设置组织自动启用首选项 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置组织自动启用首选项

借助 GuardDuty 中的自动启用组织功能,您只需一个步骤即可为组织中 ALL 现有账户或 NEW 成员账户设置相同的 GuardDuty 和防护计划状态。同样,您也可以通过选择 NONE 来指定何时不想对成员账户执行任何操作。以下步骤解释了这些设置,此外还说明了何时需要使用特定的设置。

注意

您可以为除 S3 恶意软件防护 外的所有防护计划设置自动启用首选项。

选择一种您偏好的访问方法,更新组织的自动启用首选项。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    若要登录,请使用 GuardDuty 管理员账户的凭证。

  2. 在导航窗格中,选择账户

    账户页面为 GuardDuty 管理员账户提供了代表属于组织的成员账户自动启用 GuardDuty 和可选防护计划的配置选项。

  3. 要更新现有的自动启用设置,请选择编辑

    选择编辑,代表组织中的成员账户更新自动启用的首选项。

    此支持用于在 Amazon Web Services 区域中配置 GuardDuty 和所有受支持的可选防护计划。您可以代表您的成员账户为 GuardDuty 选择以下配置选项之一:

    • 为所有账户启用 (ALL):选择此选项将为组织中的所有账户启用相应的选项。这包括加入组织的新账户,以及可能已被暂停或从组织中删除的账户。这还包括该委派 GuardDuty 管理员账户。

      注意

      更新所有成员账户的配置可能最长需要 24 小时。

    • 为新账户自动启用 (NEW):选择此选项以仅在新成员账户加入您的组织时自动为其启用 GuardDuty 或可选的防护计划。

    • 不启用 (NONE):选择此选项将阻止为组织中的新账户启用相应的选项。在这种情况下,GuardDuty 管理员账户将单独管理每个账户。

      当您将自动启用设置从 ALLNEW 更新为 NONE 时,此操作不会禁用现有账户的相应选项。此配置将应用到加入组织的新账户。更新自动启用设置后,任何新账户都不会启用相应的选项。

    注意

    委派 GuardDuty 管理员账户在选择加入的区域选择退出时,即使您的组织将“GuardDuty 自动启用配置”设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也无法为该组织中当前禁用 GuardDuty 的任何成员账户启用 GuardDuty。有关成员账户配置的信息,请在 GuardDuty 控制台导航窗格中打开账户或使用 ListMembers API。

  4. 选择保存更改

  5. (可选)如果要在每个区域使用相同的首选项,请分别更新每个受支持区域的首选项。

    某些可选保护计划可能并不适用于提供 GuardDuty 的所有 Amazon Web Services 区域。有关更多信息,请参阅 区域和端点

API/CLI

  1. 使用该委派 GuardDuty 管理员账户的凭证运行 UpdateOrganizationConfiguration,从而在该区域为您的组织自动配置 GuardDuty 和可选防护计划。有关各种自动启用配置的信息,请参阅 autoEnableOrganizationMembers

    要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    要为您所在区域中任何受支持的可选保护计划设置自动启用首选项,请按照每个保护计划的相应文档部分中提供的步骤进行操作。

  2. 您可以验证当前区域中组织的首选项。运行 describeOrganizationConfiguration。务必要指定委派 GuardDuty 管理员账户的检测器 ID。

    注意

    更新所有成员账户的配置可能最长需要 24 小时。

  3. 或者,运行以下 Amazon CLI 命令设置首选项,以便在该区域中为加入组织的新账户(NEW)、所有账户(ALL)或非组织中的账户(NONE)自动启用或禁用 GuardDuty。有关更多信息,请参阅 autoEnableOrganizationMembers。根据您的首选项,可能需要将 NEW 替换为 ALLNONE。如果您使用 ALL 参数配置防护计划,则也会为该委派 GuardDuty 管理员账户启用该防护计划。务必要指定负责管理组织配置的委派 GuardDuty 管理员账户的检测器 ID。

    要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员账户的检测器 ID 运行以下 Amazon CLI 命令。

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(建议)使用委派 GuardDuty 管理员账户的检测器 ID 在每个区域重复上述步骤。

注意

委派 GuardDuty 管理员账户在选择加入的区域选择退出时,即使您的组织将“GuardDuty 自动启用配置”设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也无法为该组织中当前禁用 GuardDuty 的任何成员账户启用 GuardDuty。有关成员账户配置的信息,请在 GuardDuty 控制台导航窗格中打开账户或使用 ListMembers API。