使用控制台指定委派 GuardDuty 管理员账号并管理成员 GuardDuty - Amazon GuardDuty
步骤 1-为您的组织指定委派 GuardDuty 管理员帐户第 2 步-为您的组织配置自动启用首选项步骤 3:添加账户作为组织的成员(可选)步骤 4-为个人账户配置保护计划
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台指定委派 GuardDuty 管理员账号并管理成员 GuardDuty

步骤 1-为您的组织指定委派 GuardDuty 管理员帐户

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    若要登录,请使用 Amazon Organizations 组织的管理账户凭证。

  2. 如果您已经启用 GuardDuty 了管理账户,请跳过此步骤并执行下一步操作。

    如果您 GuardDuty 尚未启用,请选择 “开始”,然后在 “欢迎使用 GuardDuty” 页面上指定委派 GuardDuty 管理员帐户。

    注意

    管理账户必须具有 GuardDuty 服务关联角色 (SLR),这样委派的 GuardDuty 管理员账户才能在该账户 GuardDuty 中启用和管理。在区域 GuardDuty 中为管理账户启用后,系统会自动创建此 SLR。

  3. 启用 GuardDuty 管理账户后,请执行此步骤。在 GuardDuty 控制台的导航窗格中,选择设置。在 “设置” 页面上,输入要指定为组织委派 GuardDuty 管理员帐户的账户的 12 位 Amazon Web Services 账户 ID。

    请务必 GuardDuty 为您新指定的委派 GuardDuty 管理员账户启用,否则它将无法执行任何操作。

  4. 选择 Delegate(委派)

  5. (推荐)重复前面的步骤,在每个已 GuardDuty 启用的 Amazon Web Services 区域 位置指定委派 GuardDuty 管理员帐户。

第 2 步-为您的组织配置自动启用首选项

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    要登录,请使用 GuardDuty 管理员帐户凭据。

  2. 在导航窗格中,选择账户

    帐户” 页面为 GuardDuty 管理员帐户提供要自动启用的配置选项, GuardDuty 以及代表属于该组织的成员帐户的可选保护计划。

  3. 要更新现有的自动启用设置,请选择编辑

    作为委托 GuardDuty 管理员账户,您可以代表组织中的成员账户自动启用 GuardDuty 和可选的保护计划。要更新自动启用设置,请选择 “编辑” 以打开 “管理自动启用首选项” 对话框窗口。

    此支持可用于配置 GuardDuty 以及您的所有受支持的可选保护计划 Amazon Web Services 区域。您可以代表您的成员账户选择以下配置选项之一: GuardDuty

    • 为所有帐户启用 (ALL)-选择此选项可为组织中的所有帐户启用相应的选项。这包括加入组织的新账户,以及可能已被暂停或从组织中删除的账户。这还包括委派 GuardDuty 管理员帐户。

      注意

      更新所有成员账户的配置最多可能需要 24 小时。

    • 为新帐户自动启用 (NEW)-选择仅在新成员帐户加入您的组织时自动启用 GuardDuty 或可选的保护计划。

    • 请勿启用 (NONE)-选择该选项可防止为组织中的新帐户启用相应的选项。在这种情况下, GuardDuty 管理员帐户将单独管理每个帐户。

      当您将自动启用设置从ALL或更新NEW为时NONE,此操作不会禁用现有账户的相应选项。此配置将应用于加入组织的新帐户。更新自动启用设置后,任何新账户都不会启用相应的选项。

    注意

    当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。

  4. 选择保存更改

  5. (可选)如果您想在每个地区使用相同的首选项,请分别更新每个受支持区域的首选项。

    某些可选保护计划可能并非在所有可用 Amazon Web Services 区域 的地方都可 GuardDuty 用。有关更多信息,请参阅 区域和端点

步骤 3:添加账户作为组织的成员

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    要登录,请使用委派的 GuardDuty 管理员帐户凭据。

  2. 在导航窗格中,选择账户

    账户表显示了通过组织(Amazon Organizations)或通过邀请添加的所有账户。如果成员账户未与组织的 GuardDuty 管理员账户关联,则该成员账户的状态为非成员

  3. 选择要添加作为成员的一个或多个账户 ID。这些账户 ID 的类型必须为通过组织

    通过邀请添加的账户不属于您的组织。您可以单独管理此类账户。有关更多信息,请参阅 通过邀请管理账户

  4. 选择操作下拉列表,然后选择添加成员。将此账户添加为成员后,将应用自动启用 GuardDuty 配置。根据中的设置步骤 1-为您的组织指定委派 GuardDuty 管理员帐户,这些帐户的 GuardDuty配置可能会发生变化。

  5. 您可以选择 “状态” 列的向下箭头,按非成员状态对账户进行排序,然后选择当前区域中未 GuardDuty 启用的每个账户。

    如果尚未将账户表中列出的账户添加为成员,则可以在当前区域 GuardDuty 中为所有组织账户启用。在页面顶部的横幅中选择启用。此操作会自动开启自动启用 GuardDuty 配置, GuardDuty 以便为任何加入组织的新账户启用该配置。

  6. 选择确认,添加账户作为成员。此操作还 GuardDuty 适用于所有选定的帐户。账户的状态将变为已启用

  7. (推荐)在每个步骤中重复这些步骤 Amazon Web Services 区域。这样可以确保委派 GuardDuty 管理员账户可以在您 GuardDuty 启用的所有区域中管理成员账户的发现结果和其他配置。

    自动启用功能 GuardDuty 适用于组织中的所有 future 成员。这样,您的委托 GuardDuty 管理员帐户就可以管理在组织内创建或添加到组织中的任何新成员。当成员账户数量达到 50,000 的限制时,自动启用功能将自动关闭。如果您删除了一个成员帐户,并且成员总数减少到少于 50,000,则自动启用功能将重新开启。

(可选)步骤 4-为个人账户配置保护计划

您可以通过账户页面为单个账户配置保护计划。

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    使用委派 GuardDuty 管理员账户证书。

  2. 在导航窗格中,选择账户

  3. 选择要为其配置保护计划的一个或多个账户。对要配置的每个保护计划重复以下步骤:

    1. 选择编辑保护计划

    2. 从保护计划列表中,选择您要配置的一个保护计划。

    3. 选择要为此保护计划执行的操作之一,然后选择确认

    4. 对于选定账户,与配置的保护计划对应的列将显示更新的配置为已启用未启用