用某个现有成员账户运行 CreateMembers 时,组织配置也将应用到现有的成员。这可能会更改现有成员账户的当前配置。
运行《Amazon Organizations API Reference》中的 ListAccounts,可查看 Amazon 组织中的所有账户。
-
或者,您也可以使用 Amazon Command Line Interface。运行以下 Amazon CLI 命令,并确保使用您自己的有效检测器 ID、Amazon Web Services 账户 ID 以及与账户 ID 关联的电子邮件地址。
要查找您账户和当前区域的
detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。aws guardduty create-members --detector-id12abc34d567e8fa901bc2d34e56789f0--account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com您可以通过运行以下 Amazon CLI 命令来查看所有组织成员的列表:
aws organizations list-accounts
将此账户添加为成员后,将应用自动启用 GuardDuty 配置。
-
-