在多帳戶環境中啟用 GuardDuty 啟動的惡意軟體掃描 - Amazon GuardDuty
建立受信任的存取權以啟用 GuardDuty 起始的惡意軟體掃描

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在多帳戶環境中啟用 GuardDuty 啟動的惡意軟體掃描

在多帳戶環境中,只有 GuardDuty 管理員帳戶可以代表其成員帳戶啟用 GuardDuty 啟動的惡意軟體掃描。此外,透過 AWS Organizations 支援管理成員帳戶的管理員帳戶可以選擇在組織的所有現有和新帳戶上自動啟用 GuardDuty 啟動的惡意軟體掃描。如需詳細資訊,請參閱使用 管理 GuardDuty 帳戶 AWS Organizations

建立受信任的存取權以啟用 GuardDuty 起始的惡意軟體掃描

如果 GuardDuty 委派管理員帳戶與您組織中的管理帳戶不同,則管理帳戶必須為其組織啟用 GuardDuty 啟動的惡意軟體掃描。如此一來,委派的管理員帳戶就可以的惡意軟體防護的服務連結角色許可 EC2在透過 管理的成員帳戶中建立 AWS Organizations。

注意

指定委派的 GuardDuty 管理員帳戶之前,請參閱 考量事項和建議

選擇您偏好的存取方法,以允許委派的 GuardDuty 管理員帳戶為組織中的成員帳戶啟用 GuardDuty 啟動的惡意軟體掃描。

Console

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

    若要登入,請使用 AWS Organizations 組織的管理帳戶。

    1. 如果您尚未指定委派的 GuardDuty 管理員帳戶,則:

      設定頁面的委派 GuardDuty 管理員帳戶下,輸入account ID您要指定來管理組織中 GuardDuty 政策的 12 位數。選擇委派

      1. 如果您已指定與管理帳戶不同的委派 GuardDuty 管理員帳戶,則:

        設定頁面的委派管理員下,開啟許可設定。此動作將允許委派的 GuardDuty 管理員帳戶將相關許可連接到成員帳戶,並在這些成員帳戶中啟用 GuardDuty 啟動的惡意軟體掃描。

      2. 如果您已指定與管理帳戶相同的委派 GuardDuty 管理員帳戶,則可以直接為成員帳戶啟用 GuardDuty 啟動的惡意軟體掃描。如需詳細資訊,請參閱自動啟用所有成員帳戶的 GuardDuty 起始惡意軟體掃描

      提示

      如果委派的 GuardDuty 管理員帳戶與您的管理帳戶不同,您必須提供許可給委派的 GuardDuty 管理員帳戶,以允許對成員帳戶啟用 GuardDuty 啟動的惡意軟體掃描。

  3. 如果您想要允許委派的 GuardDuty 管理員帳戶為其他區域中的成員帳戶啟用 GuardDuty 啟動的惡意軟體掃描,請變更您的 AWS 區域,然後重複上述步驟。

API/CLI

  1. 使用您的管理帳戶憑證,執行下列命令:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (選用) 若要為非委派管理員帳戶的管理帳戶啟用 GuardDuty 啟動的惡意軟體掃描,管理帳戶會先在其帳戶中的惡意軟體防護的服務連結角色許可 EC2明確建立 ,然後從委派管理員帳戶啟用 GuardDuty 啟動的惡意軟體掃描,類似於任何其他成員帳戶。

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. 您已在目前選取的 中指定委派的 GuardDuty 管理員帳戶 AWS 區域。如果您已將 帳戶指定為一個區域中的委派 GuardDuty 管理員帳戶,則該帳戶必須是所有其他區域中的委派 GuardDuty 管理員帳戶。為其他所有區域重複上述步驟。

選擇您偏好的存取方法,以啟用或停用委派 GuardDuty 管理員帳戶的 GuardDuty 啟動惡意軟體掃描。

Console

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇 EC2 的惡意軟體防護

  3. EC2 的惡意軟體防護頁面上,選擇 GuardDuty 啟動的惡意軟體掃描旁的編輯

  4. 執行以下任意一項:

