指定委派 GuardDuty 管理员账户 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

指定委派 GuardDuty 管理员账户

本节说明了在 GuardDuty 组织中指定委派管理员的步骤。

作为 Amazon 组织的管理账户,请务必通读有关委派 GuardDuty 管理员账户工作原理的注意事项和建议。在继续操作之前,请确保您拥有指定委派 GuardDuty 管理员账户所需的权限

选择一种您偏好的访问方法,为组织指定委派 GuardDuty 管理员账户。只有管理账户才能执行此步骤。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    若要登录,请使用 Amazon Organizations 组织的管理账户凭证。

  2. 通过使用页面右上角的 Amazon Web Services 区域选择器,选择您要在其中为您的组织指定委派 GuardDuty 管理员账户的区域。

  3. 根据您的管理账户在当前区域中是否启用 GuardDuty,执行以下操作之一:

    • 如果未启用 GuardDuty,请选择 Amazon GuardDuty – 所有功能,然后选择开始。此操作将会打开欢迎使用 GuardDuty 页面。

    • 如果已启用 GuardDuty,请在导航窗格中选择设置

  4. 委派管理员下,输入要指定为组织的委派 GuardDuty 管理员账户的账户的 12 位 Amazon Web Services 账户 ID。

    务必要为您新指定的委派 GuardDuty 管理员账户启用 GuardDuty,否则该账户将无法执行任何操作。

  5. 选择 Delegate(委派)

  6. (建议)重复上述步骤,在您启用了 GuardDuty 的每个 Amazon Web Services 区域中指定该委派 GuardDuty 管理员账户。

API/CLI

  1. 使用组织管理账户的 Amazon Web Services 账户 凭证运行 enableOrganizationAdminAccount

    • 或者,您可以使用 Amazon Command Line Interface 来执行此操作。以下 Amazon CLI 命令将仅为您当前的区域指定委派 GuardDuty 管理员账户。运行以下 Amazon CLI 命令,并且务必要将 111111111111 替换为要指定为 GuardDuty 委派管理员账户的 Amazon Web Services 账户 ID:

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111

      要为其他区域指定该委派 GuardDuty 管理员账户,请在 Amazon CLI 命令中指定该区域。以下示例演示了如何在美国西部(俄勒冈州)区域启用委派 GuardDuty 管理员账户。务必要将 us-west-2 替换为要为其分配委派 GuardDuty 管理员账户的区域。

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2

      要了解提供 GuardDuty 的 Amazon Web Services 区域,请参阅区域和端点

    如果您的委派 GuardDuty 管理员账户已禁用 GuardDuty,则该账户将无法执行任何操作。如果尚未启用,则务必要为新指定的委派 GuardDuty 管理员账户启用 GuardDuty。

  2. (建议)重复上述步骤,在您启用了 GuardDuty 的每个 Amazon Web Services 区域中指定该委派 GuardDuty 管理员账户。