通过邀请添加账户

作为已启用 GuardDuty 的管理员账户，您可以添加成员以开始使用 GuardDuty。添加成员后，您可以邀请成员加入 GuardDuty，然后成员可以选择响应您的邀请。

注意

GuardDuty 建议使用 Amazon Organizations 来管理成员账户，而不是使用 GuardDuty 邀请。有关更多信息，请参阅使用 Amazon Organizations 管理账户。

选择一种您偏好的访问方法，以 GuardDuty 管理员账户身份添加 GuardDuty 成员账户。

Console

步骤 1：添加账户

通过以下网址打开 GuardDuty 控制台：https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择账户。
在顶部窗格中选择通过邀请添加账户。
在添加成员账户页面的输入账户详细信息下，输入与要添加的账户关联的 Amazon Web Services 账户 ID 和电子邮件地址。
要添加另一行，以便逐个输入账户详细信息，请选择添加其他账户。您也可以选择上传包含账户详细信息的.csv 文件来批量添加账户。
重要
csv 文件的第一行必须包含以下标头，如以下示例所示：Account ID,Email。随后的每一行都必须包含一个有效的 Amazon Web Services 账户 ID 及其关联的电子邮件地址。如果一行仅包含一个 Amazon Web Services 账户 ID 和用逗号分隔的关联电子邮件地址，则该行的格式是有效的。
```
Account ID,Email
                                555555555555,user@example.com
```
添加所有账户的详细信息后，选择下一步。您可以在账户表中查看新添加的账户。这些账户的状态是未发送邀请。有关向一个或多个添加的账户发送邀请的信息，请参阅 Step 2 - Invite an account。

步骤 2：邀请账户

通过以下网址打开 GuardDuty 控制台：https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择账户。
选择一个或多个您要邀请加入 Amazon GuardDuty 的账户。
选择操作下拉菜单，然后选择邀请。
在邀请加入 GuardDuty 对话框中，输入（可选）邀请消息。

如果受邀请的账户无法访问电子邮件，请选中同时向受邀者的 Amazon Web Services 账户上的根用户发送电子邮件通知，并在受邀者的 Amazon Health Dashboard 中生成警报。
选择 Send invitation (发送邀请)。如果受邀者有权访问指定的电子邮件地址，则可以打开 GuardDuty 控制台查看邀请：https://console.aws.amazon.com/guardduty/。
受邀者接受邀请后，状态列中的值将变为已邀请。有关接受邀请的信息，请参阅 Step 3 - Accept an invitation。

步骤 3：接受邀请

通过以下网址打开 GuardDuty 控制台：https://console.aws.amazon.com/guardduty/。

重要
您必须先启用 GuardDuty，然后才能查看或接受成员资格邀请。
仅在尚未启用 GuardDuty 的情况下执行以下操作；否则，可以跳过此步骤，继续下一步。

如果您尚未启用 GuardDuty，请在 Amazon GuardDuty 页面上选择开始。

在欢迎使用 GuardDuty 页面上，选择启用 GuardDuty。
为您的账户启用 GuardDuty 后，请按照以下步骤接受成员资格邀请：
1. 在导航窗格中，选择 Settings（设置）。
2. 选择 Accounts。
3. 在账户上，确保验证您接受邀请的账户的所有者。打开接受以接受成员资格邀请。
接受邀请后，您的账户将成为 GuardDuty 成员账户。其所有者发送邀请的账户将成为 GuardDuty 管理员账户。管理员账户就会知道您已接受邀请。其 GuardDuty 账户中的账户表将会更新。与成员账户 ID 对应的状态列中的值将变为已启用。管理员账户所有者现在可以代表您的账户查看和管理 GuardDuty 和保护计划配置。管理员账户还可以查看和管理为您的成员账户生成的 GuardDuty 调查发现。

API/CLI

您可以指定 GuardDuty 管理员账户，并使用 API 操作通过邀请创建或添加 GuardDuty 成员账户。运行以下 GuardDuty API 操作，以便在 GuardDuty 中指定管理员账户和成员账户。

使用您要指定为 GuardDuty 管理员账户的 Amazon Web Services 账户凭证完成以下过程。

创建或添加成员账户

使用启用了 GuardDuty 的 Amazon 账户的凭证运行 CreateMembers API 操作。这是要用作 GuardDuty 管理员账户的账户。

您必须指定当前 Amazon 账户的检测器 ID 以及要成为 GuardDuty 成员的账户的账户 ID 和电子邮件地址。可以使用此 API 操作创建一个或多个成员。

您还可以使用 Amazon 命令行工具，通过运行以下 CLI 命令来指定管理员账户。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。
```
aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
```
使用启用了 GuardDuty 的 Amazon 账户的凭证运行 InviteMembers。这是要用作 GuardDuty 管理员账户的账户。

您必须指定当前 Amazon 账户的检测器 ID 以及要成为 GuardDuty 成员的账户的账户 ID。可以使用此 API 操作邀请一个或多个成员。

注意
您也可以使用 message 请求参数指定可选的邀请消息。

您还可以通过运行以下命令，使用 Amazon Command Line Interface 来指定成员账户。务必使用您自己的有效探测器 ID，以及您要邀请的账户的有效账户 ID。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。
```
aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
```

接受邀请

使用要指定为 GuardDuty 成员账户的每个 Amazon 账户的凭证完成以下过程。

对受邀成为 GuardDuty 成员账户且您希望接受邀请的每个 Amazon 账户运行 CreateDetector API 操作。

必须指定是否使用 GuardDuty 服务启用检测器资源。必须创建并启用检测器才能使 GuardDuty 正常运行。您必须先启用 GuardDuty，然后才能接受邀请。

您也可以使用 Amazon 命令行工具，通过以下 CLI 命令完成此操作。
```
aws guardduty create-detector --enable
```
对于要使用账户凭证接受成员资格邀请的每个 Amazon 账户，运行 AcceptAdministratorInvitation API 操作。

您必须为成员账户指定该 Amazon 账户的检测器 ID、发送邀请的管理员账户的账户 ID 以及您接受的邀请的邀请 ID。您可以在邀请电子邮件中或使用 API 的 ListInvitations 操作查找管理员账户的账户 ID。

您也可以使用 Amazon 命令行工具，通过运行以下 CLI 命令接受邀请。务必使用有效的检测器 ID、管理员账户 ID 和邀请 ID。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。
```
aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
```

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

通过邀请管理账户

将管理员账户合并到单个组织下