本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过邀请添加账户
作为已 GuardDuty 启用的管理员帐户,您可以添加要开始使用的成员 GuardDuty。添加成员后,您可以邀请他们加入 GuardDuty,他们可以选择回复您的邀请。
注意
GuardDuty 建议使用 AWS Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息,请参阅 使用 AWS Organizations管理账户。
选择首选访问方法,将 GuardDuty 成员帐户添加为 GuardDuty 管理员帐户。
- Console
-
步骤 1:添加账户
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择账户。
-
在顶部窗格中选择通过邀请添加账户。
-
在添加成员账户页面的输入账户详细信息下,输入与要添加的账户关联的 AWS 账户 ID 和电子邮件地址。
-
要添加另一行,以便逐个输入账户详细信息,请选择添加其他账户。您也可以选择上传包含账户详细信息的.csv 文件来批量添加账户。
重要
csv 文件的第一行必须包含以下标头,如以下示例所示:
Account ID,Email
。随后的每一行都必须包含一个有效的 AWS 账户 ID 及其关联的电子邮件地址。如果一行仅包含一个 AWS 账户 ID 和用逗号分隔的关联电子邮件地址,则该行的格式是有效的。Account ID,Email
555555555555
,user@example.com
-
添加所有账户的详细信息后,选择下一步。您可以在账户表中查看新添加的账户。这些账户的状态是未发送邀请。有关向一个或多个添加的账户发送邀请的信息,请参阅 Step 2 - Invite an account。
步骤 2:邀请账户
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择账户。
-
选择一个或多个您想要邀请加入 Amazon 的账户 GuardDuty。
-
选择操作下拉菜单,然后选择邀请。
-
在 GuardDuty “邀请加入” 对话框中,输入(可选)邀请消息。
如果受邀账户无权访问电子邮件,请选中 “同时向被邀请人的 root 用户发送电子邮件通知, AWS 账户 并在被邀请人的电子邮件中生成警报” 复选框。 AWS Health Dashboard
-
选择 Send invitation (发送邀请)。如果被邀请人有权访问指定的电子邮件地址,则可以通过打开 GuardDuty 控制台来查看邀请。https://console.aws.amazon.com/guardduty/
-
受邀者接受邀请后,状态列中的值将变为已邀请。有关接受邀请的信息,请参阅 Step 3 - Accept an invitation。
步骤 3:接受邀请
打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 重要
必须 GuardDuty 先启用,然后才能查看或接受成员资格邀请。
-
只有在 GuardDuty 尚未启用的情况下才执行以下操作;否则,可以跳过此步骤继续下一步。
如果您尚未启用 GuardDuty,请在 Amazon GuardDuty 页面上选择 “开始”。
在欢迎使用 GuardDuty页面上,选择启用 GuardDuty。
-
GuardDuty 为您的账户启用后,请按照以下步骤接受成员资格邀请:
-
在导航窗格中,选择 Settings(设置)。
-
选择 账户。
-
在账户上,确保验证您接受邀请的账户的所有者。打开接受以接受成员资格邀请。
-
-
接受邀请后,您的账户将成为 GuardDuty 成员账户。所有者发送邀请的账户成为 GuardDuty 管理员账户。管理员账户就会知道您已接受邀请。他们账户中的 GuardDuty账户表将会更新。与成员账户 ID 对应的状态列中的值将变为已启用。管理员账户所有者现在可以代表您的账户查看 GuardDuty 、管理和保护计划配置。管理员账户还可以查看和管理为您的成员账户生成的 GuardDuty 调查结果。
- API/CLI
-
您可以通过API操作指定 GuardDuty 管理员帐户,并通过邀请创建或添加 GuardDuty 成员帐户。运行以下 GuardDuty API操作以在中指定管理员帐户和成员帐户 GuardDuty。
使用要指定为 GuardDuty 管理员帐户 AWS 账户 的凭据完成以下过程。
创建或添加成员账户
-
使用已 GuardDuty 启用的 AWS 账户的凭据运行CreateMembersAPI操作。这是您想要成为管理员帐户的 GuardDuty 帐户。
您必须指定当前 AWS 账户的检测器 ID 以及想要成为 GuardDuty 成员的账户的账户 ID 和电子邮件地址。您可以使用此API操作创建一个或多个成员。
您也可以使用 AWS 命令行工具通过运行以下CLI命令来指定管理员帐户。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。
要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 detectorId
ListDetectors API.aws guardduty create-members --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-details AccountId=111122223333
,Email=guardduty-member@organization.com
-
运行 InviteMembers使用已 GuardDuty 启用的 AWS 账户的凭证。这是您想要成为管理员帐户的 GuardDuty 帐户。
您必须指定当前 AWS 账户的检测器 ID 和要成为 GuardDuty成员IDs的账户的账户。您可以通过此API操作邀请一个或多个成员。
注意
您也可以使用
message
请求参数指定可选的邀请消息。您还可以通过运行以下命令 AWS Command Line Interface 来指定成员帐户。IDs对于要邀请的帐户,请务必使用自己的有效探测器 ID 和有效的帐户。
要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 detectorId
ListDetectors API.aws guardduty invite-members --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
接受邀请
使用要指定为 GuardDuty 成员账户的每个 AWS 账户的凭据完成以下过程。
-
运行CreateDetectorAPI对受邀成为 GuardDuty 成员 AWS 账户且您想接受邀请的每个账户进行操作。
您必须指定是否要使用该 GuardDuty 服务启用探测器资源。必须创建并启用探测器 GuardDuty 才能投入运行。 GuardDuty 在接受邀请之前,必须先启用。
您也可以使用 AWS 命令行工具使用以下CLI命令来执行此操作。
aws guardduty create-detector --enable
-
运行AcceptAdministratorInvitationAPI使用该 AWS 账户的凭证对每个要接受成员资格邀请的账户进行操作。
您必须为成员账户指定此 AWS 账户的探测器 ID、发送邀请的管理员账户的账户 ID 以及您正在接受的邀请的邀请 ID。你可以在邀请电子邮件中找到管理员账户的账户 ID,也可以使用 ListInvitations的操作API。
您也可以通过运行以下 AWS CLI命令使用命令行工具接受邀请。务必使用有效的检测器 ID、管理员账户 ID 和邀请 ID。
要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 detectorId
ListDetectors API.aws guardduty accept-invitation --detector-id
12abc34d567e8fa901bc2d34e56789f0
--administrator-id444455556666
--invitation-id84b097800250d17d1872b34c4daadcf5
-