在多账户环境中启用 GuardDuty由启动的恶意软件扫描 - Amazon GuardDuty
建立可信访问权限以启用 GuardDuty由启动的恶意软件扫描
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多账户环境中启用 GuardDuty由启动的恶意软件扫描

在多账户环境中,只有 GuardDuty 管理员账户可以代表其成员账户启用由管理员 GuardDuty启动的恶意软件扫描。此外,通过 Amazon Organizations 支持管理成员账户的管理员账户可以选择在组织中的所有现有账户和新账户上,自动启用 GuardDuty由启动的恶意软件扫描。有关更多信息,请参阅 使用管理 GuardDuty 账户 Amazon Organizations

建立可信访问权限以启用 GuardDuty由启动的恶意软件扫描

如果 GuardDuty 委托管理员账户与组织中的管理账户不同,则该管理账户必须为其组织启用 GuardDuty由启动的恶意软件扫描。这样,委托管理员就可以在通过管理的成员账户的恶意软件防护的服务相关角色权限 EC2中创建 Amazon Organizations。

注意

在指定委托 GuardDuty 管理员账户之前,请参阅注意事项和建议

选择您的首选访问方法,以便委托 GuardDuty 管理员账户为组织中的成员账户启用 GuardDuty由启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    若要登录,请使用您 Amazon Organizations 组织的管理账户。

    1. 如果您尚未指定委托 GuardDuty 管理员账户,则:

      “设置” 页面的委派 GuardDuty 管理员帐户下,输入您要指定用于管理组织中 GuardDuty 策略的 12 位数字account ID。选择 Delegate(委派)

      1. 如果您已指定与 GuardDuty 管理账户不同的委托管理员账户,那么:

        设置页面的委托管理员下,打开权限设置。此操作将允许委托 GuardDuty 管理员账户为成员账户附加相关权限,并在这些成员账户中启用 GuardDuty由启动的恶意软件扫描。

      2. 如果您已指定与管理账户相同的委托 GuardDuty 管理员账户,则可以直接为成员账户启用 GuardDuty由启动的恶意软件扫描。有关更多信息,请参阅 为所有成员 GuardDuty账户自动启用的恶意软件扫描

      提示

      如果委托 GuardDuty 管理员账户与您的管理账户不同,则必须向委托 GuardDuty 管理员账户提供权限,才能允许对成员账户启用 GuardDuty由启动的恶意软件扫描。

  3. 如果您想允许委托 GuardDuty 管理员账户为其他区域中的成员账户启用 GuardDuty由启动的恶意软件扫描,请更改您 Amazon Web Services 区域的并重复上述步骤。

API/CLI

  1. 使用您的管理账户凭证运行以下命令:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (可选)要为非委托管理员账户的管理账户启用 GuardDuty由启动的恶意软件扫描,管理账户需首先在其账户中创建的恶意软件防护的服务相关角色权限 EC2显式,然后从委托管理员账户启用 GuardDuty由启动的恶意软件扫描,操作与在任何其他成员账户上的操作类似。

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. 您已在当前选定的中指定了委托 GuardDuty 管理员账户使用 Amazon Web Services 区域。如果您在一个区域将一个账户指定为委托 GuardDuty 管理员账户,则该账户必须是您在所有其他区域的委托 GuardDuty 管理员账户。对所有其他区域重复上述步骤。

选择您的首选访问方式,为委托 GuardDuty 管理员账户启用或禁用 GuardDuty由启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择恶意软件防护 EC2

  3. 在 “恶意软件防护 EC2” 页面上,选择GuardDuty启动的恶意软件扫描旁边编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。此操作将为 Amazon 组织中的所有活跃 GuardDuty 账户启用保护计划,包括加入组织的新账户。

    • 选择保存

    使用手动配置账户

    • 要仅为委托 GuardDuty 管理员账户启用保护计划,请选择手动配置账户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,传递 features 对象,并将 name 设置为 EBS_MALWARE_PROTECTION,将 status 设置为 ENABLED

您可以通过运行以下 Amazon CLI 命令来启用 GuardDuty启动的恶意软件扫描。确保使用委托 GuardDuty 管理员账户的有效detector ID

要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

选择您的首选访问方式,为所有成员账户启用 GuardDuty启动的恶意软件扫描功能。包括现有成员账户和加入组织的新账户。

Console

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委托 GuardDuty 管理员账户凭证。

  2. 请执行以下操作之一:

    使用 “恶意软件防护 EC2” 页面

    1. 在导航窗格中,选择恶意软件防护 EC2

    2. 在 “恶意软件防护 EC2” 页面上,在 “GuardDuty启动的恶意软件扫描” 部分中选择 “编辑”。

    3. 选择为所有账户启用。此操作会自动对组织中现有和新账户启用 GuardDuty启动的恶意软件扫描。

    4. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。

    4. 在 “恶意软件防护 EC2” 页面上,在 “GuardDuty启动的恶意软件扫描” 部分中选择 “编辑”。

    5. 选择为所有账户启用。此操作会自动对组织中现有和新账户启用 GuardDuty启动的恶意软件扫描。

    6. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地为成员 GuardDuty账户启用的恶意软件扫描

API/CLI

  • 要有选择地为您的成员账户启用 GuardDuty由恶意软件扫描,请使用您自己的调用 updateMemberDetectorsAPI 操作。detector ID

