本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在多 GuardDuty账户环境中启用启动的恶意软件扫描 在多账户环境中,只有 GuardDuty 管理员帐户可以代表其成员帐户启用 GuardDuty启动的恶意软件扫描。此外,管理 Amazon Organizations 支持成员帐户的管理员帐户可以选择在组织中的所有现有和新帐户上自动启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 [使用管理 GuardDuty 账户 Amazon Organizations](guardduty_organizations.md)。 ## 建立可信访问权限以启用 GuardDuty启动的恶意软件扫描 如果 GuardDuty 委派的管理员帐户与组织中的管理帐户不同,则该管理帐户必须为其组织启用 GuardDuty启动的恶意软件扫描。这样,委派的管理员账户就可以创建通过其管理的成员账户 Amazon Organizations。[EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md) **注意** 在指定委派 GuardDuty 管理员帐户之前,请参阅[注意事项和建议](guardduty_organizations.md#delegated_admin_important)。 选择您的首选访问方法,以允许委派的 GuardDuty 管理员帐户对组织中的成员帐户启用 GuardDuty启动的恶意软件扫描。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 要登录,请使用贵 Amazon Organizations 组织的管理帐户。 1. 1. 如果您尚未指定委派 GuardDuty 管理员账户,那么: 在 **“设置**” 页面的**委派 GuardDuty 管理员帐户**下,输入您要指定用于管理组织中 GuardDuty 策略的 12 位数字**account ID**。选择 **Delegate(委派)**。 1. 1. 如果您已经指定了与 GuardDuty 管理账户不同的委托管理员账户,那么: 在**设置**页面的**委托管理员**下,打开**权限**设置。此操作将允许委派的 GuardDuty 管理员账户向成员账户附加相关权限,并在这些成员账户中启用 GuardDuty启动的恶意软件扫描。 1. 如果您已经指定了与管理账户相同的委托 GuardDuty 管理员帐户,则可以直接为成员账户启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 [自动启用所有 GuardDuty成员账户启动的恶意软件扫描](#auto-enable-malware-protection-all-organization-member)。 **提示** 如果委派 GuardDuty 管理员账户与您的管理账户不同,则必须向委派 GuardDuty 管理员账户提供权限,才能允许对成员账户启用 GuardDuty启动的恶意软件扫描。 1. 如果您想允许委托 GuardDuty 管理员帐户对其他地区的成员帐户启用 GuardDuty启动的恶意软件扫描,请更改您的 Amazon Web Services 区域帐户并重复上述步骤。 ------ #### [ API/CLI ] 1. 使用您的管理账户凭证运行以下命令: ``` aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com ``` 1. (可选)要对不是委派管理员帐户的管理账户启用 GuardDuty启动的恶意软件扫描,管理账户将首先在其账户中[EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)明确创建恶意软件扫描,然后从委托管理员帐户启用 GuardDuty启动的恶意软件扫描,类似于任何其他成员帐户。 ``` aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com ``` 1. 您已在当前选定的中指定了委派 GuardDuty 管理员帐户 Amazon Web Services 区域。如果您在一个地区将一个账户指定为委托 GuardDuty 管理员账户,则该账户必须是您在所有其他区域的委托 GuardDuty 管理员账户。对所有其他区域重复上述步骤。 ------ ## 为委派 GuardDuty的 GuardDuty 管理员帐户配置启动的恶意软件扫描 选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用或禁用 GuardDuty启动的恶意软件扫描。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 1. 在导航窗格中,选择 **EC2 恶意软件防护**。 1. 在 **EC2 恶意软件防护**页面上,选择**GuardDuty启动的恶意软件扫描旁边**的**编辑**。 1. 请执行以下操作之一: **使用**对所有账户启用**** + 选择**为所有账户启用**。这将为组织中的所有活跃 GuardDuty 账户(包括加入 Amazon 组织的新账户)启用保护计划。 + 选择**保存**。 **使用**手动配置账户**** + 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择**手动配置帐户**。 + 在 “**委派 GuardDuty 管理员帐户(此账户)**” 部分下选择 “**启用**”。 + 选择**保存**。 ------ #### [ API/CLI ] 使用您自己的区域检测器 ID 运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作,传递 `features` 对象,并将 `name` 设置为 `EBS_MALWARE_PROTECTION`,将 `status` 设置为 `ENABLED`。 您可以通过运行以下 Amazon CLI 命令来启用 GuardDuty启动的恶意软件扫描。请务必使用有效的委托 GuardDuty 管理员账号*detector ID*。