    使用為所有帳戶啟用

    • 選擇為所有帳戶啟用。這將啟用 AWS 組織中所有作用中 GuardDuty 帳戶的保護計劃,包括加入組織的新帳戶。

    • 選擇 Save (儲存)。

    使用手動設定帳戶

    • 若要僅為委派的 GuardDuty 管理員帳戶啟用保護計劃,請選擇手動設定帳戶

    • 委派的 GuardDuty 管理員帳戶 (此帳戶) 區段下選擇啟用

    • 選擇 Save (儲存)。

API/CLI

使用您自己的區域偵測器 ID 執行 updateDetector API 操作,並以 name EBS_MALWARE_PROTECTIONstatus的形式傳遞features物件ENABLED

您可以執行下列 AWS CLI 命令來啟用 GuardDuty 啟動的惡意軟體掃描。請務必使用委派的 GuardDuty 管理員帳戶的有效偵測器 ID

若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

選擇您偏好的存取方法,以便為所有成員帳戶啟用 GuardDuty 起始的惡意軟體掃描功能。這包括現有的成員帳戶和加入組織的新帳戶。

Console

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/guardduty/ 開啟 GuardDuty 主控台。

    請務必使用委派的 GuardDuty 管理員帳戶登入資料。

  2. 執行以下任意一項:

    使用適用於 EC2 的惡意軟體防護頁面

    1. 在導覽窗格中,選擇 EC2 的惡意軟體防護

    2. EC2 的惡意軟體防護頁面上,選擇 GuardDuty 啟動的惡意軟體掃描區段中的編輯

    3. 選擇為所有帳戶啟用。此動作會自動為組織中的現有帳戶和新帳戶啟用 GuardDuty 起始的惡意軟體掃描。

    4. 選擇 Save (儲存)。

      注意

      最多可能需要 24 小時才會更新成員帳戶的組態。

    使用帳戶頁面

    1. 在導覽窗格中,選擇帳戶

    2. 帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶

    3. 管理自動啟用偏好設定視窗中,選擇 GuardDuty 起始的惡意軟體掃描下的為所有帳戶啟用

    4. EC2 的惡意軟體防護頁面上,選擇 GuardDuty 啟動的惡意軟體掃描區段中的編輯

    5. 選擇為所有帳戶啟用。此動作會自動為組織中的現有帳戶和新帳戶啟用 GuardDuty 起始的惡意軟體掃描。

    6. 選擇 Save (儲存)。

      注意

      最多可能需要 24 小時才會更新成員帳戶的組態。

    使用帳戶頁面

    1. 在導覽窗格中,選擇帳戶

    2. 帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶

    3. 管理自動啟用偏好設定視窗中,選擇 GuardDuty 起始的惡意軟體掃描下的為所有帳戶啟用

    4. 選擇 Save (儲存)。

    如果您無法使用為所有帳戶啟用選項,請參閱 選擇性地啟用成員帳戶的 GuardDuty 啟動惡意軟體掃描

API/CLI

  • 若要為您的成員帳戶選擇性地啟用 GuardDuty 啟動的惡意軟體掃描,請使用您自己的偵測器 ID 叫用 updateMemberDetectors API 操作。

  • 下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。若要停用成員帳戶,請使用 DISABLED 取代 ENABLED

    若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    您也可以傳遞以空格分隔的帳戶 ID 清單。

  • 當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方法,以便為組織中的所有現有作用中成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

為所有現有作用中成員帳戶設定 GuardDuty 起始的惡意軟體掃描

  1. 登入 AWS Management Console ,並在 https://console.aws.amazon.com/guardduty/:// 開啟 GuardDuty 主控台。

    使用委派的 GuardDuty 管理員帳戶登入資料登入。

  2. 在導覽窗格中,選擇 EC2 的惡意軟體防護

  3. EC2 的惡意軟體防護上,您可以檢視 GuardDuty 啟動的惡意軟體掃描組態的目前狀態。在作用中成員帳戶區段下,選擇動作

  4. 動作下拉式選單中,選擇為所有作用中的成員帳戶啟用

  5. 選擇 Save (儲存)。

新增的成員帳戶必須先啟用 GuardDuty,然後才能選取設定 GuardDuty 起始的惡意軟體掃描。透過邀請管理的成員帳戶可以為其帳戶手動設定 GuardDuty 起始的惡意軟體掃描。如需詳細資訊,請參閱Step 3 - Accept an invitation