  • 以下示例显示如何为单个成员账户 GuardDuty启用启动的恶意软件扫描。要禁用成员账户,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    您还可以传递由空格 IDs 分隔的账户列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方式,为组织中所有现有活跃成员账户启用 GuardDuty启动的恶意软件扫描。

为所有现有活跃成员账户配置 GuardDuty由启动的恶意软件扫描

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用委托 GuardDuty 管理员账户凭证登录。

  2. 在导航窗格中,选择恶意软件防护 EC2

  3. 恶意软件防护中 EC2,您可以查看GuardDuty启动的恶意软件扫描配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择保存

在选择配置由 GuardDuty启动的恶意软件扫描 GuardDuty 之前,新添加的成员账户必须启用。通过邀请进行管理的成员账户,可以为其账户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation

选择您的首选访问方法,对加入组织的新账户启用 GuardDuty恶意软件扫描。

Console

委托 GuardDuty 管理员账户可以通过恶意软件防护或账户页面,为组织中的新成员账户启用 GuardDuty由启动的恶意软件扫描。 EC2

为新成员账户自动 GuardDuty启用由启动的恶意软件扫描

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委托 GuardDuty 管理员账户凭证。

  2. 请执行以下操作之一:

    • 使用以下 EC2页面的恶意软件防护

      1. 在导航窗格中,选择恶意软件防护 EC2

      2. 在 “恶意软件防护 EC2” 页面上,在GuardDuty启动的恶意软件扫描中选择 “编辑”

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 GuardDuty由启动的恶意软件扫描。只有组织委托 GuardDuty 管理员账户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 账户页面上,选择自动启用首选项。

      3. 在 “管理自动启用首选项” 窗口中,在 “GuardDuty启动的恶意软件扫描” 下选择 “为新帐户用”。

      4. 选择保存

API/CLI

  • 要启用或禁用 GuardDuty新成员账户的恶意软件扫描,请使用您自己detector ID的调用 UpdateOrganizationConfigurationAPI 操作。

  • 以下示例显示如何为单个成员账户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请参阅 有选择地为成员 GuardDuty账户启用的恶意软件扫描。如果您不想为所有加入组织的新账户启用该功能,请将 AutoEnable 设置为 NONE

    要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    您还可以传递由空格 IDs 分隔的账户列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,有选择地为成员账户配置 GuardDuty由启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择账户

  3. 账户页面上,查看GuardDuty启动的恶意软件扫描列,了解成员账户的状态。

  4. 选择要为哪个账户配置 GuardDuty由启动的恶意软件扫描。您可以一次选择多个账户。

  5. 编辑保护计划菜单中,为GuardDuty启动的恶意软件扫描选择相应的选项。

API/CLI

要有选择地为成员账户启用或禁用 GuardDuty由启动的恶意软件扫描,请使用您自己的 detector 账户调用 updateMemberDetectorsAPI 操作。detector ID

以下示例显示如何为单个成员账户 GuardDuty启用启动的恶意软件扫描。

要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

您还可以传递由空格 IDs 分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

要有选择地为您的成员账户启用 GuardDuty由恶意软件扫描,请使用您自己的 updateMemberDetectorsAPI 操作。detector ID以下示例显示如何为单个成员账户 GuardDuty启用启动的恶意软件扫描。

要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

您还可以传递由空格 IDs 分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

必须在成员账户中创建 GuardDuty 恶意软件防护 EC2 服务关联角色(SLR)。管理员账户无法在未由 Amazon Organizations管理 GuardDuty的成员账户中,启用启动的恶意软件扫描功能。

目前,您可以通过 GuardDuty 控制台()执行以下步骤,https://console.aws.amazon.com/guardduty/为现有成员账户启用 GuardDuty由启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用管理员账户凭证登录。

  2. 在导航窗格中,选择账户

  3. 选择要为哪个成员账户 GuardDuty启用由启动的恶意软件扫描。您可以一次选择多个账户。

  4. 选择操作

  5. 选择取消关联成员

  6. 在您的成员账户中,在导航窗格的保护计划下选择恶意软件防护

  7. 选择启用 GuardDuty启动的恶意软件扫描。 GuardDuty 将为成员账号创建 SLR。有关 SLR 的更多信息,请参阅 的恶意软件防护的服务相关角色权限 EC2

  8. 在管理员账户中,选择导航窗格上的账户

  9. 选择需要重新添加到组织的成员账户。

  10. 选择操作,然后选择添加成员

API/CLI

  1. 在要启用由管理员账户 GuardDuty启动的恶意软件扫描的成员账户上,使用管理员账户运行 DisassociateMembersAPI。

  2. 使用您的成员账户调用UpdateDetector以启用 GuardDuty已启动的恶意软件扫描。

    要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. 使用管理员账户运行 CreateMembers API,以将成员重新添加回组织。