本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用控制台指定委派 GuardDuty 管理员账号并管理成员 GuardDuty
步骤 1-为您的组织指定委派 GuardDuty 管理员帐户
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 若要登录,请使用 Amazon Organizations 组织的管理账户凭证。
-
如果您已经启用 GuardDuty 了管理账户,请跳过此步骤并执行下一步操作。
如果您 GuardDuty 尚未启用,请选择 “开始”,然后在 “欢迎使用 GuardDuty” 页面上指定委派 GuardDuty 管理员帐户。
注意
管理账户必须具有 GuardDuty 服务关联角色 (SLR),这样委派的 GuardDuty 管理员账户才能在该账户 GuardDuty 中启用和管理。在区域 GuardDuty 中为管理账户启用后,系统会自动创建此 SLR。
-
启用 GuardDuty 管理账户后,请执行此步骤。在 GuardDuty 控制台的导航窗格中,选择设置。在 “设置” 页面上,输入要指定为组织委派 GuardDuty 管理员帐户的账户的 12 位 Amazon Web Services 账户 ID。
请务必 GuardDuty 为您新指定的委派 GuardDuty 管理员账户启用,否则它将无法执行任何操作。
-
选择 Delegate(委派)。
-
(推荐)重复前面的步骤,在每个已 GuardDuty 启用的 Amazon Web Services 区域 位置指定委派 GuardDuty 管理员帐户。
第 2 步-为您的组织配置自动启用首选项
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 要登录,请使用 GuardDuty 管理员帐户凭据。
-
在导航窗格中,选择账户。
“帐户” 页面为 GuardDuty 管理员帐户提供要自动启用的配置选项, GuardDuty 以及代表属于该组织的成员帐户的可选保护计划。
-
要更新现有的自动启用设置,请选择编辑。
此支持可用于配置 GuardDuty 以及您的所有受支持的可选保护计划 Amazon Web Services 区域。您可以代表您的成员账户选择以下配置选项之一: GuardDuty
-
为所有帐户启用 (
ALL
)-选择此选项可为组织中的所有帐户启用相应的选项。这包括加入组织的新账户,以及可能已被暂停或从组织中删除的账户。这还包括委派 GuardDuty 管理员帐户。注意
更新所有成员账户的配置最多可能需要 24 小时。
-
为新帐户自动启用 (
NEW
)-选择仅在新成员帐户加入您的组织时自动启用 GuardDuty 或可选的保护计划。 -
请勿启用 (
NONE
)-选择该选项可防止为组织中的新帐户启用相应的选项。在这种情况下, GuardDuty 管理员帐户将单独管理每个帐户。当您将自动启用设置从
ALL
或更新NEW
为时NONE
,此操作不会禁用现有账户的相应选项。此配置将应用于加入组织的新帐户。更新自动启用设置后,任何新账户都不会启用相应的选项。
注意
当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (
NEW
) 或所有成员账户 (ALL
),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。 -
-
选择保存更改。
-
(可选)如果您想在每个地区使用相同的首选项,请分别更新每个受支持区域的首选项。
某些可选保护计划可能并非在所有可用 Amazon Web Services 区域 的地方都可 GuardDuty 用。有关更多信息,请参阅 区域和端点。
步骤 3:添加账户作为组织的成员
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 要登录,请使用委派的 GuardDuty 管理员帐户凭据。
-
在导航窗格中,选择账户。
账户表显示了通过组织(Amazon Organizations)或通过邀请添加的所有账户。如果成员账户未与组织的 GuardDuty 管理员账户关联,则该成员账户的状态为非成员。
-
选择要添加作为成员的一个或多个账户 ID。这些账户 ID 的类型必须为通过组织。
通过邀请添加的账户不属于您的组织。您可以单独管理此类账户。有关更多信息,请参阅 通过邀请管理账户。
-
选择操作下拉列表,然后选择添加成员。将此账户添加为成员后,将应用自动启用 GuardDuty 配置。根据中的设置步骤 1-为您的组织指定委派 GuardDuty 管理员帐户,这些帐户的 GuardDuty配置可能会发生变化。
-
您可以选择 “状态” 列的向下箭头,按非成员状态对账户进行排序,然后选择当前区域中未 GuardDuty 启用的每个账户。
如果尚未将账户表中列出的账户添加为成员,则可以在当前区域 GuardDuty 中为所有组织账户启用。在页面顶部的横幅中选择启用。此操作会自动开启自动启用 GuardDuty 配置, GuardDuty 以便为任何加入组织的新账户启用该配置。
-
选择确认,添加账户作为成员。此操作还 GuardDuty 适用于所有选定的帐户。账户的状态将变为已启用。
-
(推荐)在每个步骤中重复这些步骤 Amazon Web Services 区域。这样可以确保委派 GuardDuty 管理员账户可以在您 GuardDuty 启用的所有区域中管理成员账户的发现结果和其他配置。
自动启用功能 GuardDuty 适用于组织中的所有 future 成员。这样,您的委托 GuardDuty 管理员帐户就可以管理在组织内创建或添加到组织中的任何新成员。当成员账户数量达到 50,000 的限制时,自动启用功能将自动关闭。如果您删除了一个成员帐户,并且成员总数减少到少于 50,000,则自动启用功能将重新开启。
(可选)步骤 4-为个人账户配置保护计划
您可以通过账户页面为单个账户配置保护计划。
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 使用委派 GuardDuty 管理员账户证书。
-
在导航窗格中,选择账户。
-
选择要为其配置保护计划的一个或多个账户。对要配置的每个保护计划重复以下步骤:
-
选择编辑保护计划。
-
从保护计划列表中,选择您要配置的一个保护计划。
-
选择要为此保护计划执行的操作之一,然后选择确认。
-
对于选定账户,与配置的保护计划对应的列将显示更新的配置为已启用或未启用。
-