本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 通过邀请添加账户 作为已 GuardDuty 启用的管理员帐户,您可以添加要开始使用的成员 GuardDuty。添加成员后,您可以邀请他们加入 GuardDuty,他们可以选择回复您的邀请。 **注意** GuardDuty 建议使用 Amazon Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息,请参阅 [使用 Amazon Organizations管理账户](guardduty_organizations.md)。 选择首选访问方法,将 GuardDuty 成员帐户添加为 GuardDuty 管理员帐户。 ------ #### [ Console ] **步骤 1:添加账户** 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 1. 在导航窗格中,选择**账户**。 1. 在顶部窗格中选择**通过邀请添加账户**。 1. 在**添加成员账户**页面的**输入账户详细信息**下,输入与要添加的账户关联的 Amazon Web Services 账户 ID 和电子邮件地址。 1. 要添加另一行,以便逐个输入账户详细信息,请选择**添加其他账户**。您也可以选择**上传包含账户详细信息的.csv 文件**来批量添加账户。 **重要** csv 文件的第一行必须包含以下标头,如以下示例所示:`Account ID,Email`。随后的每一行都必须包含一个有效的 Amazon Web Services 账户 ID 及其关联的电子邮件地址。如果一行仅包含一个 Amazon Web Services 账户 ID 和用逗号分隔的关联电子邮件地址,则该行的格式是有效的。 ``` Account ID,Email 555555555555,user@example.com ``` 1. 添加所有账户的详细信息后,选择**下一步**。您可以在账户表中查看新添加的账户。这些账户的**状态**是**未发送邀请**。有关向一个或多个添加的账户发送邀请的信息,请参阅 [Step 2 - Invite an account](#guardduty_invite_member_proc)。 **步骤 2:邀请账户** 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 1. 在导航窗格中,选择**账户**。 1. 选择一个或多个您想要邀请加入 Amazon 的账户 GuardDuty。 1. 选择**操作**下拉菜单,然后选择**邀请**。 1. 在 GuardDuty “**邀请加**入” 对话框中,输入(可选)邀请消息。 如果受邀账户无权访问电子邮件,请选中 “**同时向被邀请人的 root 用户发送电子邮件通知, Amazon Web Services 账户 并在被邀请人的电子邮件中生成警报”** 复选框。 Amazon Health Dashboard 1. 选择 **Send invitation** (发送邀请)。如果被邀请人有权访问指定的电子邮件地址,则可以通过打开 GuardDuty 控制台来查看邀请。[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/) 1. 受邀者接受邀请后,**状态**列中的值将变为**已邀请**。有关接受邀请的信息,请参阅 [Step 3 - Accept an invitation](#guardduty_accept_invite_proc)。 **步骤 3:接受邀请** 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 **重要** 必须 GuardDuty 先启用,然后才能查看或接受成员资格邀请。 1. 只有在 GuardDuty 尚未启用的情况下才执行以下操作;否则,可以跳过此步骤继续下一步。 如果您尚未启用 GuardDuty,请在 Amazon GuardDuty 页面上选择 “**开始**”。 在**欢迎使用 GuardDuty**页面上,选择**启用 GuardDuty**。 1. GuardDuty 为您的账户启用后,请按照以下步骤接受成员资格邀请: 1. 在导航窗格中,选择**设置**。 1. 选择 ** 账户**。 1. 在**账户**上,确保验证您接受邀请的账户的所有者。打开**接受**以接受成员资格邀请。 1. 接受邀请后,您的账户将成为 GuardDuty 成员账户。所有者发送邀请的账户成为 GuardDuty 管理员账户。管理员账户就会知道您已接受邀请。他们**账户**中的 GuardDuty账户表将会更新。与成员账户 ID 对应的**状态**列中的值将变为**已启用**。管理员账户所有者现在可以代表您的账户查看 GuardDuty 、管理和保护计划配置。管理员账户还可以查看和管理为您的成员账户生成的 GuardDuty 调查结果。 ------ #### [ API/CLI ] 您可以指定 GuardDuty 管理员账户,也可以通过 API 操作通过邀请创建或添加 GuardDuty 成员账户。运行以下 GuardDuty API 操作以在中指定管理员帐户和成员帐户 GuardDuty。 使用要指定为 GuardDuty 管理员帐户 Amazon Web Services 账户 的凭据完成以下过程。 **创建或添加成员账户** 1. 使用已 GuardDuty 启用的 Amazon 账户的凭据运行 [CreateMembers](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_CreateMembers.html)API 操作。这是您想要成为管理员帐户帐户的 GuardDuty 帐户。 您必须指定当前 Amazon 账户的检测器 ID 以及想要成为 GuardDuty 成员的账户的账户 ID 和电子邮件地址。可以使用此 API 操作创建一个或多个成员。 您也可以使用 Amazon 命令行工具通过运行以下 CLI 命令来指定管理员帐户。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com ``` 1. 使用已 GuardDuty 启用的 Amazon 账户的凭据运行[https://docs.amazonaws.cn/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_InviteMembers.html)。这是您想要成为管理员帐户帐户的 GuardDuty 帐户。 您必须指定当前 Amazon 账户的检测器 ID 和要成为 GuardDuty成员 IDs 的账户的账户。可以使用此 API 操作邀请一个或多个成员。 **注意** 您也可以使用 `message` 请求参数指定可选的邀请消息。 您还可以通过运行以下命令 Amazon Command Line Interface 来指定成员帐户。 IDs 对于要邀请的帐户,请务必使用自己的有效探测器 ID 和有效的帐户。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 ``` **接受邀请** 使用要指定为 GuardDuty 成员账户的每个 Amazon 账户的凭据完成以下过程。 1. 为每个受邀成为 GuardDuty 成员 Amazon 账户并希望接受邀请的账户运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_CreateDetector.html)API 操作。 您必须指定是否要使用该 GuardDuty 服务启用探测器资源。必须创建并启用探测器 GuardDuty 才能投入运行。 GuardDuty 在接受邀请之前,必须先启用。 您也可以使用 Amazon 命令行工具使用以下 CLI 命令来执行此操作。 ``` aws guardduty create-detector --enable ``` 1. 使用每个要接受成员资格邀请的 Amazon 账号使用该账户的凭证运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html)API 操作。 您必须为成员账户指定此 Amazon 账户的探测器 ID、发送邀请的管理员账户的账户 ID 以及您正在接受的邀请的邀请 ID。您可以在邀请电子邮件中或使用 API 的 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListInvitations.html) 操作查找管理员账户的账户 ID。 您也可以使用 Amazon 命令行工具通过运行以下 CLI 命令来接受邀请。务必使用有效的检测器 ID、管理员账户 ID 和邀请 ID。 要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5 ``` ------