本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在多账户环境中启用 Lambda 防护
在多账户环境中,只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 Lambda Protection。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理成员账户 Amazon Organizations。委托 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 Lambda 网络活动监控。有关多账户环境的更多信息,请参阅在 A mazon 中管理多个账户。 GuardDuty
选择您的首选访问方法,为委派的 GuardDuty 管理员账户启用或禁用 Lambda 网络活动监控。
- Console
-
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中的设置下,选择 Lambda 保护。
-
在 Lambda 保护页面上,选择编辑。
请执行以下操作之一:
使用对所有账户启用
-
选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 Amazon 组织的新账户)启用保护计划。
选择保存。
使用手动配置账户
要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户。
在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。
选择保存。
-
- API/CLI
-
运行updateDetectorAPI 操作使用您自己的区域探测器 ID,并按原
name
样LAMBDA_NETWORK_LOGS
传递features
对象ENABLED
。status
或者,您可以使用启用 Amazon CLI Lambda 保护。运行以下命令,
12abc34d567e8fa901bc2d34e56789f0
替换为账户的检测器 ID 和us-east-1
要启用 Lambda 保护的区域。要查找与您的账户和当前地区
detectorId
对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectorsAPI。 aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'
选择您的首选访问方法,为所有成员账户启用 Lambda 网络活动监控功能。包括现有成员账户和加入组织的新账户。
- Console
-
登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 请务必使用委派 GuardDuty 管理员账户证书。
-
请执行以下操作之一:
使用 Lambda 保护页面
-
在导航窗格中,选择 Lambda 保护。
-
选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 Lambda 网络活动监控。
-
选择保存。
注意
更新成员账户的配置可能最长需要 24 小时。
使用账户页面
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项,然后选择通过邀请添加账户。
-
在管理自动启用首选项窗口中,在 Lambda 网络活动监控下选择为所有账户启用。
注意
默认情况下,此操作会自动打开 “ GuardDuty 为新成员帐户自动启用” 选项。
-
选择保存。
如果您无法使用为所有账户启用选项,请参阅 有选择地为成员账户启用或禁用 Lambda 网络活动监控。
-
- API/CLI
-
要有选择地为您的成员账户启用或禁用 Lambda 网络活动监控,请调用 updateMemberDetectors使用您自己的 API 操作
detector ID
。或者,您可以使用启用 Amazon CLI Lambda 保护。运行以下命令,
12abc34d567e8fa901bc2d34e56789f0
替换为账户的检测器 ID 和us-east-1
要启用 Lambda 保护的区域。要查找与您的账户和当前地区
detectorId
对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectorsAPI。 aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--regionus-east-1
--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED
"}]'您也可以传递用空格 IDs 分隔的账户列表。
成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
选择您的首选访问方法,为组织中的所有现有活跃成员账户启用 Lambda 网络活动监控。
- Console
-
要为所有现有活跃成员账户启用 Lambda 网络活动监控
登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 使用委派的 GuardDuty 管理员账户凭据登录。
-
在导航窗格中,选择 Lambda 保护。
-
在 Lambda 保护页面上,您可以查看配置的当前状态。在活跃成员账户部分下,选择操作。
-
从操作下拉菜单中,选择为所有现有活跃成员账户启用。
-
选择确认。
- API/CLI
-
要有选择地为您的成员账户启用或禁用 Lambda 网络活动监控,请调用 updateMemberDetectors使用您自己的 API 操作
detector ID
。或者,您可以使用启用 Amazon CLI Lambda 保护。运行以下命令,
12abc34d567e8fa901bc2d34e56789f0
替换为账户的检测器 ID 和us-east-1
要启用 Lambda 保护的区域。aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--account-ids111122223333
--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED
"}]'您也可以传递用空格 IDs 分隔的账户列表。
成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
选择您的首选访问方法,为加入组织的新账户启用 Lambda 网络活动监控。
- Console
-
委派的 GuardDuty 管理员账户可以使用 Lambda 保护或账户页面为组织中的新成员账户启用 Lambda 网络活动监控。
要为新成员账户自动启用 Lambda 网络活动监控
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 请务必使用委派 GuardDuty 管理员账户证书。
-
请执行以下操作之一:
-
使用 Lambda 保护页面:
-
在导航窗格中,选择 Lambda 保护。
-
在 Lambda 保护页面上,选择编辑。
-
选择手动配置账户。
-
选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 Lambda 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。
-
选择保存。
-
-
使用账户页面:
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项。
-
在管理自动启用首选项窗口中,在 Lambda 网络活动监控下选择为新账户启用。
-
选择保存。
-
-
- API/CLI
-
要为新成员账户启用 Lambda 网络活动监控,请调用 UpdateOrganizationConfiguration使用您自己的 API 操作
detector ID
。或者,您可以使用启用 Amazon CLI Lambda 保护。以下示例显示如何为单个成员账户启用 Lambda 网络活动监控。
12abc34d567e8fa901bc2d34e56789f0
替换为您账户的检测器 ID 和us-east-1
要启用 Lambda 保护的区域。如果您不想为所有加入组织的新账户启用该功能,请将AutoEnable
设置为NONE
。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 detectorId
ListDetectorsAPI。aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW
"}]'成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
选择您的首选访问方法,有选择地为成员账户启用或禁用 Lambda 网络活动监控。
- Console
-
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 请务必使用委派 GuardDuty 管理员账户证书。
-
在导航窗格中的设置下,选择账户。
在账户页面上,查看 Lambda 网络活动监控列。此列指示是否启用 Lambda 网络活动监控。
-
选择您要为其配置 Lambda 保护的账户。您可以一次选择多个账户。
-
从编辑保护计划下拉菜单中,选择 Lambda 网络活动监控,然后选择相应的操作。
- API/CLI
-
调用 updateMemberDetectors使用您自己的 API
detector ID
。或者,您可以使用启用 Amazon CLI Lambda 保护。
12abc34d567e8fa901bc2d34e56789f0
替换为您账户的检测器 ID 和us-east-1
要启用 Lambda 保护的区域。要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 detectorId
ListDetectorsAPI。aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--account-ids111122223333
--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED
"}]'您也可以传递用空格 IDs 分隔的账户列表。
成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。