選擇您偏好的存取方法,以便為新加入組織的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

Console

委派的 GuardDuty 管理員帳戶可以使用惡意軟體防護 EC2 或帳戶頁面,為組織中的新成員帳戶啟用 GuardDuty 啟動的惡意軟體掃描。 EC2

為新成員帳戶自動啟用 GuardDuty 起始的惡意軟體掃描

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

    請務必使用委派的 GuardDuty 管理員帳戶登入資料。

  2. 執行以下任意一項:

    • 使用惡意軟體防護 EC2 頁面:

      1. 在導覽窗格中,選擇 EC2 的惡意軟體防護

      2. EC2 的惡意軟體防護頁面上,選擇 GuardDuty 啟動的惡意軟體掃描中的編輯

      3. 選擇手動設定帳戶

      4. 選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,GuardDuty 起始的惡意軟體掃描都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。

      5. 選擇 Save (儲存)。

    • 使用帳戶頁面:

      1. 在導覽窗格中,選擇帳戶

      2. 帳戶頁面上,選擇自動啟用偏好設定。

      3. 管理自動啟用偏好設定視窗中,選擇 GuardDuty 起始的惡意軟體掃描下的為新帳戶啟用

      4. 選擇 Save (儲存)。

API/CLI

  • 若要為新成員帳戶地啟用或停用 GuardDuty 起始的惡意軟體掃描,請使用您自己的偵測器 ID 調用 UpdateOrganizationConfiguration API 操作。

  • 下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。若要停用,請參閱選擇性地啟用成員帳戶的 GuardDuty 啟動惡意軟體掃描。如果您不想為加入組織的所有新帳戶啟用此功能,請將 AutoEnable 設定為 NONE

    若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    您也可以傳遞以空格分隔的帳戶 ID 清單。

  • 當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方法,以便為指定成員帳戶設定 GuardDuty 起始的惡意軟體掃描。

Console

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇帳戶

  3. 帳戶頁面上,檢閱 GuardDuty 起始的惡意軟體掃描欄,了解您的成員帳戶的狀態。

  4. 選取您要設定 GuardDuty 起始的惡意軟體掃描的帳戶。您可以一次選取多個帳戶。

  5. 編輯保護計畫選單中,針對 GuardDuty 起始的惡意軟體掃描選擇適當的選項。

API/CLI

若要為您的成員帳戶選擇性地啟用或停用 GuardDuty 起始的惡意軟體掃描,請使用您自己的偵測器 ID 調用 updateMemberDetectors API 操作。

下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

若要為您的成員帳戶選擇性地啟用 GuardDuty 啟動的惡意軟體掃描,請使用您自己的偵測器 ID 執行 updateMemberDetectors API 操作。下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

必須在成員帳戶中建立 GuardDuty Malware Protection for EC2 服務連結角色 (SLR)。管理員帳戶無法在非 管理的成員帳戶中啟用 GuardDuty 啟動的惡意軟體掃描功能 AWS Organizations。

目前,您可以透過 GuardDuty 主控台 (網址為 https://console.aws.amazon.com/guardduty/) 執行以下步驟,為現有的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

Console

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

    使用您的管理員帳戶登入資料登入。

  2. 在導覽窗格中,選擇帳戶

  3. 選取您要為之啟用 GuardDuty 起始的惡意軟體掃描的成員帳戶。您可以一次選取多個帳戶。

  4. 選擇動作

  5. 選擇取消關聯成員

  6. 在成員帳戶中,在導覽窗格的保護計畫下,選擇惡意軟體防護

  7. 選擇啟用 GuardDuty 起始的惡意軟體掃描。GuardDuty 將為成員帳戶建立 SLR。如需有關 SLR 的詳細資訊,請參閱的惡意軟體防護的服務連結角色許可 EC2

  8. 在管理員帳戶帳戶中,選擇導覽窗格中的帳戶

  9. 選擇需要新增回組織的成員帳戶。

  10. 選擇動作,然後選擇新增成員

API/CLI

  1. 使用管理員帳戶在想要啟用 GuardDuty 啟動惡意軟體掃描的成員帳戶上執行 DisassociateMembers API。

  2. 使用您的成員帳戶調用 UpdateDetector 以啟用 GuardDuty 起始的惡意軟體掃描。

    若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. 使用管理員帳戶執行 CreateMembers API,將成員新增至組織。