通过邀请添加账户

步骤 1：添加账户

1. 打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。

2. 在导航窗格中，选择账户。

3. 在顶部窗格中选择通过邀请添加账户。

4. 在添加成员账户页面的输入账户详细信息下，输入与要添加的账户关联的 AWS 账户 ID 和电子邮件地址。

5. 要添加另一行，以便逐个输入账户详细信息，请选择添加其他账户。您也可以选择上传包含账户详细信息的.csv 文件来批量添加账户。

   重要

   csv 文件的第一行必须包含以下标头，如以下示例所示：Account ID,Email。随后的每一行都必须包含一个有效的 AWS 账户 ID 及其关联的电子邮件地址。如果一行仅包含一个 AWS 账户 ID 和用逗号分隔的关联电子邮件地址，则该行的格式是有效的。

   Account ID,Email
                                   555555555555,user@example.com

6. 添加所有账户的详细信息后，选择下一步。您可以在账户表中查看新添加的账户。这些账户的状态是未发送邀请。有关向一个或多个添加的账户发送邀请的信息，请参阅 Step 2 - Invite an account。

步骤 2：邀请账户

1. 打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。

2. 在导航窗格中，选择账户。

3. 选择一个或多个您想要邀请加入 Amazon 的账户 GuardDuty。

4. 选择操作下拉菜单，然后选择邀请。

5. 在 GuardDuty “邀请加入” 对话框中，输入（可选）邀请消息。

   如果受邀账户无权访问电子邮件，请选中 “同时向被邀请人的 root 用户发送电子邮件通知， AWS 账户 并在被邀请人的电子邮件中生成警报” 复选框。 AWS Health Dashboard

6. 选择 Send invitation (发送邀请)。如果被邀请人有权访问指定的电子邮件地址，则可以通过打开 GuardDuty 控制台来查看邀请。https://console.aws.amazon.com/guardduty/

7. 受邀者接受邀请后，状态列中的值将变为已邀请。有关接受邀请的信息，请参阅 Step 3 - Accept an invitation。

步骤 3：接受邀请

1. 打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。

   重要

   必须 GuardDuty 先启用，然后才能查看或接受成员资格邀请。

2. 只有在 GuardDuty 尚未启用的情况下才执行以下操作；否则，可以跳过此步骤继续下一步。

   如果您尚未启用 GuardDuty，请在 Amazon GuardDuty 页面上选择 “开始”。

   在欢迎使用 GuardDuty页面上，选择启用 GuardDuty。

3. GuardDuty 为您的账户启用后，请按照以下步骤接受成员资格邀请：

   1. 在导航窗格中，选择 Settings（设置）。

   2. 选择 账户。

   3. 在账户上，确保验证您接受邀请的账户的所有者。打开接受以接受成员资格邀请。

4. 接受邀请后，您的账户将成为 GuardDuty 成员账户。所有者发送邀请的账户成为 GuardDuty 管理员账户。管理员账户就会知道您已接受邀请。他们账户中的 GuardDuty账户表将会更新。与成员账户 ID 对应的状态列中的值将变为已启用。管理员账户所有者现在可以代表您的账户查看 GuardDuty 、管理和保护计划配置。管理员账户还可以查看和管理为您的成员账户生成的 GuardDuty 调查结果。

创建或添加成员账户

1. 使用已 GuardDuty 启用的 AWS 账户的凭据运行 CreateMembersAPI 操作。这是您想要成为管理员帐户帐户的 GuardDuty 帐户。

   您必须指定当前 AWS 账户的检测器 ID 以及想要成为 GuardDuty 成员的账户的账户 ID 和电子邮件地址。可以使用此 API 操作创建一个或多个成员。

   您也可以使用 AWS 命令行工具通过运行以下 CLI 命令来指定管理员帐户。务必使用您自己的有效探测器 ID、账户 ID 和电子邮件。

   要查找与您的账户和当前地区detectorId对应的，请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面，或者运行 ListDetectorsAPI。

   aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com

2. 运行 InviteMembers使用已 GuardDuty 启用的 AWS 账户的凭证。这是您想要成为管理员帐户帐户的 GuardDuty 帐户。

   您必须指定当前 AWS 账户的检测器 ID 和要成为 GuardDuty成员 IDs 的账户的账户。可以使用此 API 操作邀请一个或多个成员。

   注意

   您也可以使用 message 请求参数指定可选的邀请消息。

   您还可以通过运行以下命令 AWS Command Line Interface 来指定成员帐户。 IDs 对于要邀请的帐户，请务必使用自己的有效探测器 ID 和有效的帐户。

   要查找与您的账户和当前地区detectorId对应的，请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面，或者运行 ListDetectorsAPI。

   aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333

接受邀请

使用要指定为 GuardDuty 成员账户的每个 AWS 账户的凭据完成以下过程。

1. 运行CreateDetector针对受邀成为 GuardDuty 成员 AWS 账户且您想接受邀请的每个账户的 API 操作。

   您必须指定是否要使用该 GuardDuty 服务启用探测器资源。必须创建并启用探测器 GuardDuty 才能投入运行。 GuardDuty 在接受邀请之前，必须先启用。

   您也可以使用 AWS 命令行工具使用以下 CLI 命令来执行此操作。

   aws guardduty create-detector --enable

2. 运行AcceptAdministratorInvitation使用 AWS 账户的凭证对每个要接受成员资格邀请的账户进行 API 操作。

   您必须为成员账户指定此 AWS 账户的探测器 ID、发送邀请的管理员账户的账户 ID 以及您正在接受的邀请的邀请 ID。你可以在邀请电子邮件中找到管理员账户的账户 ID，也可以使用 ListInvitationsAPI 的操作。

   您也可以使用 AWS 命令行工具通过运行以下 CLI 命令来接受邀请。务必使用有效的检测器 ID、管理员账户 ID 和邀请 ID。

   要查找与您的账户和当前地区detectorId对应的，请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面，或者运行 ListDetectorsAPI。

   aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5