在多 GuardDuty账户环境中启用启动的恶意软件扫描 - Amazon GuardDuty
建立可信访问权限以启用 GuardDuty启动的恶意软件扫描

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多 GuardDuty账户环境中启用启动的恶意软件扫描

在多账户环境中,只有 GuardDuty 管理员帐户可以代表其成员帐户启用 GuardDuty启动的恶意软件扫描。此外,管理 AWS Organizations 支持成员帐户的管理员帐户可以选择在组织中的所有现有和新帐户上自动启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 使用管理 GuardDuty 账户 AWS Organizations

建立可信访问权限以启用 GuardDuty启动的恶意软件扫描

如果 GuardDuty 委派的管理员帐户与组织中的管理帐户不同,则该管理帐户必须为其组织启用 GuardDuty启动的恶意软件扫描。这样,委派的管理员账户就可以创建通过其管理的成员账户 AWS Organizations。EC2 恶意软件防护的服务相关角色权限

注意

在指定委派 GuardDuty 管理员帐户之前,请参阅注意事项和建议

选择您的首选访问方法,以允许委派的 GuardDuty 管理员帐户对组织中的成员帐户启用 GuardDuty启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    要登录,请使用贵 AWS Organizations 组织的管理帐户。

    1. 如果您尚未指定委派 GuardDuty 管理员账户,那么:

      “设置” 页面的委派 GuardDuty 管理员帐户下,输入您要指定用于管理组织中 GuardDuty 策略的 12 位数字account ID。选择 Delegate(委派)

      1. 如果您已经指定了与 GuardDuty 管理账户不同的委托管理员账户,那么:

        设置页面的委托管理员下,打开权限设置。此操作将允许委派的 GuardDuty 管理员账户向成员账户附加相关权限,并在这些成员账户中启用 GuardDuty启动的恶意软件扫描。

      2. 如果您已经指定了与管理账户相同的委托 GuardDuty 管理员帐户,则可以直接为成员账户启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 为所有成员账户 GuardDuty启用自动启动的恶意软件扫描

      提示

      如果委派 GuardDuty 管理员账户与您的管理账户不同,则必须向委派 GuardDuty 管理员账户提供权限,才能允许对成员账户启用 GuardDuty启动的恶意软件扫描。

  3. 如果您想允许委托 GuardDuty 管理员帐户对其他地区的成员帐户启用 GuardDuty启动的恶意软件扫描,请更改您的 AWS 区域帐户并重复上述步骤。

API/CLI

  1. 使用您的管理账户凭证运行以下命令:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (可选)要对不是委派管理员帐户的管理账户启用 GuardDuty启动的恶意软件扫描,管理账户将首先在其账户中EC2 恶意软件防护的服务相关角色权限明确创建恶意软件扫描,然后从委托管理员帐户启用 GuardDuty启动的恶意软件扫描,类似于任何其他成员帐户。

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. 您已在当前选定的中指定了委派 GuardDuty 管理员帐户 AWS 区域。如果您在一个地区将一个账户指定为委托 GuardDuty 管理员账户,则该账户必须是您在所有其他区域的委托 GuardDuty 管理员账户。对所有其他区域重复上述步骤。

选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用或禁用 GuardDuty启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    确保使用管理账户凭证。

  2. 在导航窗格中,选择 “恶意软件防护” EC2。

  3. 在 “恶意软件防护 EC2” 页面上,选择GuardDuty启动的恶意软件扫描旁边编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 AWS 组织的新账户)启用保护计划。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

运行updateDetectorAPI使用您自己的区域探测器 ID 进行操作,EBS_MALWARE_PROTECTIONnamestatus按原样传递features对象ENABLED

您可以通过运行以下 AWS CLI 命令来启用 GuardDuty启动的恶意软件扫描。请务必使用有效的委托 GuardDuty 管理员账号detector ID

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

选择您的首选访问方式,为所有成员帐户启用 GuardDuty启动的恶意软件扫描功能。包括现有成员账户和加入组织的新账户。

Console

  1. 登录 AWS Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    使用 “恶意软件防护 EC2” 页面

    1. 在导航窗格中,选择 “恶意软件防护” EC2。

    2. 在 “恶意软件防护 EC2” 页面上,在 “GuardDuty启动的恶意软件扫描” 部分中选择 “编辑”。

    3. 选择为所有账户启用。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。

    4. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。

    4. 在 “恶意软件防护 EC2” 页面上,在 “GuardDuty启动的恶意软件扫描” 部分中选择 “编辑”。

    5. 选择为所有账户启用。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。

    6. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 在 “管理自动启用首选项” 窗口中,GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地为成员账户 GuardDuty启用启动的恶意软件扫描

