设置组织自动启用首选项 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置组织自动启用首选项

中的自动启用组织功能 GuardDuty 可帮助您在单个步骤中为组织中的ALL现有帐户或NEW成员帐户设置相同的 GuardDuty 保护计划状态。同样,您也可以通过选择来指定何时不想对成员帐户采取任何操作NONE。以下步骤说明了这些设置,并指明了何时需要使用特定设置。

选择首选访问方法以更新组织的自动启用首选项。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    要登录,请使用 GuardDuty 管理员帐户凭据。

  2. 在导航窗格中,选择账户

    帐户” 页面为 GuardDuty 管理员帐户提供要自动启用的配置选项, GuardDuty 以及代表属于该组织的成员帐户的可选保护计划。

  3. 要更新现有的自动启用设置,请选择编辑

    委派 GuardDuty 管理员账户代表组织中的成员账户管理自动启用首选项 GuardDuty 和专用保护计划。

    此支持可用于配置 GuardDuty 以及您的所有受支持的可选保护计划 AWS 区域。您可以代表您的成员账户选择以下配置选项之一: GuardDuty

    • 为所有帐户启用 (ALL)-选择此选项可为组织中的所有帐户启用相应的选项。这包括加入组织的新账户,以及可能已被暂停或从组织中删除的账户。这还包括委派 GuardDuty 管理员帐户。

      注意

      更新所有成员账户的配置最多可能需要 24 小时。

    • 为新帐户自动启用 (NEW)-选择仅在新成员帐户加入您的组织时自动启用 GuardDuty 或可选的保护计划。

    • 请勿启用 (NONE)-选择该选项可防止为组织中的新帐户启用相应的选项。在这种情况下, GuardDuty 管理员帐户将单独管理每个帐户。

      当您将自动启用设置从ALL或更新NEW为时NONE,此操作不会禁用现有账户的相应选项。此配置将应用于加入组织的新帐户。更新自动启用设置后,任何新账户都不会启用相应的选项。

    注意

    当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用ListMembersAPI。

  4. 选择 Save changes(保存更改)

  5. (可选)如果您想在每个地区使用相同的首选项,请分别更新每个受支持区域的首选项。

    某些可选的保护计划可能并非在所有可用 AWS 区域 的地方都可 GuardDuty 用。有关更多信息,请参阅 区域和端点

API/CLI

  1. 运行 UpdateOrganizationConfiguration通过使用委派 GuardDuty 管理员账户的证书,在该区域为您的组织自动配置保护计划 GuardDuty 和可选保护计划。有关各种自动启用配置的信息,请参阅autoEnableOrganization成员

    要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    要为您所在区域中任何受支持的可选保护计划设置自动启用首选项,请按照每个保护计划的相应文档部分中提供的步骤进行操作。

  2. 您可以验证当前区域中组织的首选项。运行 describeOrganizationConfiguration。 请务必指定委派 GuardDuty 管理员账户的检测器 ID。

    注意

    更新所有成员账户的配置可能最长需要 24 小时。

  3. 或者,运行以下 AWS CLI 命令将首选项设置为 GuardDuty 在该区域自动启用或禁用加入组织的新帐户 (NEW)、组织中的所有帐户 (ALL) 或不包含任何帐户 (NONE)。有关更多信息,请参阅autoEnableOrganization成员。根据您的首选项,可能需要将 NEW 替换为 ALLNONE。如果您使用配置保护计划ALL,则还会为委派的 GuardDuty 管理员帐户启用保护计划。请务必指定管理组织配置的委派 GuardDuty 管理员帐户的检测器 ID。

    要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员帐户的检测器 ID 运行以下 AWS CLI 命令。

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(推荐)使用委派 GuardDuty 管理员账户检测器 ID 在每个区域重复前面的步骤。

注意

当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在GuardDuty 控制台导航窗格中打开账户或使用ListMembersAPI。