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 / --account-ids 555555555555 / --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]' ``` ------ ## 自动启用所有 GuardDuty成员账户启动的恶意软件扫描 选择您的首选访问方式,为所有成员帐户启用 GuardDuty启动的恶意软件扫描功能。包括现有成员账户和加入组织的新账户。 ------ #### [ Console ] 1. 登录 Amazon Web Services 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 请务必使用委派 GuardDuty 管理员账户证书。 1. 请执行以下操作之一: **使用 **EC2 恶意软件防护**页面** 1. 在导航窗格中,选择 **EC2 恶意软件防护**。 1. 在 **EC2 恶意软件防护**页面上,在**GuardDuty启动的恶意软件扫描**部分中选择**编辑**。 1. 选择**为所有账户启用**。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。 1. 选择**保存**。 **注意** 更新成员账户的配置可能最长需要 24 小时。 **使用**账户**页面** 1. 在导航窗格中,选择**账户**。 1. 在**账户**页面上,选择**自动启用**首选项,然后选择**通过邀请添加账户**。 1. 在 “**管理自动启用首选项**” 窗口中,**为**GuardDuty启动的恶意软件**扫描下的所有帐户选择 “启用**”。 1. 在 **EC2 恶意软件防护**页面上,在**GuardDuty启动的恶意软件扫描**部分中选择**编辑**。 1. 选择**为所有账户启用**。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。 1. 选择**保存**。 **注意** 更新成员账户的配置可能最长需要 24 小时。 **使用**账户**页面** 1. 在导航窗格中,选择**账户**。 1. 在**账户**页面上,选择**自动启用**首选项,然后选择**通过邀请添加账户**。 1. 在 “**管理自动启用首选项**” 窗口中,**为**GuardDuty启动的恶意软件**扫描下的所有帐户选择 “启用**”。 1. 选择**保存**。 如果您无法使用**为所有账户启用**选项,请参阅 [有选择地为成员账户 GuardDuty启用启动的恶意软件扫描](#selective-enable-disable-malware-protection-member-accounts)。 ------ #### [ API/CLI ] + 要有选择地为你的成员账户启用 GuardDuty启动的恶意软件扫描,请使用你自己的账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。*detector ID* + 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要禁用成员账户,请将 `ENABLED` 替换为 `DISABLED`。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]' ``` 您也可以传递用空格 IDs 分隔的账户列表。 + 成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。 ------ ## 对所有现有活跃成员账户启用 GuardDuty启动的恶意软件扫描 选择您的首选访问方法,对组织中所有现有活跃成员帐户启用 GuardDuty启动的恶意软件扫描。 **为所有现有活跃成员账户配置 GuardDuty启动的恶意软件扫描** 1. 登录 Amazon Web Services 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 使用委派的 GuardDuty 管理员账户凭据登录。 1. 在导航窗格中,选择 **EC2 恶意软件防护**。 1. 在 **EC2 恶意软件防护**中,您可以查看**GuardDuty启动的恶意软件扫描**配置的当前状态。在**活跃成员账户**部分下,选择**操作**。 1. 从**操作**下拉菜单中,选择**为所有现有活跃成员账户启用**。 1. 选择**保存**。 ## 自动启用对新 GuardDuty成员账户的恶意软件扫描 在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前,必须**启用**新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 [Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc)。 选择您的首选访问方式,对加入组织的新帐户启用 GuardDuty启动的恶意软件扫描。 ------ #### [ Console ] **委派的 GuardDuty 管理员账户可以使用 **EC2 恶意软件防护或账户页面为组织中的新成员账户启用 GuardDuty启动的恶意软件**扫描。** **自动启用对新成员 GuardDuty帐户启动的恶意软件扫描** 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 请务必使用委派 GuardDuty 管理员账户证书。 1. 请执行以下操作之一: + 使用 **EC2 恶意软件防护**页面: 1. 在导航窗格中,选择 **EC2 恶意软件防护**。 1. 在 **EC2 恶意软件防护**页面上,在**GuardDuty启动的恶意软件扫描**中选择**编辑**。 1. 选择**手动配置账户**。 1. 选择**为新成员账户自动启用**。此步骤可确保每当有新帐户加入您的组织时,系统都会自动为其帐户启用 GuardDuty启动的恶意软件扫描。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。 1. 选择**保存**。 + 使用**账户**页面: 1. 在导航窗格中,选择**账户**。 1. 在**账户**页面上,选择**自动启用**首选项。 1. 在 “**管理自动启用首选项**” 窗口中,在 “**GuardDuty启动的恶意软件**扫描” 下选择 “为新帐户**启**用”。 1. 选择**保存**。 ------ #### [ API/CLI ] + 要启用或禁用对新成员账户 GuardDuty启动的恶意软件扫描,请使用自己的*detector ID*账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API 操作。 + 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请参阅 [有选择地为成员账户 GuardDuty启用启动的恶意软件扫描](#selective-enable-disable-malware-protection-member-accounts)。如果您不想为所有加入组织的新账户启用该功能,请将 `AutoEnable` 设置为 `NONE`。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]' ``` 您也可以传递用空格 IDs 分隔的账户列表。 + 成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。 ------ ## 有选择地为成员账户 GuardDuty启用启动的恶意软件扫描 选择您的首选访问方法,有选择地为成员帐户配置 GuardDuty由启动的恶意软件扫描。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 1. 在导航窗格中,选择**账户**。 1. 在 “**帐户**” 页面上,查看**GuardDuty启动的恶意软件扫描**列,了解您的成员帐户的状态。 1. 选择要为其配置 GuardDuty启动的恶意软件扫描的帐户。您可以一次选择多个账户。 1. 从 **“编辑保护计划**” 菜单中,为**GuardDuty启动的恶意软件扫描**选择相应的选项。 ------ #### [ API/CLI ] 要有选择地为你的成员账户启用或禁用 GuardDuty启动的恶意软件扫描,请使用你自己的账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。*detector ID* 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]' ``` 您也可以传递用空格 IDs 分隔的账户列表。 成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。 要有选择地为你的成员账户启用 GuardDuty启动的恶意软件扫描,请使用你自己的账户运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。*detector ID*以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。 要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面,或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}' ``` 您也可以传递用空格 IDs 分隔的账户列表。 成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。 ------ ## 对通过 GuardDuty邀请管理的组织中的现有账户启用启动的恶意软件扫描 必须在成员 GuardDuty 账户中创建 EC2 服务相关角色 (SLR) 的恶意软件防护。管理员帐户无法在不由 Amazon Organizations管理 GuardDuty的成员帐户中启用启动的恶意软件扫描功能。 目前,您可以通过 GuardDuty 控制台执行以下步骤,为现有成员帐户启用 GuardDuty启动的恶意软件扫描。[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/) ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 使用管理员账户凭证登录。 1. 在导航窗格中,选择**账户**。 1. 选择要为其启用 GuardDuty启动的恶意软件扫描的成员帐户。您可以一次选择多个账户。 1. 选择**操作**。 1. 选择**取消关联成员**。 1. 在您的成员账户中,在导航窗格的**保护计划**下选择**恶意软件防护**。 1. 选择**启用 GuardDuty启动的恶意软件扫描**。 GuardDuty 将为成员账户创建 SLR。有关 SLR 的更多信息,请参阅 [EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)。 1. 在管理员账户中,选择导航窗格上的**账户**。 1. 选择需要重新添加到组织的成员账户。 1. 选择**操作**,然后选择**添加成员**。 ------ #### [ API/CLI ] 1. 使用管理员帐户对想要启用 GuardDuty启动的恶意软件扫描的成员帐户运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_DisassociateMembers.html)API。 1. 使用您的成员帐户调用[https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html)以启用 GuardDuty启动的恶意软件扫描。 要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面,或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}' ``` 1. 使用管理员账户运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_CreateMembers.html) API,以将成员重新添加回组织。 ------