使用 API 指定 GuardDuty 委派 GuardDuty 管理员账号并管理成员 - Amazon GuardDuty
步骤 1-为您的 Amazon 组织指定委派 GuardDuty 管理员帐户步骤 2:为组织配置自动启用首选项步骤 3:添加账户作为组织的成员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 API 指定 GuardDuty 委派 GuardDuty 管理员账号并管理成员

步骤 1-为您的 Amazon 组织指定委派 GuardDuty 管理员帐户

  1. enableOrganizationAdminAccount使用组织管理账户 Amazon Web Services 账户 的凭据运行。

    • 或者,您可以使用 Amazon Command Line Interface 来执行此操作。以下 Amazon CLI 命令仅为您当前的区域指定委派 GuardDuty 管理员帐户。运行以下 Amazon CLI 命令并确保将 111111111111 替换为您要指定为委托管理员帐户的帐户 Amazon Web Services 账户 ID: GuardDuty 

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111

      要为其他区域指定委派 GuardDuty 管理员帐户,请在 Amazon CLI 命令中指定区域。以下示例演示如何在美国西部(俄勒冈)启用委托 GuardDuty 管理员账户。确保将 us-we st-2 替换为要为其分配委派管理员账户的区域。 GuardDuty GuardDuty 

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2

      有关 Amazon Web Services 区域 何 GuardDuty 处可用的信息,请参见区域和端点

    GuardDuty 如果您的委托 GuardDuty 管理员账户未启用,它将无法执行任何操作。如果尚未启用,请确保 GuardDuty 为新指定的委派 GuardDuty 管理员帐户启用。

  2. (推荐)重复前面的步骤,在每个已 GuardDuty 启用 Amazon Web Services 区域 的地方指定委派 GuardDuty 管理员帐户。

步骤 2:为组织配置自动启用首选项

    1. 使用UpdateOrganizationConfiguration委派 GuardDuty 管理员账户的凭据运行,在该区域为您的组织自动配置保护计划 GuardDuty 和可选保护计划

      要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

      注意

      有关各种自动启用配置的信息,请参阅autoEnableOrganization成员

    2. 要为您所在区域中任何受支持的可选保护计划设置自动启用首选项,请按照每个保护计划的相应文档部分中提供的步骤进行操作。

    3. 您可以验证当前区域中组织的首选项。运行 describeOrganizationConfiguration。请务必指定委派 GuardDuty 管理员账户的检测器 ID。

      注意

      更新所有成员账户的配置可能最长需要 24 小时。

      1. 或者,运行以下 Amazon CLI 命令将首选项设置为 GuardDuty 在该区域自动启用或禁用加入组织的新帐户 (NEW)、组织中的所有帐户 (ALL) 或不包含任何帐户 (NONE)。有关更多信息,请参阅autoEnableOrganization成员。根据您的首选项,可能需要将 NEW 替换为 ALLNONE。如果您使用配置保护计划ALL,则还会为委派的 GuardDuty 管理员帐户启用保护计划。请务必指定管理组织配置的委派 GuardDuty 管理员帐户的检测器 ID。

        要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

        aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

      2. 您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员帐户的检测器 ID 运行以下 Amazon CLI 命令。

        aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

  2. (推荐)使用委派 GuardDuty 管理员账户检测器 ID 在每个区域重复前面的步骤。

    注意

    当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。

步骤 3:添加账户作为组织的成员

  • 使用上一步中指定的委派 GuardDuty 管理员账户的凭据运行CreateMembers

    您必须指定委派 GuardDuty 管理员账户的区域检测器 ID 以及要添加为 GuardDuty 成员的账户的账户详细信息(Amazon Web Services 账户 ID 和相应的电子邮件地址)。可以使用此 API 操作创建一个或多个成员。

    当您在组织CreateMembers中运行时,新成员的自动启用首选项将在新成员帐户加入您的组织时适用。当您CreateMembers使用现有成员帐户运行时,组织配置也将适用于现有成员。这可能会更改现有成员账户的当前配置。

    ListAccountsAmazon Organizations API 参考中运行,查看 Amazon 组织中的所有账户。

    重要

    当您将账户添加为 GuardDuty 成员时,该账户将在该地区自动 GuardDuty 启用。组织管理账户有一个例外。在将管理账户账户添加为 GuardDuty 成员之前,必须将其 GuardDuty 启用。

    • 或者,你可以使用 Amazon Command Line Interface。运行以下 Amazon CLI 命令,并确保使用您自己的有效检测器 ID、 Amazon Web Services 账户 ID 以及与账户 ID 关联的电子邮件地址。

      要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

      aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com

      您可以通过运行以下 Amazon CLI 命令来查看所有组织成员的列表:

      aws organizations list-accounts

    将此账户添加为成员后,将应用自动启用 GuardDuty配置。