View a markdown version of this page

在多账户环境中启用 GuardDuty-initiated 恶意软件扫描 - Amazon GuardDuty
建立可信访问权限以启用 GuardDuty-initiated 恶意软件扫描
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多账户环境中启用 GuardDuty-initiated 恶意软件扫描

在多账户环境中,只有 GuardDuty 管理员帐户可以代表其成员帐户启用 GuardDuty-initiated 恶意软件扫描。此外,管理 Amazon Organizations 支持成员帐户的管理员帐户可以选择在组织中的所有现有和新帐户上自动启用 GuardDuty-initiated 恶意软件扫描。有关更多信息,请参阅 使用管理 GuardDuty 账户 Amazon Organizations

建立可信访问权限以启用 GuardDuty-initiated 恶意软件扫描

如果 GuardDuty 委派的管理员帐户与组织中的管理帐户不同,则该管理帐户必须为其组织启用 GuardDuty-initiated 恶意软件扫描。这样,委派的管理员账户就可以创建通过其管理的成员账户 Amazon Organizations。Service-linked EC2 恶意软件防护的角色权限

注意

在指定委派 GuardDuty 管理员帐户之前,请参阅注意事项和建议

选择您的首选访问方法,以允许委派的 GuardDuty 管理员帐户对组织中的成员帐户启用 GuardDuty-initiated 恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    要登录,请使用贵 Amazon Organizations 组织的管理帐户。

    1. 如果您尚未指定委派 GuardDuty 管理员账户,那么:

      “设置” 页面的委派 GuardDuty 管理员帐户下,输入您要指定用于管理组织中 GuardDuty 策略的 12 位数字account ID。选择 Delegate(委派)

      1. 如果您已经指定了与 GuardDuty 管理账户不同的委托管理员账户,那么:

        设置页面的委托管理员下,打开权限设置。此操作将允许委派的 GuardDuty 管理员账户向成员账户附加相关权限,并在这些成员账户中启用 GuardDuty-initiated 恶意软件扫描。

      2. 如果您已经指定了与管理账户相同的委托 GuardDuty 管理员帐户,则可以直接为成员帐户启用 GuardDuty-initiated 恶意软件扫描。有关更多信息,请参阅 Auto-enable GuardDuty-initiated 对所有成员账户进行恶意软件扫描

      提示

      如果委派 GuardDuty 管理员账户与您的管理账户不同,则必须向委派 GuardDuty 管理员账户提供权限,才能允许对成员账户启用 GuardDuty-initiated 恶意软件扫描。

  3. 如果您想允许委托 GuardDuty 管理员帐户对其他地区的成员帐户启用 GuardDuty-initiated 恶意软件扫描,请更改您的 Amazon Web Services 区域帐户并重复上述步骤。

API/CLI

  1. 使用您的管理账户凭证运行以下命令:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (可选)要对不是委派管理员帐户的管理账户启用 GuardDuty-initiated 恶意软件扫描,管理账户将首先在其账户中Service-linked EC2 恶意软件防护的角色权限显式创建 GuardDuty-initiated 恶意软件扫描,然后从委托管理员帐户启用恶意软件扫描,类似于任何其他成员帐户。

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. 您已在当前选定的中指定了委派 GuardDuty 管理员帐户 Amazon Web Services 区域。如果您在一个地区将一个账户指定为委托 GuardDuty 管理员账户,则该账户必须是您在所有其他区域的委托 GuardDuty 管理员账户。对所有其他区域重复上述步骤。

选择您的首选访问方法以启用或禁用委派 GuardDuty 管理员帐户的 GuardDuty-initiated 恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择 EC2 恶意软件防护

  3. EC2 恶意软件防护页面上,选择GuardDuty-initiated 恶意软件扫描旁边的编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 Amazon 组织的新账户)启用保护计划。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,传递 features 对象,并将 name 设置为 EBS_MALWARE_PROTECTION,将 status 设置为 ENABLED

您可以通过运行以下 Amazon CLI 命令来启用 GuardDuty-initiated 恶意软件扫描。确保使用有效的委托 GuardDuty 管理员账号detector ID

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

选择您的首选访问方式,为所有成员帐户启用 GuardDuty-initiated 恶意软件扫描功能。包括现有成员账户和加入组织的新账户。

Console

  1. 登录 Amazon Web Services 管理控制台 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    使用 EC2 恶意软件防护页面

    1. 在导航窗格中,选择 EC2 恶意软件防护

    2. EC2 恶意软件防护页面上,选择GuardDuty-initiated 恶意软件扫描部分的编辑

    3. 选择为所有账户启用。此操作会自动启用对组织中现有和新帐户的 GuardDuty-initiated 恶意软件扫描。

    4. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 在 “帐户” 页面上,在 “通过邀请添加帐户 Auto-enable” 之前选择首选项。

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty-initiated 恶意软件扫描下的所有帐户选择 “启用”。

    4. EC2 恶意软件防护页面上,选择GuardDuty-initiated 恶意软件扫描部分的编辑

    5. 选择为所有账户启用。此操作会自动启用对组织中现有和新帐户的 GuardDuty-initiated 恶意软件扫描。

    6. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 在 “帐户” 页面上,在 “通过邀请添加帐户 Auto-enable” 之前选择首选项。

