本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在多账户环境中启用 RDS 防护
<a name="configure-rds-pro-multi-account"></a>

在多账户环境中，只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 RDS Protection 功能。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 Amazon Organizations。此委派的 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 RDS 登录活动监控。有关多账户环境的更多信息，请参阅 [中有多个账户 GuardDuty](guardduty_accounts.md)。

## 为委派的 GuardDuty 管理员账户启用 RDS 保护
<a name="configure-rds-pro-delegatedadmin"></a>

选择您的首选访问方式，为委派的 GuardDuty 管理员账户配置 RDS 登录活动监控。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。

1. 在导航窗格中，选择 **RDS 保护**。

1. 在 **RDS 保护**页面上，选择**编辑**。

1. 请执行以下操作之一：

**使用**对所有账户启用****
   + 选择**为所有账户启用**。这将为组织中的所有活跃 GuardDuty 账户（包括加入 Amazon 组织的新账户）启用保护计划。
   + 选择**保存**。

**使用**手动配置账户****
   + 要仅为委派 GuardDuty 管理员账户启用保护计划，请选择**手动配置帐户**。
   + 在 “**委派 GuardDuty 管理员帐户（此账户）**” 部分下选择 “**启用**”。
   + 选择**保存**。

------
#### [ API/CLI ]

使用您自己的区域检测器 ID 运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，传递 `features` 对象，并将 `name` 设置为 `RDS_LOGIN_EVENTS`，将 `status` 设置为 `ENABLED`。

或者，您可以使用 Amazon CLI 启用 RDS 保护。运行以下命令，*12abc34d567e8fa901bc2d34e56789f0*替换为账户的检测器 ID 和*us-east-1*要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面，或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
```

------

## 为所有成员账户自动启用 RDS 保护
<a name="auto-enable-rds-pro-existing-memberaccounts"></a>

选择您的首选访问方式，为所有成员账户启用 RDS 保护功能，包括现有成员账户和加入组织的新账户。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：

**使用 **RDS 保护**页面**

   1. 在导航窗格中，选择 **RDS 保护**。

   1. 选择**为所有账户启用**。此操作会自动为组织中的现有账户和新账户启用 RDS 保护。

   1. 选择**保存**。
**注意**  
更新成员账户的配置可能最长需要 24 小时。

**使用**账户**页面**

   1. 在导航窗格中，选择**账户**。

   1. 在**账户**页面上，选择**自动启用**首选项，然后选择**通过邀请添加账户**。

   1. 在**管理自动启用首选项**窗口中，选择 **RDS 登录活动监控**下的**为所有账户启用**。

   1. 选择**保存**。

   如果您无法使用**为所有账户启用**选项，请参阅 [有选择地为成员账户启用 RDS 防护](#enable-disable-rds-pro-selectively)。

------
#### [ API/CLI ]

要有选择地为您的成员账户启用或禁用 RDS 保护，请使用您自己的*detector ID*账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。

或者，您可以使用 Amazon CLI 启用 RDS 保护。运行以下命令，*12abc34d567e8fa901bc2d34e56789f0*替换为账户的检测器 ID 和*us-east-1*要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面，或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
```

您也可以传递用空格 IDs 分隔的账户列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 为所有现有活跃成员账户启用 RDS 保护
<a name="enable-for-all-existing-members-rds-pro"></a>

选择您的首选访问方法，为组织中所有现有的活跃成员账户启用 RDS 保护。已 GuardDuty 启用的成员账户被称为现有活跃成员。

------
#### [ Console ]

1. 登录 Amazon Web Services 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。

   使用委派的 GuardDuty 管理员账户凭据登录。

1. 在导航窗格中，选择 **RDS 保护**。

1. 在 **RDS 保护**页面上，您可以查看配置的当前状态。在**活跃成员账户**部分下，选择**操作**。

1. 从**操作**下拉菜单中，选择**为所有现有活跃成员账户启用**。

1. 选择**确认**。

------
#### [ API/CLI ]

使用您自己的 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作运行*detector ID*。

或者，您可以使用 Amazon CLI 启用 RDS 保护。运行以下命令，*12abc34d567e8fa901bc2d34e56789f0*替换为账户的检测器 ID 和*us-east-1*要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面，或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
```

您也可以传递用空格 IDs 分隔的账户列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 为新成员账户自动启用 RDS 保护
<a name="auto-enable-rds-pro-new-members"></a>

选择您的首选访问方法，为加入组织的新账户启用 RDS 登录活动。

------
#### [ Console ]

委派的 GuardDuty 管理员账户可以使用 RDS Prot **ection** 或 “帐户” 页面，通过控制台为组织中的新成员**账户**启用。

**为新成员账户自动启用 RDS 保护**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：
   + 使用 **RDS 保护**页面：

     1. 在导航窗格中，选择 **RDS 保护**。

     1. 在 **RDS 保护**页面上，选择**编辑**。

     1. 选择**手动配置账户**。

     1. 选择**为新成员账户自动启用**。此步骤可确保每当有新账户加入您的组织时，系统都会自动为其账户启用 RDS 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

     1. 选择**保存**。
   + 使用**账户**页面：

     1. 在导航窗格中，选择**账户**。

     1. 在**账户**页面上，选择**自动启用**首选项。

     1. 在**管理自动启用首选项**窗口中，选择 **RDS 登录活动监控**下的**为新账户启用**。

     1. 选择**保存**。

------
#### [ API/CLI ]

要有选择地为您的成员账户启用或禁用 RDS 保护，请使用您自己的*detector ID*账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API 操作。

或者，您可以使用 Amazon CLI 启用 RDS 保护。运行以下命令，*12abc34d567e8fa901bc2d34e56789f0*替换为账户的检测器 ID 和*us-east-1*要启用 RDS 保护的区域。如果您不想为所有加入组织的新账户启用该功能，请将 `autoEnable` 设置为 `NONE`。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面，或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
```

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 有选择地为成员账户启用 RDS 防护
<a name="enable-disable-rds-pro-selectively"></a>

选择您偏好的访问方法，有选择地为成员账户启用 RDS 登录活动监控。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 在导航窗格中，选择**账户**。

   在**账户**页面上，查看 **RDS 登录活动**列，了解您的成员账户的状态。

1. 

**有选择地启用或禁用 RDS 登录活动**

   选择您要为其配置 RDS 保护的账户。您可以一次选择多个账户。在**编辑保护计划**下拉菜单中，选择 **RDS 登录活动**，然后选择相应的选项。

------
#### [ API/CLI ]

要有选择地为您的成员账户启用或禁用 RDS 保护，请使用您自己的*detector ID*账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。

或者，您可以使用 Amazon CLI 启用 RDS 保护。运行以下命令，*12abc34d567e8fa901bc2d34e56789f0*替换为账户的检测器 ID 和*us-east-1*要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面，或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
```

**注意**  
您也可以传递用空格 IDs 分隔的账户列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------