通过邀请添加账户 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过邀请添加账户

作为已 GuardDuty 启用的管理员帐户,您可以添加要开始使用的成员 GuardDuty。添加成员后,您可以邀请他们加入 GuardDuty,他们可以选择回复您的邀请。

注意

GuardDuty 建议使用 AWS Organizations 而不是 GuardDuty 邀请来管理您的成员帐户。有关更多信息,请参阅 使用 AWS Organizations管理账户

选择首选访问方法,将 GuardDuty 成员帐户添加为 GuardDuty 管理员帐户。

Console
步骤 1:添加账户
  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择账户

  3. 在顶部窗格中选择通过邀请添加账户

  4. 添加成员账户页面的输入账户详细信息下,输入与要添加的账户关联的 AWS 账户 ID 和电子邮件地址。

  5. 要添加另一行,以便逐个输入账户详细信息,请选择添加其他账户。您也可以选择上传包含账户详细信息的.csv 文件来批量添加账户。

    重要

    csv 文件的第一行必须包含以下标头,如以下示例所示:Account ID,Email。随后的每一行都必须包含一个有效的 AWS 账户 ID 及其关联的电子邮件地址。如果一行仅包含一个 AWS 账户 ID 和用逗号分隔的关联电子邮件地址,则该行的格式是有效的。

    Account ID,Email 555555555555,user@example.com
  6. 添加所有账户的详细信息后,选择下一步。您可以在账户表中查看新添加的账户。这些账户的状态未发送邀请。有关向一个或多个添加的账户发送邀请的信息,请参阅 Step 2 - Invite an account

步骤 2:邀请账户
  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择账户

  3. 选择一个或多个您想要邀请加入 Amazon 的账户 GuardDuty。

  4. 选择操作下拉菜单,然后选择邀请

  5. 在 GuardDuty “邀请加入” 对话框中,输入(可选)邀请消息。

    如果受邀账户无权访问电子邮件,请选中 “同时向被邀请人的 root 用户发送电子邮件通知, AWS 账户 并在被邀请人的电子邮件中生成警报” 复选框。 AWS Health Dashboard

  6. 选择 Send invitation (发送邀请)。如果被邀请人有权访问指定的电子邮件地址,则可以通过打开 GuardDuty 控制台来查看邀请。https://console.aws.amazon.com/guardduty/

  7. 受邀者接受邀请后,状态列中的值将变为已邀请。有关接受邀请的信息,请参阅 Step 3 - Accept an invitation

步骤 3:接受邀请
  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    重要

    必须 GuardDuty 先启用,然后才能查看或接受成员资格邀请。

  2. 只有在 GuardDuty 尚未启用的情况下才执行以下操作;否则,可以跳过此步骤继续下一步。

    如果您尚未启用 GuardDuty,请在 Amazon GuardDuty 页面上选择 “开始”。

    欢迎使用 GuardDuty页面上,选择启用 GuardDuty

  3. GuardDuty 为您的账户启用后,请按照以下步骤接受成员资格邀请:

    1. 在导航窗格中,选择 Settings(设置)

    2. 选择 账户

    3. 账户上,确保验证您接受邀请的账户的所有者。打开接受以接受成员资格邀请。

  4. 接受邀请后,您的账户将成为 GuardDuty 成员账户。所有者发送邀请的账户成为 GuardDuty 管理员账户。管理员账户就会知道您已接受邀请。他们账户中的 GuardDuty账户表将会更新。与成员账户 ID 对应的状态列中的值将变为已启用。管理员账户所有者现在可以代表您的账户查看 GuardDuty 、管理和保护计划配置。管理员账户还可以查看和管理为您的成员账户生成的 GuardDuty 调查结果。

API/CLI

您可以通过API操作指定 GuardDuty 管理员帐户,并通过邀请创建或添加 GuardDuty 成员帐户。运行以下 GuardDuty API操作以在中指定管理员帐户和成员帐户 GuardDuty。

使用要指定为 GuardDuty 管理员帐户 AWS 账户 的凭据完成以下过程。

创建或添加成员账户
  1. 使用已 GuardDuty 启用的 AWS 账户的凭据运行CreateMembersAPI操作。这是您想要成为管理员帐户的 GuardDuty 帐户。

    您必须指定当前 AWS 账户的检测器 ID 以及想要成为 GuardDuty 成员的账户的账户 ID 和电子邮件地址。您可以使用此API操作创建一个或多个成员。

    您也可以使用 AWS 命令行工具通过运行以下CLI命令来指定管理员帐户。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
  2. 运行 InviteMembers使用已 GuardDuty 启用的 AWS 账户的凭证。这是您想要成为管理员帐户的 GuardDuty 帐户。

    您必须指定当前 AWS 账户的检测器 ID 和要成为 GuardDuty成员IDs的账户的账户。您可以通过此API操作邀请一个或多个成员。

    注意

    您也可以使用 message 请求参数指定可选的邀请消息。

    您还可以通过运行以下命令 AWS Command Line Interface 来指定成员帐户。IDs对于要邀请的帐户,请务必使用自己的有效探测器 ID 和有效的帐户。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
接受邀请

使用要指定为 GuardDuty 成员账户的每个 AWS 账户的凭据完成以下过程。

  1. 运行CreateDetectorAPI对受邀成为 GuardDuty 成员 AWS 账户且您想接受邀请的每个账户进行操作。

    您必须指定是否要使用该 GuardDuty 服务启用探测器资源。必须创建并启用探测器 GuardDuty 才能投入运行。 GuardDuty 在接受邀请之前,必须先启用。

    您也可以使用 AWS 命令行工具使用以下CLI命令来执行此操作。

    aws guardduty create-detector --enable
  2. 运行AcceptAdministratorInvitationAPI使用该 AWS 账户的凭证对每个要接受成员资格邀请的账户进行操作。

    您必须为成员账户指定此 AWS 账户的探测器 ID、发送邀请的管理员账户的账户 ID 以及您正在接受的邀请的邀请 ID。你可以在邀请电子邮件中找到管理员账户的账户 ID,也可以使用 ListInvitations的操作API。

    您也可以通过运行以下 AWS CLI命令使用命令行工具接受邀请。务必使用有效的检测器 ID、管理员账户 ID 和邀请 ID。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5