设置组织自动启用首选项 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置组织自动启用首选项

中的自动启用组织功能 GuardDuty 可帮助您一步为组织中的ALL现有帐户或NEW成员帐户设置相同的 GuardDuty 保护计划状态。同样,您也可以通过选择 NONE 来指定何时不想对成员账户执行任何操作。以下步骤解释了这些设置,此外还说明了何时需要使用特定的设置。

选择一种您偏好的访问方法,更新组织的自动启用首选项。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    要登录,请使用 GuardDuty 管理员帐户凭据。

  2. 在导航窗格中,选择账户

    帐户” 页面为 GuardDuty 管理员帐户提供要自动启用的配置选项, GuardDuty 以及代表属于该组织的成员帐户的可选保护计划。

  3. 要更新现有的自动启用设置,请选择编辑

    选择 “编辑” 以代表组织中的成员帐户更新自动启用的首选项。

    此支持可用于配置 GuardDuty 以及您的所有受支持的可选保护计划 Amazon Web Services 区域。您可以代表您的成员账户选择以下配置选项之一: GuardDuty

    • 为所有账户启用 (ALL):选择此选项将为组织中的所有账户启用相应的选项。这包括加入组织的新账户,以及可能已被暂停或从组织中删除的账户。这还包括委派 GuardDuty 管理员帐户。

      注意

      更新所有成员账户的配置可能最长需要 24 小时。

    • 为新帐户自动启用 (NEW)-选择仅在新成员帐户加入您的组织时自动启用 GuardDuty 或可选的保护计划。

    • 不启用 (NONE):选择此选项将阻止为组织中的新账户启用相应的选项。在这种情况下, GuardDuty 管理员帐户将单独管理每个帐户。

      当您将自动启用设置从 ALLNEW 更新为 NONE 时,此操作不会禁用现有账户的相应选项。此配置将应用到加入组织的新账户。更新自动启用设置后,任何新账户都不会启用相应的选项。

    注意

    当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。

  4. 选择 Save changes(保存更改)

  5. (可选)如果要在每个区域使用相同的首选项,请分别更新每个受支持区域的首选项。

    某些可选保护计划可能并非在所有可用 Amazon Web Services 区域 的地方都可 GuardDuty 用。有关更多信息,请参阅 区域和端点

API/CLI

  1. 运行 UpdateOrganizationConfiguration通过使用委派 GuardDuty 管理员账户的证书,在该区域为您的组织自动配置保护计划 GuardDuty 和可选保护计划。有关各种自动启用配置的信息,请参阅autoEnableOrganization成员

    要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectorsAPI。

    要为您所在区域中任何受支持的可选保护计划设置自动启用首选项,请按照每个保护计划的相应文档部分中提供的步骤进行操作。

  2. 您可以验证当前区域中组织的首选项。运行 describeOrganizationConfiguration。 请务必指定委派 GuardDuty 管理员账户的检测器 ID。

    注意

    更新所有成员账户的配置可能最长需要 24 小时。

  3. 或者,运行以下 Amazon CLI 命令将首选项设置为 GuardDuty 在该区域自动启用或禁用加入组织的新帐户 (NEW)、组织中的所有帐户 (ALL) 或不包含任何帐户 (NONE)。有关更多信息,请参阅autoEnableOrganization成员。根据您的首选项,可能需要将 NEW 替换为 ALLNONE。如果您使用配置保护计划ALL,则还会为委派的 GuardDuty 管理员帐户启用保护计划。请务必指定管理组织配置的委派 GuardDuty 管理员帐户的检测器 ID。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectorsAPI。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员帐户的检测器 ID 运行以下 Amazon CLI 命令。

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(推荐)使用委派 GuardDuty 管理员账户检测器 ID 在每个区域重复前面的步骤。

注意

当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用 ListMembersAPI。