API/CLI

  • 要有选择地为您的成员账户启用 GuardDuty启动的恶意软件扫描,请调用 updateMemberDetectorsAPI用你自己的手段进行操作detector ID

  • 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要禁用成员账户,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    您也可以传递用空格IDs分隔的账户列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,对组织中所有现有活跃成员帐户启用 GuardDuty启动的恶意软件扫描。

为所有现有活跃成员账户配置 GuardDuty启动的恶意软件扫描

  1. 登录 AWS Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用委派的 GuardDuty 管理员账户凭据登录。

  2. 在导航窗格中,选择 “恶意软件防护” EC2。

  3. 在的恶意软件防护中EC2,您可以查看GuardDuty启动的恶意软件扫描配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择保存

在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前,必须启用新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation

选择您的首选访问方式,对加入组织的新帐户启用 GuardDuty启动的恶意软件扫描。

Console

委派的 GuardDuty 管理员帐户可以使用 “恶意软件防护” 或 “帐户” 页面,对组织中的新成员帐户启用 GuardDuty启动的EC2恶意软件扫描。

自动启用对新成员 GuardDuty帐户启动的恶意软件扫描

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    • 使用以下EC2页面的恶意软件防护

      1. 在导航窗格中,选择 “恶意软件防护” EC2。

      2. 在 “恶意软件防护 EC2” 页面上,在GuardDuty启动的恶意软件扫描中选择 “编辑”

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新帐户加入您的组织时,系统都会自动为其帐户启用 GuardDuty启动的恶意软件扫描。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 账户页面上,选择自动启用首选项。

      3. 在 “管理自动启用首选项” 窗口中,在 “GuardDuty启动的恶意软件扫描” 下选择 “为新帐户用”。

      4. 选择保存

API/CLI

  • 要启用或禁用对新成员帐户 GuardDuty启动的恶意软件扫描,请调用 UpdateOrganizationConfigurationAPI用你自己的手段进行操作detector ID

  • 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请参阅 有选择地为成员账户 GuardDuty启用启动的恶意软件扫描。如果您不想为所有加入组织的新账户启用该功能,请将 AutoEnable 设置为 NONE

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    您也可以传递用空格IDs分隔的账户列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,有选择地为成员帐户配置 GuardDuty由启动的恶意软件扫描。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择账户

  3. 在 “帐户” 页面上,查看GuardDuty启动的恶意软件扫描列,了解您的成员帐户的状态。

  4. 选择要为其配置 GuardDuty启动的恶意软件扫描的帐户。您可以一次选择多个账户。

  5. “编辑保护计划” 菜单中,为GuardDuty启动的恶意软件扫描选择相应的选项。

API/CLI

要有选择地启用或禁用对您的成员帐户 GuardDuty启动的恶意软件扫描,请调用 updateMemberDetectorsAPI用你自己的手段操作detector ID

以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

您也可以传递用空格IDs分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

要有选择地为您的成员账户启用 GuardDuty启动的恶意软件扫描,请运行 updateMemberDetectorsAPI用你自己的手段操作detector ID。以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

您也可以传递用空格IDs分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

必须在成员账户中创建EC2服务相关角色 (SLR) 的 GuardDuty 恶意软件防护。管理员帐户无法在不由 AWS Organizations管理 GuardDuty的成员帐户中启用启动的恶意软件扫描功能。

目前,您可以通过 GuardDuty 控制台执行以下步骤,为现有成员帐户启用 GuardDuty启动的恶意软件扫描。https://console.aws.amazon.com/guardduty/

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用管理员账户凭证登录。

  2. 在导航窗格中,选择账户

  3. 选择要为其启用 GuardDuty启动的恶意软件扫描的成员帐户。您可以一次选择多个账户。

  4. 选择操作

  5. 选择取消关联成员

  6. 在您的成员账户中,在导航窗格的保护计划下选择恶意软件防护

  7. 选择启用 GuardDuty启动的恶意软件扫描。 GuardDuty 将SLR为成员账户创建一个。有关 SLR 的更多信息,请参阅 EC2 恶意软件防护的服务相关角色权限

  8. 在管理员账户中,选择导航窗格上的账户

  9. 选择需要重新添加到组织的成员账户。

  10. 选择操作,然后选择添加成员

API/CLI

  1. 使用管理员帐户帐户运行 DisassociateMembersAPI在想要启用 GuardDuty启动的恶意软件扫描的成员帐户上。

  2. 使用您的会员账号进行调用 UpdateDetector启用 GuardDuty启动的恶意软件扫描。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. 使用管理员帐户帐户运行 CreateMembersAPI将成员重新添加到组织中。