本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 API 指定 GuardDuty 委派 GuardDuty 管理员账号并管理成员
步骤 1-为您的 Amazon 组织指定委派 GuardDuty 管理员帐户
-
enableOrganizationAdminAccount使用组织管理账户 Amazon Web Services 账户 的凭据运行。
-
或者,您可以使用 Amazon Command Line Interface 来执行此操作。以下 Amazon CLI 命令仅为您当前的区域指定委派 GuardDuty 管理员帐户。运行以下 Amazon CLI 命令并确保将
111111111111
替换为您要指定为委托管理员帐户的帐户 Amazon Web Services 账户 ID: GuardDutyaws guardduty enable-organization-admin-account --admin-account-id
111111111111
要为其他区域指定委派 GuardDuty 管理员帐户,请在 Amazon CLI 命令中指定区域。以下示例演示如何在美国西部(俄勒冈)启用委托 GuardDuty 管理员账户。确保将 us-we
st-2
替换为要为其分配委派管理员账户的区域。 GuardDuty GuardDutyaws guardduty enable-organization-admin-account --admin-account-id
111111111111
--regionus-west-2
有关 Amazon Web Services 区域 何 GuardDuty 处可用的信息,请参见区域和端点。
GuardDuty 如果您的委托 GuardDuty 管理员账户未启用,它将无法执行任何操作。如果尚未启用,请确保 GuardDuty 为新指定的委派 GuardDuty 管理员帐户启用。
-
-
(推荐)重复前面的步骤,在每个已 GuardDuty 启用 Amazon Web Services 区域 的地方指定委派 GuardDuty 管理员帐户。
步骤 2:为组织配置自动启用首选项
-
-
使用UpdateOrganizationConfiguration委派 GuardDuty 管理员账户的凭据运行,在该区域为您的组织自动配置保护计划 GuardDuty 和可选保护计划
要查找您的账户和当前地区
detectorId
对应的,请参阅 https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面。 注意
有关各种自动启用配置的信息,请参阅autoEnableOrganization成员。
-
要为您所在区域中任何受支持的可选保护计划设置自动启用首选项,请按照每个保护计划的相应文档部分中提供的步骤进行操作。
-
您可以验证当前区域中组织的首选项。运行 describeOrganizationConfiguration。请务必指定委派 GuardDuty 管理员账户的检测器 ID。
注意
更新所有成员账户的配置可能最长需要 24 小时。
-
-
或者,运行以下 Amazon CLI 命令将首选项设置为 GuardDuty 在该区域自动启用或禁用加入组织的新帐户 (
NEW
)、组织中的所有帐户 (ALL
) 或不包含任何帐户 (NONE
)。有关更多信息,请参阅autoEnableOrganization成员。根据您的首选项,可能需要将NEW
替换为ALL
或NONE
。如果您使用配置保护计划ALL
,则还会为委派的 GuardDuty 管理员帐户启用保护计划。请务必指定管理组织配置的委派 GuardDuty 管理员帐户的检测器 ID。要查找您的账户和当前地区
detectorId
对应的,请参阅 https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面。 aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--auto-enable-organization-members=NEW -
您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员帐户的检测器 ID 运行以下 Amazon CLI 命令。
aws guardduty describe-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
-
-
-
(推荐)使用委派 GuardDuty 管理员账户检测器 ID 在每个区域重复前面的步骤。
注意
当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (
NEW
) 或所有成员账户 (ALL
),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。
步骤 3:添加账户作为组织的成员
-
使用上一步中指定的委派 GuardDuty 管理员账户的凭据运行CreateMembers。
您必须指定委派 GuardDuty 管理员账户的区域检测器 ID 以及要添加为 GuardDuty 成员的账户的账户详细信息(Amazon Web Services 账户 ID 和相应的电子邮件地址)。可以使用此 API 操作创建一个或多个成员。
当您在组织CreateMembers中运行时,新成员的自动启用首选项将在新成员帐户加入您的组织时适用。当您CreateMembers使用现有成员帐户运行时,组织配置也将适用于现有成员。这可能会更改现有成员账户的当前配置。
ListAccounts在 Amazon Organizations API 参考中运行,查看 Amazon 组织中的所有账户。
重要
当您将账户添加为 GuardDuty 成员时,该账户将在该地区自动 GuardDuty 启用。组织管理账户有一个例外。在将管理账户账户添加为 GuardDuty 成员之前,必须将其 GuardDuty 启用。
-
或者,你可以使用 Amazon Command Line Interface。运行以下 Amazon CLI 命令,并确保使用您自己的有效检测器 ID、 Amazon Web Services 账户 ID 以及与账户 ID 关联的电子邮件地址。
要查找您的账户和当前地区
detectorId
对应的,请参阅 https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面。 aws guardduty create-members --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-details AccountId=111122223333
,Email=guardduty-member-name@amazon.com
您可以通过运行以下 Amazon CLI 命令来查看所有组织成员的列表:
aws organizations list-accounts
将此账户添加为成员后,将应用自动启用 GuardDuty配置。
-