本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在多账户环境中配置 S3 防护
在多账户环境中,只有委派的 GuardDuty 管理员账户可以选择为其 Amazon 组织中的成员账户配置(启用或禁用)S3 保护。 GuardDuty成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 Amazon Organizations。委派的 GuardDuty 管理员账户可以选择在组织中的所有账户、仅限新账户或不启用任何账户上自动启用 S3 保护。有关更多信息,请参阅 [使用 Amazon Organizations管理账户](guardduty_organizations.md)。
## 为委派的 GuardDuty 管理员账户启用 S3 保护
选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用 S3 保护。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。
1. 在导航窗格中,选择 **S3 保护**。
1. 在 **S3 保护**页面上,选择**编辑**。
1. 请执行以下操作之一:
**使用**对所有账户启用****
+ 选择**为所有账户启用**。这将为组织中的所有活跃 GuardDuty 账户(包括加入 Amazon 组织的新账户)启用保护计划。
+ 选择**保存**。
**使用**手动配置账户****
+ 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择**手动配置帐户**。
+ 在 “**委派 GuardDuty 管理员帐户(此账户)**” 部分下选择 “**启用**”。
+ 选择**保存**。
------
#### [ API/CLI ]
使用当前区域[https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateDetector.html)的委托 GuardDuty 管理员帐户的探测器 ID 运行,并将`features`对象`name``status`作为`S3_DATA_EVENTS`和传递为传递`ENABLED`。
或者,您可以使用配置 S3 保护 Amazon Command Line Interface。运行以下命令,并确保{{12abc34d567e8fa901bc2d34e56789f0}}替换为当前区域的委托 GuardDuty 管理员帐户的检测器 ID。
要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面,或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-detector --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
```
------
## Auto-enable 组织中所有成员账户的 S3 保护
选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用 S3 保护。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。
使以管理员账户身份登录。
1. 请执行以下操作之一:
**使用 **S3 保护**页面**
1. 在导航窗格中,选择 **S3 保护**。
1. 选择**为所有账户启用**。此操作会自动为组织中的现有账户和新账户启用 S3 保护。
1. 选择**保存**。
**注意**
更新成员账户的配置可能最长需要 24 小时。
**使用**账户**页面**
1. 在导航窗格中,选择**账户**。
1. 在 “**帐户**” 页面上,在 “**通过邀请添加帐户 **Auto-enable****” 之前选择首选项。
1. 在**管理自动启用首选项**窗口中,选择 **S3 保护**下的**为所有账户启用**。
1. 选择**保存**。
如果您无法使用**为所有账户启用**选项,请参阅 [有选择地在成员账户中启用 S3 防护](#s3-enable-members)。
------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用 S3 保护,请使用您自己的{{detector ID}}账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。
+ 以下示例说明了如何为单个成员账户启用 S3 保护。请务必{{12abc34d567e8fa901bc2d34e56789f0}}替换为`detector-id`委派 GuardDuty 管理员账户的,和{{111122223333}}。
要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的**设置**页面,或运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --features '[{"name": "S3_DATA_EVENTS", "status": "{{ENABLED}}"}]'
```
**注意**
您还可以传递由空格分隔的账户 ID 列表。
+ 成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
------
## 为所有现有活跃成员账户启用 S3 保护
选择您的首选访问方法,为组织中所有现有的活跃成员账户启用 S3 保护。
------
#### [ Console ]
1. 登录 Amazon Web Services 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。
使用委派 GuardDuty 管理员账户凭证登录。
1. 在导航窗格中,选择 **S3 保护**。
1. 在 **S3 保护**页面上,您可以查看配置的当前状态。在**活跃成员账户**部分下,选择**操作**。
1. 从**操作**下拉菜单中,选择**为所有现有活跃成员账户启用**。
1. 选择**确认**。
------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用 S3 保护,请使用您自己的{{detector ID}}账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。
+ 以下示例说明了如何为单个成员账户启用 S3 保护。请务必{{12abc34d567e8fa901bc2d34e56789f0}}替换为`detector-id`委派 GuardDuty 管理员账户的,和{{111122223333}}。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --features '[{"name": "S3_DATA_EVENTS", "status": "{{ENABLED}}"}]'
```
**注意**
您还可以传递由空格分隔的账户 ID 列表。
+ 成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
------
## Auto-enable 针对新成员账户的 S3 保护
选择您的首选访问方法,为加入组织的新账户启用 S3 保护。
------
#### [ Console ]
委派的 GuardDuty 管理员账户可以使用 **S3 保护**或账户页面,通过控制台为组织中的新成员**账户**启用。
**为新成员账户自动启用 S3 保护**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。
请务必使用委派 GuardDuty 管理员账户证书。
1. 请执行以下操作之一:
+ 使用 **S3 保护**页面:
1. 在导航窗格中,选择 **S3 保护**。
1. 在 **S3 保护**页面上,选择**编辑**。
1. 选择**手动配置账户**。
1. 选择**为新成员账户自动启用**。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 S3 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。
1. 选择**保存**。
+ 使用**账户**页面:
1. 在导航窗格中,选择**账户**。
1. 在 “**帐户**” 页面上,选择**Auto-enable**首选项。
1. 在**管理自动启用首选项**窗口中,选择 **S3 保护**下的**为新账户启用**。
1. 选择**保存**。
------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用 S3 保护,请使用您自己的{{detector ID}}账户调用 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API 操作。
+ 以下示例说明了如何为单个成员账户启用 S3 保护。将首选项设置为针对该区域中加入组织的新账户(`NEW`)、组织中的所有账户(`ALL`)或组织中的无账户(`NONE`)自动启用或禁用保护计划。有关更多信息,请参阅 [auto EnableOrganizationMembers](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。根据您的首选项,可能需要将 `NEW` 替换为 `ALL` 或 `NONE`。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-organization-configuration --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "{{NEW}}"}]'
```
+ 成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
------
## 有选择地在成员账户中启用 S3 防护
选择您偏好的访问方法,有选择地为成员账户启用 S3 防护。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。
请务必使用委派 GuardDuty 管理员账户证书。
1. 在导航窗格中,选择**账户**。
在**账户**页面上,查看 **S3 保护**列,了解您的成员账户的状态。
1.
**有选择地启用 S3 防护**
选择您要为其启用 S3 防护的账户。您可以一次选择多个账户。在**编辑保护计划**下拉菜单中,选择 **S3Pro**,然后选择相应的选项。
------
#### [ API/CLI ]
要有选择地为成员账户启用 S3 防护,请使用您自己的检测器 ID 运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetector.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_UpdateMemberDetector.html) API 操作。以下示例说明了如何为单个成员账户启用 S3 保护。要将其禁用,请将 `true` 替换为 `false`。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{123456789012}} --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
```
**注意**
您还可以传递由空格分隔的账户 ID 列表。
成功执行代码后,会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
**注意**
如果您使用脚本注册新账户且希望在新账户中禁用 S3 保护,则可以使用本主题中所述的可选 `dataSources` 对象修改 [https://docs.amazonaws.cn/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_CreateDetector.html) API 操作。
------