向组织添加成员 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向组织添加成员

作为委托 GuardDuty 管理员帐户,您可以向 GuardDuty 组织中添加一个或多个 AWS 账户 帐户。当您将账户添加为 GuardDuty 成员时,该账户将在该地区自动 GuardDuty 启用。组织管理账户有一个例外。在将管理账户账户添加为 GuardDuty 成员之前,必须将其 GuardDuty启用。

选择向您的 GuardDuty 组织添加成员帐户的首选方法。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    要登录,请使用委派 GuardDuty 管理员账户证书。

  2. 在导航窗格中,选择账户

    账户表显示所有处于活动状态(未暂停状态 AWS 账户)且可能与委派 GuardDuty 管理员账户关联的成员账户。如果成员账户已与组织的管理员账户关联,则类型将为以下之一:通过 Organizations通过邀请。如果成员账户未与组织的 GuardDuty 管理员账户关联,则该成员账户的类型为 “非成员”。

  3. 选择一个或多个IDs要添加为成员的帐户。这些账户的类型IDs必须为 Via Org anization s。

    通过邀请添加的账户不属于您的组织。您可以单独管理此类账户。有关更多信息,请参阅 通过邀请管理账户

  4. 选择操作下拉菜单,然后选择添加成员。将此账户添加为成员后,将应用自动启用 GuardDuty 配置。根据中的设置设置组织自动启用首选项,这些帐户的 GuardDuty 配置可能会发生变化。

  5. 您可以选择 “状态” 列的向下箭头,按非成员状态对账户进行排序,然后选择当前区域中未 GuardDuty 启用的每个账户。

    如果尚未将账户表中列出的账户添加为成员,则可以在当前区域 GuardDuty 中为所有组织账户启用。在页面顶部的横幅中选择启用。此操作会自动开启自动启用 GuardDuty 配置, GuardDuty 以便为任何加入组织的新账户启用该配置。

  6. 选择确认,添加账户作为成员。此操作还 GuardDuty 适用于所有选定帐户。账户的状态将变为已启用

  7. (推荐)在每个步骤中重复这些步骤 AWS 区域。这样可以确保委派 GuardDuty 管理员账户可以管理您已 GuardDuty 启用的所有区域中成员账户的发现结果和其他配置。

    自动启用功能 GuardDuty 适用于组织中的所有 future 成员。这样,您的委托 GuardDuty 管理员帐户就可以管理在组织内创建或添加到组织中的任何新成员。当成员账户的数量达到 5 万的上限时,自动启用功能会自动关闭。如果移除了某个账户,并且成员总数减少到 5 万以下,自动启用功能将重新开启。

API/CLI

  • 运行 CreateMembers通过使用委派 GuardDuty 管理员账户的凭证。

    您必须指定委派 GuardDuty 管理员账户的区域探测器 ID 以及要添加为 GuardDuty 成员的账户的账户详细信息(AWS 账户 IDs和相应的电子邮件地址)。您可以使用此API操作创建一个或多个成员。

    当你跑的时候 CreateMembers 在您的组织中,新成员的自动启用首选项将在新成员帐户加入您的组织时适用。当你跑的时候 CreateMembers 使用现有成员帐户时,组织配置也将适用于现有成员。这可能会更改现有成员账户的当前配置。

    运行 ListAccounts在 “AWS Organizations API参考” 中,查看 AWS 组织中的所有账户。

    • 或者,你可以使用 AWS Command Line Interface。运行以下 AWS CLI 命令,并确保使用您自己的有效检测器 ID、 AWS 账户 ID 以及与账户 ID 关联的电子邮件地址。

      要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

      aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com

      您可以通过运行以下 AWS CLI 命令来查看所有组织成员的列表:

      aws organizations list-accounts

    将此账户添加为成员后,将应用自动启用 GuardDuty配置。