指定委派 GuardDuty 管理员账号 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

指定委派 GuardDuty 管理员账号

本节提供了在 GuardDuty组织中指定委派管理员的步骤。

作为 AWS 组织的管理账户,请务必通读委派 GuardDuty 管理员账户的运作方式。注意事项和建议在继续操作之前,请确保您拥有指定委派 GuardDuty 管理员账户所需的权限

选择首选访问方法,为您的组织指定委派 GuardDuty 管理员帐户。只有管理账户才能执行此步骤。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    若要登录,请使用 AWS Organizations 组织的管理账户凭证。

  2. 使用页面右上角的 AWS 区域 选择器,选择要为组织指定委派 GuardDuty 管理员帐户的区域。

  3. 根据您的管理账户在当前区域 GuardDuty 是否已启用,执行以下任一操作:

    • 如果已启 GuardDuty 用,请选择 Amazon GuardDuty -所有功能,然后选择入门。此操作将带您进入欢迎来到 GuardDuty页面。

    • 如果已启 GuardDuty 用,请在导航窗格中选择 “设置”。

  4. 在 “委托管理员” 下,输入要指定为组织委派 GuardDuty 管理员帐户的账户的 12 位 AWS 账户 ID。

    请务必 GuardDuty 为您新指定的委派 GuardDuty 管理员账户启用,否则它将无法执行任何操作。

  5. 选择 Delegate(委派)

  6. (推荐)重复上述步骤,在每个已 GuardDuty 启用的 AWS 区域 位置指定委派 GuardDuty 管理员帐户。

API/CLI

  1. 运行 enableOrganizationAdminAccount使用组织管理账户 AWS 账户 的凭证。

    • 或者,您可以使用 AWS Command Line Interface 来执行此操作。以下 AWS CLI 命令仅为您当前的区域指定委派 GuardDuty 管理员帐户。运行以下 AWS CLI 命令,并确保将其111111111111替换为要指定为委派 GuardDuty 管理员帐户的帐户的 AWS 账户 ID:

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111

      要为其他区域指定委派 GuardDuty 管理员帐户,请在 AWS CLI 命令中指定区域。以下示例演示如何在美国西部(俄勒冈)启用委托 GuardDuty 管理员账户。请务必us-west-2替换为要为其分配委派 GuardDuty 管理员帐户的区域。

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2

      有关可用 AWS 区域 位置 GuardDuty 的信息,请参阅区域和端点

    GuardDuty 如果您的委托 GuardDuty 管理员账户未启用,它将无法执行任何操作。如果尚未启用,请确保 GuardDuty 为新指定的委派 GuardDuty 管理员帐户启用。

  2. (推荐)重复上述步骤,在已 GuardDuty 启用的每个 AWS 区域 位置指定委派 GuardDuty 管理员帐户。