在多账户环境中启用 EKS 防护

在多账户环境中，仅委派 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 EKS 防护功能。GuardDuty 成员账户无法通过其账户修改此配置。委派 GuardDuty 管理员账户使用 Amazon Organizations 管理其成员账户。此委派 GuardDuty 管理员账户可以选择在所有新账户加入组织时，为其自动启用 EKS 防护。有关多账户环境的更多信息，请参阅在 Amazon GuardDuty 中管理多个账户。

选择您偏好的访问方法，为委派 GuardDuty 管理员账户配置 EKS 审计日志监控。

Console

通过以下网址打开 GuardDuty 控制台：https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择“EKS 保护”。
在配置选项卡下，您可以在相应部分中查看 EKS 审计日志监控的当前配置状态。要更新委派 GuardDuty 管理员账户的配置，请在EKS 审计日志监控窗格中选择编辑。
请执行以下操作之一：
使用对所有账户启用
- 选择为所有账户启用。此操作将为 Amazon 组织中的所有活跃 GuardDuty 账户启用保护计划，包括加入组织的新账户。
- 选择保存。
使用手动配置账户
- 要仅为委派 GuardDuty 管理员账户启用防护计划，请选择手动配置账户。
- 在委派 GuardDuty 管理员账户（此账户）部分选择启用。
- 选择保存。

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作，并传递 name 为 EKS_AUDIT_LOGS、status 为 ENABLED 或 DISABLED 的 features 对象。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。

您可以通过运行以下 Amazon CLI 命令来启用或禁用 EKS 审计日志监控。确保使用委派 GuardDuty 管理员账户的有效检测器 ID。

注意

以下示例代码可启用 EKS 审计日志监控。务必要将 12abc34d567e8fa901bc2d34e56789f0 替换为委派 GuardDuty 管理员账户的 detector-id，并将 555555555555 替换为委派 GuardDuty 管理员账户的 Amazon Web Services 账户。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。


aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'

要禁用 EKS 审计日志监控，请将 ENABLED 替换为 DISABLED。

选择您的首选访问方式，为组织中的现有成员账户启用 EKS 审计日志监控。

Console

登录 Amazon Web Services 管理控制台，打开 GuardDuty 控制台：https://console.aws.amazon.com/guardduty/。

务必要使用委派 GuardDuty 管理员账户的凭证。
请执行以下操作之一：
使用 EKS 保护页面
1. 在导航窗格中，选择 EKS 保护。
2. 在配置选项卡下，您可以查看组织中活跃成员账户的 EKS 审计日志监控的当前状态。
  
  要更新 EKS 审计日志监控的配置，请选择编辑。
3. 选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 EKS 审计日志监控。
4. 选择保存。
  
  注意
  更新成员账户的配置可能最长需要 24 小时。
使用账户页面
1. 在导航窗格中，选择账户。
2. 在账户页面上，选择自动启用首选项，然后选择通过邀请添加账户。
3. 在管理自动启用首选项窗口中，在 EKS 审计日志监控下选择为所有账户启用。
4. 选择保存。
如果您无法使用为所有账户启用选项，并且想要为组织中的特定账户自定义 EKS 审计日志监控配置，请参阅有选择地为成员账户启用或禁用 EKS 审计日志监控。

API/CLI

要有选择地为您的成员账户启用或禁用 EKS 审计日志监控，请使用您自己的检测器 ID 运行 updateMemberDetectors API 操作。
以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用，请将 ENABLED 替换为 DISABLED。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
```
注意
您还可以传递由空格分隔的账户 ID 列表。
成功执行代码后，会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

选择您的首选访问方式，为组织中所有现有活跃成员账户启用 EKS 审计日志监控。

在选择配置 GuardDuty 启动的恶意软件扫描之前，新添加的成员账户必须启用 GuardDuty。通过邀请进行管理的成员账户，可以为其账户手动配置 GuardDuty 启动的恶意软件扫描。有关更多信息，请参阅 Step 3 - Accept an invitation。

选择您的首选访问方式，为加入您组织的新账户启用 EKS 审计日志监控。

Console

委派 GuardDuty 管理员账户可以使用 EKS 审计日志监控或账户页面，为组织中的新成员账户启用 EKS 审计日志监控。

为新成员账户自动启用 EKS 审计日志监控

通过以下网址打开 GuardDuty 控制台：https://console.aws.amazon.com/guardduty/。

务必要使用委派 GuardDuty 管理员账户的凭证。
请执行以下操作之一：
- 使用 EKS 保护页面：
  1. 在导航窗格中，选择 EKS 保护。
  2. 在 EKS 保护页面上，在 EKS 审计日志监控中选择编辑。
  3. 选择手动配置账户。
  4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时，系统都会自动为其账户启用 EKS 审计日志监控。只有组织的委派 GuardDuty 管理员账户才能修改此配置。
  5. 选择保存。
- 使用账户页面：
  1. 在导航窗格中，选择账户。
  2. 在账户页面上，选择自动启用首选项。
  3. 在管理自动启用首选项窗口中，在 EKS 审计日志监控下选择为新账户启用。
  4. 选择保存。

API/CLI

要有选择地为您的新账户启用或禁用 EKS 审计日志监控，请使用您自己的检测器 ID 运行 UpdateOrganizationConfiguration API 操作。
以下示例说明如何为加入组织的新成员启用 EKS 审计日志监控。您还可以传递由空格分隔的账户 ID 列表。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'
```

选择您的首选访问方式，为组织中所选的部分成员账户启用或禁用 EKS 审计日志监控。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

EKS 保护

为独立账户启用 EKS 防护

在多账户环境中启用 EKS 防护

使用对所有账户启用

使用手动配置账户

注意

使用 EKS 保护页面

注意

使用账户页面

注意

注意

为新成员账户自动启用 EKS 审计日志监控

启用或禁用 EKS 审计日志监控