在多账户环境中启用 EKS 防护

在多账户环境中，只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 EKS Protection; 功能。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 Amazon Organizations。这个委派的 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 EKS 保护。有关多账户环境的更多信息，请参阅在 A mazon 中管理多个账户。 GuardDuty

选择您的首选访问方式，为委派的 GuardDuty 管理员账户配置 EKS 审核日志监控。

Console

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择“EKS 保护”。
在配置选项卡下，您可以在相应部分中查看 EKS 审计日志监控的当前配置状态。要更新委派 GuardDuty 管理员帐户的配置，请在 “E KS 审核日志监控” 窗格中选择 “编辑”。
请执行以下操作之一：
使用对所有账户启用
- 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户（包括加入 Amazon 组织的新账户）启用保护计划。
- 选择保存。
使用手动配置账户
- 要仅为委派 GuardDuty 管理员账户启用保护计划，请选择手动配置帐户。
- 在 “委派 GuardDuty 管理员帐户（此账户）” 部分下选择 “启用”。
- 选择保存。

API/CLI

运行updateDetectorAPI 操作使用您自己的区域探测器 ID，并将features对象name作为EKS_AUDIT_LOGS和status作为ENABLED或传递DISABLED。

要查找您的账户和当前区域的，请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行 detectorId ListDetectorsAPI。

您可以通过运行以下 Amazon CLI 命令来启用或禁用 EKS 审核日志监控。请务必使用有效的委托 GuardDuty 管理员账号detector ID。

注意

以下示例代码可启用 EKS 审计日志监控。请务必12abc34d567e8fa901bc2d34e56789f0替换为委派 GuardDuty 管理员账号的，555555555555替换为 Amazon Web Services 账户委派 GuardDuty 管理员账号的。detector-id

要查找您的账户和当前区域的，请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行 detectorId ListDetectorsAPI。


aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

要禁用 EKS 审计日志监控，请将 ENABLED 替换为 DISABLED。

选择您的首选访问方式，为组织中的现有成员账户启用 EKS 审计日志监控。

Console

登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。

请务必使用委派 GuardDuty 管理员账户证书。
请执行以下操作之一：
使用 EKS 保护页面
1. 在导航窗格中，选择 EKS 保护。
2. 在配置选项卡下，您可以查看组织中活跃成员账户的 EKS 审计日志监控的当前状态。
  
  要更新 EKS 审计日志监控的配置，请选择编辑。
3. 选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 EKS 审计日志监控。
4. 选择保存。
  
  注意
  更新成员账户的配置可能最长需要 24 小时。
使用账户页面
1. 在导航窗格中，选择账户。
2. 在账户页面上，选择自动启用首选项，然后选择通过邀请添加账户。
3. 在管理自动启用首选项窗口中，在 EKS 审计日志监控下选择为所有账户启用。
4. 选择保存。
如果您无法使用为所有账户启用选项，并且想要为组织中的特定账户自定义 EKS 审计日志监控配置，请参阅有选择地为成员账户启用或禁用 EKS 审计日志监控。

API/CLI

要有选择地为您的成员账户启用或禁用 EKS 审核日志监控，请运行 updateMemberDetectors使用您自己的 API 操作detector ID。
以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用，请将 ENABLED 替换为 DISABLED。

要查找您的账户和当前区域的，请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行 detectorId ListDetectorsAPI。
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
```
注意
您也可以传递用空格 IDs 分隔的账户列表。
成功执行代码后，会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

选择您的首选访问方式，为组织中所有现有活跃成员账户启用 EKS 审计日志监控。

在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前，必须启用新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息，请参阅 Step 3 - Accept an invitation。

选择您的首选访问方式，为加入您组织的新账户启用 EKS 审计日志监控。

Console

委派的 GuardDuty 管理员账户可以使用 EKS 审核日志监控或账户页面为组织中的新成员账户启用 EKS 审核日志监控。

为新成员账户自动启用 EKS 审计日志监控

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。

请务必使用委派 GuardDuty 管理员账户证书。
请执行以下操作之一：
- 使用 EKS 保护页面：
  1. 在导航窗格中，选择 EKS 保护。
  2. 在 EKS 保护页面上，在 EKS 审计日志监控中选择编辑。
  3. 选择手动配置账户。
  4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时，系统都会自动为其账户启用 EKS 审计日志监控。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。
  5. 选择保存。
- 使用账户页面：
  1. 在导航窗格中，选择账户。
  2. 在账户页面上，选择自动启用首选项。
  3. 在管理自动启用首选项窗口中，在 EKS 审计日志监控下选择为新账户启用。
  4. 选择保存。

API/CLI

要有选择地为您的新账户启用或禁用 EKS 审核日志监控，请运行 UpdateOrganizationConfiguration使用您自己的 API 操作detector ID。
以下示例说明如何为加入组织的新成员启用 EKS 审计日志监控。您也可以传递用空格 IDs 分隔的账户列表。

要查找您的账户和当前区域的，请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行 detectorId ListDetectorsAPI。
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'
```

选择您的首选访问方式，为组织中所选的部分成员账户启用或禁用 EKS 审计日志监控。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

EKS 保护

为独立账户启用 EKS 防护

在多账户环境中启用 EKS 防护

使用对所有账户启用

使用手动配置账户

注意

使用 EKS 保护页面

注意

使用账户页面

注意

注意

为新成员账户自动启用 EKS 审计日志监控

启用或禁用 EKS 审计日志监控