在多账户环境中启用 Lambda 防护 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在多账户环境中启用 Lambda 防护

在多账户环境中,仅委派 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 Lambda 防护。GuardDuty 成员账户无法通过其账户修改此配置。委派 GuardDuty 管理员账户使用 Amazon Organizations 来管理成员账户。委派 GuardDuty 管理员账户可以选择在所有新账户加入组织时,为其自动启用 Lambda 网络活动监控。有关多账户环境的更多信息,请参阅在 Amazon GuardDuty 中管理多个账户

选择您偏好的访问方法,为委派 GuardDuty 管理员账户启用或禁用 Lambda 网络活动监控。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中的设置下,选择 Lambda 保护

  3. Lambda 保护页面上,选择编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。此操作将为 Amazon 组织中的所有活跃 GuardDuty 账户启用保护计划,包括加入组织的新账户。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用防护计划,请选择手动配置账户

    • 委派 GuardDuty 管理员账户(此账户)部分选择启用

    • 选择保存

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,传递 features 对象,并将 name 设置为 LAMBDA_NETWORK_LOGS,将 status 设置为 ENABLED

您也可以使用 Amazon CLI 来启用 Lambda 防护。运行以下命令,并将 12abc34d567e8fa901bc2d34e56789f0 替换为账户的检测器 ID,将 us-east-1 替换为要启用 Lambda 防护的区域。

要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

选择您的首选访问方法,为所有成员账户启用 Lambda 网络活动监控功能。包括现有成员账户和加入组织的新账户。

Console

  1. 登录 Amazon Web Services 管理控制台,打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    务必要使用委派 GuardDuty 管理员账户的凭证。

  2. 请执行以下操作之一:

    使用 Lambda 保护页面

    1. 在导航窗格中,选择 Lambda 保护

    2. 选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 Lambda 网络活动监控。

    3. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 管理自动启用首选项窗口中,在 Lambda 网络活动监控下选择为所有账户启用

      注意

      默认情况下,此操作会自动开启为新成员账户自动启用 GuardDuty 选项。

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地为成员账户启用或禁用 Lambda 网络活动监控

API/CLI

要有选择地为您的成员账户启用或禁用 Lambda 网络活动监控,请使用您自己的检测器 ID 调用 updateMemberDetectors API 操作。

您也可以使用 Amazon CLI 来启用 Lambda 防护。运行以下命令,并将 12abc34d567e8fa901bc2d34e56789f0 替换为账户的检测器 ID,将 us-east-1 替换为要启用 Lambda 防护的区域。

要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为组织中的所有现有活跃成员账户启用 Lambda 网络活动监控。

Console
要为所有现有活跃成员账户启用 Lambda 网络活动监控

  1. 登录 Amazon Web Services 管理控制台,打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    使用委派 GuardDuty 管理员账户的凭证登录。

  2. 在导航窗格中,选择 Lambda 保护

  3. Lambda 保护页面上,您可以查看配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择确认

API/CLI

要有选择地为您的成员账户启用或禁用 Lambda 网络活动监控,请使用您自己的检测器 ID 调用 updateMemberDetectors API 操作。

您也可以使用 Amazon CLI 来启用 Lambda 防护。运行以下命令,并将 12abc34d567e8fa901bc2d34e56789f0 替换为账户的检测器 ID,将 us-east-1 替换为要启用 Lambda 防护的区域。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为加入组织的新账户启用 Lambda 网络活动监控。

Console

委派 GuardDuty 管理员账户可以使用 Lambda 防护账户页面,为组织中的新成员账户启用 Lambda 网络活动监控。

要为新成员账户自动启用 Lambda 网络活动监控

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    务必要使用委派 GuardDuty 管理员账户的凭证。

  2. 请执行以下操作之一:

    • 使用 Lambda 保护页面:

      1. 在导航窗格中,选择 Lambda 保护

      2. Lambda 保护页面上,选择编辑

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 Lambda 保护。只有组织的委派 GuardDuty 管理员账户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 账户页面上,选择自动启用首选项。

      3. 管理自动启用首选项窗口中,在 Lambda 网络活动监控下选择为新账户启用

      4. 选择保存

API/CLI

要为新成员账户启用 Lambda 网络活动监控,请使用您自己的 detector ID 调用 UpdateOrganizationConfiguration API 操作。

您也可以使用 Amazon CLI 来启用 Lambda 防护。以下示例显示如何为单个成员账户启用 Lambda 网络活动监控。将 12abc34d567e8fa901bc2d34e56789f0 替换为账户的检测器 ID,将 us-east-1 替换为要启用 Lambda 防护的区域。如果您不想为所有加入组织的新账户启用该功能,请将 AutoEnable 设置为 NONE

要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,有选择地为成员账户启用或禁用 Lambda 网络活动监控。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    务必要使用委派 GuardDuty 管理员账户的凭证。

  2. 在导航窗格中的设置下,选择账户

    账户页面上,查看 Lambda 网络活动监控列。此列指示是否启用 Lambda 网络活动监控。

  3. 选择您要为其配置 Lambda 保护的账户。您可以一次选择多个账户。

  4. 编辑保护计划下拉菜单中,选择 Lambda 网络活动监控,然后选择相应的操作。

API/CLI

使用您自己的检测器 ID 调用 updateMemberDetectors API。

您也可以使用 Amazon CLI 来启用 Lambda 防护。将 12abc34d567e8fa901bc2d34e56789f0 替换为账户的检测器 ID,将 us-east-1 替换为要启用 Lambda 防护的区域。

要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。