将 GuardDuty 管理员帐户整合到一个组织下 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 GuardDuty 管理员帐户整合到一个组织下

GuardDuty 建议使用关联 Amazon Organizations 来管理委派 GuardDuty 管理员账户下的成员账户。您可以使用下面概述的示例流程,将组织中受邀关联的管理员帐户和成员整合到一个 GuardDuty 委派的 GuardDuty 管理员账户下。

注意

GuardDuty 建议使用 Amazon Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息,请参阅 使用 Amazon Organizations管理账户

已由委派 GuardDuty 管理员账户管理的账户或与委派 GuardDuty 管理员账户关联的活跃成员账户无法添加到其他委托 GuardDuty 管理员账户。每个组织在每个区域只能有一个委托 GuardDuty 管理员账户,每个成员账户只能有一个委托 GuardDuty 管理员账户。

选择首选访问方法,将 GuardDuty 管理员帐户合并到单个委派 GuardDuty 管理员帐户下。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    若要登录,请使用组织的管理账户凭证。

  2. 您要管理的所有账户都 GuardDuty 必须是您的组织的一部分。有关向组织添加账户的信息,请参阅邀请 Amazon Web Services 账户 加入您的组织

  3. 确保所有成员账户都与您想要指定为单一委派 GuardDuty 管理员账户的账户相关联。取消关联仍与原有管理员账户关联的成员账户。

    以下步骤可帮助您取消成员账户与原有管理员账户的关联:

    1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    2. 若要登录,请使用原有管理员账户凭证。

    3. 在导航窗格中,选择账户

    4. 账户页面上,选择一个或多个要与管理员账户取消关联的账户。

    5. 选择操作,然后选择取消关联账户

    6. 选择确认以完成该步骤。

  4. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    若要登录,请使用管理账户凭证。

  5. 在导航窗格中,选择 Settings(设置)。在 “设置” 页面上,为组织指定委派 GuardDuty 管理员帐户。

  6. 登录指定的委派 GuardDuty 管理员账号。

  7. 添加组织中的成员。有关更多信息,请参阅 使用管理 GuardDuty 账户 Amazon Organizations

API/CLI

  1. 您要管理的所有账户都 GuardDuty 必须是您的组织的一部分。有关向组织添加账户的信息,请参阅邀请 Amazon Web Services 账户 加入您的组织

  2. 确保所有成员账户都与您想要指定为单一委派 GuardDuty 管理员账户的账户相关联。

    1. 运行DisassociateMembers以取消任何仍与先前存在的管理员帐户关联的成员帐户。

    2. 或者,您可以使用 Amazon Command Line Interface 运行以下命令并替换为要取消777777777777与成员帐户关联的先前存在的管理员帐户的检测器 ID。666666666666替换为您要取消关联的成员账户的 Amazon Web Services 账户 ID。

      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666

  3. 运行EnableOrganizationAdminAccount以委托 GuardDuty 管理员帐户的 Amazon Web Services 账户 身份进行委托。

    或者,您可以使用 Amazon Command Line Interface 运行以下命令来委托委派 GuardDuty 管理员帐户:

    aws guardduty enable-organization-admin-account --admin-account-id 777777777777

  4. 添加组织中的成员。有关更多信息,请参阅 Create or add member member accounts using API

重要

为了最大限度地提高区域服务的效率,我们建议您指定您的委托 GuardDuty 管理员账户,并在每个地区添加所有成员账户。 GuardDuty