在多账户环境中启用 S3 保护 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多账户环境中启用 S3 保护

在多账户环境中,只有委派的 GuardDuty 管理员账户可以选择为其 AWS 组织中的成员账户配置(启用或禁用)S3 保护。 GuardDuty成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 AWS Organizations。委派的 GuardDuty 管理员账户可以选择在组织中的所有账户、仅限新账户或不启用任何账户上自动启用 S3 保护。有关更多信息,请参阅 使用 AWS Organizations管理账户

选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用 S3 保护。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    确保使用管理账户凭证。

  2. 在导航窗格中,选择 S3 保护

  3. S3 保护页面上,选择编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 AWS 组织的新账户)启用保护计划。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

运行 updateDetector通过使用当前区域的委托 GuardDuty 管理员帐户的探测器 ID 并将features对象namestatus作为S3_DATA_EVENTS和传递为来传递ENABLED

或者,您可以使用配置 S3 保护 AWS Command Line Interface。运行以下命令,并确保替换 12abc34d567e8fa901bc2d34e56789f0 包含当前区域委派 GuardDuty 管理员账户的探测器 ID。

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'

选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用 S3 保护。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用您的管理员帐户登录。

  2. 请执行以下操作之一:

    使用 S3 保护页面

    1. 在导航窗格中,选择 S3 保护

    2. 选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 S3 保护。

    3. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 管理自动启用首选项窗口中,选择 S3 保护下的为所有账户启用

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地在成员账户中启用 S3 保护

API/CLI

  • 要有选择地为您的成员账户启用 S3 保护,请调用 updateMemberDetectorsAPI自己动手操作 detector ID.

  • 以下示例说明了如何为单个成员账户启用 S3 保护。一定要更换 12abc34d567e8fa901bc2d34e56789f0 使用detector-id委派 GuardDuty 管理员账户的,以及 111122223333.

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为组织中所有现有的活跃成员账户启用 S3 保护。

Console

  1. 登录 AWS Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用委派 GuardDuty 管理员账户凭证登录。

  2. 在导航窗格中,选择 S3 保护

  3. S3 保护页面上,您可以查看配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择确认

API/CLI

  • 要有选择地为您的成员账户启用 S3 保护,请调用 updateMemberDetectorsAPI自己动手操作 detector ID.

  • 以下示例说明了如何为单个成员账户启用 S3 保护。一定要更换 12abc34d567e8fa901bc2d34e56789f0 使用detector-id委派 GuardDuty 管理员账户的,以及 111122223333.

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注意

    您也可以传递用空格IDs分隔的账户列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为加入组织的新账户启用 S3 保护。

Console

委派的 GuardDuty 管理员账户可以使用 S3 保护或账户页面,通过控制台为组织中的新成员账户启用。

为新成员账户自动启用 S3 保护

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    • 使用 S3 保护页面:

      1. 在导航窗格中,选择 S3 保护

      2. S3 保护页面上,选择编辑

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 S3 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 账户页面上,选择自动启用首选项。

      3. 管理自动启用首选项窗口中,选择 S3 保护下的为新账户启用

      4. 选择保存

API/CLI

  • 要有选择地为您的成员账户启用 S3 保护,请调用 UpdateOrganizationConfigurationAPI自己动手操作 detector ID.

  • 以下示例说明了如何为单个成员账户启用 S3 保护。将首选项设置为针对该区域中加入组织的新账户(NEW)、组织中的所有账户(ALL)或组织中的无账户(NONE)自动启用或禁用保护计划。有关更多信息,请参阅autoEnableOrganization成员。根据您的首选项,可能需要将 NEW 替换为 ALLNONE

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方式,有选择地为成员账户启用 S3 保护。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 在导航窗格中,选择账户

    账户页面上,查看 S3 保护列,了解您的成员账户的状态。

  3. 有选择地启用 S3 保护

    选择要启用 S3 保护的账户。您可以一次选择多个账户。在编辑保护计划下拉菜单中,选择 S3Pro,然后选择相应的选项。

API/CLI

要有选择地为您的成员账户启用 S3 保护,请运行 updateMemberDetectorsAPI使用您自己的探测器 ID 进行操作。以下示例说明了如何为单个成员账户启用 S3 保护。要将其禁用,请将 true 替换为 false

要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 detectorId ListDetectors API.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
注意

您也可以传递用空格IDs分隔的账户列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

注意

如果您使用脚本注册新账户,并希望在新账户中禁用 S3 保护,则可以修改 createDetectorAPI使用可选dataSources对象进行操作,如本主题所述。