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty-initiated 恶意软件扫描下的所有帐户选择 “启用”。

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地为成员 GuardDuty-initiated 账户启用恶意软件扫描

API/CLI

  • 要有选择地为您的成员账户启用 GuardDuty-initiated 恶意软件扫描,请使用您自己的detector ID账户调用 updateMemberDetectorsAPI 操作。

  • 以下示例显示如何为单个成员帐户启用 GuardDuty-initiated 恶意软件扫描。要禁用成员账户,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方式,为组织中所有现有的活跃成员帐户启用 GuardDuty-initiated 恶意软件扫描。

为所有现有活跃成员账户配置 GuardDuty-initiated 恶意软件扫描

  1. 登录 Amazon Web Services 管理控制台 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用委派 GuardDuty 管理员账户凭据登录。

  2. 在导航窗格中,选择 EC2 恶意软件防护

  3. EC2 恶意软件防护中,您可以查看GuardDuty-initiated 恶意软件扫描配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择保存

在选择配置 GuardDuty-initiated 恶意软件扫描 GuardDuty 之前,必须启用新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty-initiated 恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation

选择您的首选访问方式,对加入您组织的新帐户启用 GuardDuty-initiated 恶意软件扫描。

Console

委派的 GuardDuty 管理员账户可以使用 EC2 GuardDuty-initiated 恶意软件防护或账户页面对组织中的新成员账户启用恶意软件扫描。

为新成员账户自动启用 GuardDuty-initiated 恶意软件扫描

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    • 使用 EC2 恶意软件防护页面:

      1. 在导航窗格中,选择 EC2 恶意软件防护

      2. EC2 恶意软件防护页面上,在GuardDuty-initiated 恶意软件扫描中选择编辑

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新帐户加入您的组织时,系统都会自动为其帐户启用 GuardDuty-initiated 恶意软件扫描。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 在 “帐户” 页面上,选择Auto-enable首选项。

      3. 在 “管理自动启用首选项” 窗口中,在 “GuardDuty-initiated 恶意软件扫描” 下选择 “为新帐户启用”。

      4. 选择保存

API/CLI

  • 要启用或禁用新成员账户的 GuardDuty-initiated 恶意软件扫描,请使用自己的账户调用 UpdateOrganizationConfigurationAPI 操作detector ID

  • 以下示例显示如何为单个成员帐户启用 GuardDuty-initiated 恶意软件扫描。要将其禁用,请参阅 有选择地为成员 GuardDuty-initiated 账户启用恶意软件扫描。如果您不想为所有加入组织的新账户启用该功能,请将 AutoEnable 设置为 NONE

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方式,有选择地为成员帐户配置 GuardDuty-initiated 恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择账户

  3. 在 “帐户” 页面上,查看GuardDuty-initiated 恶意软件扫描列,了解您的成员帐户的状态。

  4. 选择要为其配置 GuardDuty-initiated 恶意软件扫描的帐户。您可以一次选择多个账户。

  5. 从 “编辑保护计划” 菜单中,选择相应的GuardDuty-initiated 恶意软件扫描选项。

API/CLI

要有选择地启用或禁用您的成员账户的 GuardDuty-initiated 恶意软件扫描,请使用您自己的detector ID账户调用 updateMemberDetectorsAPI 操作。

以下示例显示如何为单个成员帐户启用 GuardDuty-initiated 恶意软件扫描。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

要有选择地为您的成员账户启用 GuardDuty-initiated 恶意软件扫描,请使用您自己的detector ID账户运行 updateMemberDetectorsAPI 操作。以下示例显示如何为单个成员帐户启用 GuardDuty-initiated 恶意软件扫描。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

必须在成员 GuardDuty 账户中创建 EC2 服务相关角色 (SLR) 的恶意软件防护。管理员帐户无法在不由管理的成员帐户中启用 GuardDuty-initiated 恶意软件扫描功能 Amazon Organizations。

目前,您可以通过 GuardDuty 控制台执行以下步骤,为现有成员帐户启用 GuardDuty-initiated 恶意软件扫描。https://console.aws.amazon.com/guardduty/

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用管理员账户凭证登录。

  2. 在导航窗格中,选择账户

  3. 选择要为其启用 GuardDuty-initiated 恶意软件扫描的成员帐户。您可以一次选择多个账户。

  4. 选择操作

  5. 选择取消关联成员

  6. 在您的成员账户中,在导航窗格的保护计划下选择恶意软件防护

  7. 选择启用 GuardDuty-initiated 恶意软件扫描。 GuardDuty 将为成员账户创建 SLR。有关 SLR 的更多信息,请参阅 Service-linked EC2 恶意软件防护的角色权限

  8. 在管理员账户中,选择导航窗格上的账户

  9. 选择需要重新添加到组织的成员账户。

  10. 选择操作,然后选择添加成员

API/CLI

  1. 使用管理员帐户对想要启用 GuardDuty-initiated 恶意软件扫描的成员帐户运行 DisassociateMembersAPI。

  2. 使用您的成员帐户调用UpdateDetector以启用 GuardDuty-initiated 恶意软件扫描。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. 使用管理员账户运行 CreateMembers API,以将成员重新添加回组织。