本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在多帳戶環境中啟用 RDS 保護
在多帳戶環境中,只有委派的 GuardDuty 管理員帳戶可以選擇啟用或停用其組織中成員帳戶的 RDS 保護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。委派的 GuardDuty 管理員帳戶會使用 管理其成員帳戶 AWS Organizations。此委派的 GuardDuty 管理員帳戶可以選擇在加入組織時自動啟用所有新帳戶的 RDS 登入活動監控。如需多帳戶環境的詳細資訊,請參閱GuardDuty 中的多個帳戶。
選擇您偏好的存取方法,為委派的 GuardDuty 管理員帳戶設定 RDS 登入活動監控。
- Console
-
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 -
在導覽窗格中,選擇 RDS 保護。
-
在 RDS 保護頁面上,選擇編輯。
執行以下任意一項:
使用為所有帳戶啟用
-
選擇為所有帳戶啟用。這將啟用 AWS 組織中所有作用中 GuardDuty 帳戶的保護計劃,包括加入組織的新帳戶。
選擇 Save (儲存)。
使用手動設定帳戶
若要僅為委派的 GuardDuty 管理員帳戶啟用保護計劃,請選擇手動設定帳戶。
在委派的 GuardDuty 管理員帳戶 (此帳戶) 區段下選擇啟用。
選擇 Save (儲存)。
-
- API/CLI
-
使用您自己的區域偵測器 ID 執行 updateDetector API 操作,並以
name
RDS_LOGIN_EVENTS
和status
的形式傳遞features
物件ENABLED
。或者,您可以使用 AWS CLI 來啟用 RDS 保護。執行下列命令,並將
12abc34d567e8fa901bc2d34e56789f0
取代為您帳戶的偵測器 ID,並將us-east-1
取代為您要啟用 RDS 保護的區域。若要尋找
detectorId
您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API。 aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
選擇您偏好的存取方法,以便為所有成員帳戶啟用 RDS 保護功能。這包括現有的成員帳戶和加入組織的新帳戶。
- Console
-
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 請務必使用委派的 GuardDuty 管理員帳戶憑證。
-
執行以下任意一項:
使用 RDS 保護頁面
-
在導覽窗格中,選擇 RDS 保護。
-
選擇為所有帳戶啟用。此動作會自動為組織中的現有帳戶和新帳戶啟用 RDS 保護。
-
選擇 Save (儲存)。
注意
最多可能需要 24 小時才會更新成員帳戶的組態。
使用帳戶頁面
-
在導覽窗格中,選擇帳戶。
-
在帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶。
-
在管理自動啟用偏好設定視窗中,選擇 RDS 登入活動監控下的為所有帳戶啟用。
-
選擇 Save (儲存)。
如果您無法使用為所有帳戶啟用選項,請參閱 選擇性地為成員帳戶啟用 RDS 保護。
-
- API/CLI
-
若要為您的成員帳戶選擇性地啟用或停用 RDS 保護,請使用您自己的
偵測器 ID
調用 updateMemberDetectors API 操作。或者,您可以使用 AWS CLI 來啟用 RDS 保護。執行下列命令,並將
12abc34d567e8fa901bc2d34e56789f0
取代為您帳戶的偵測器 ID,並將us-east-1
取代為您要啟用 RDS 保護的區域。若要尋找
detectorId
您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API。 aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--account-ids111122223333
--features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED
"}]'您也可以傳遞以空格分隔的帳戶 ID 清單。
當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方法,以便為組織中的所有現有作用中成員帳戶啟用 RDS 保護。已啟用 GuardDuty 的成員帳戶稱為現有的作用中成員。
- Console
-
登入 AWS Management Console ,並在 https://console.aws.amazon.com/guardduty/
:// 開啟 GuardDuty 主控台。 使用委派的 GuardDuty 管理員帳戶登入資料登入。
-
在導覽窗格中,選擇 RDS 保護。
-
在 RDS 保護頁面上,您可以檢視組態的目前狀態。在作用中成員帳戶區段下,選擇動作。
-
從動作下拉式選單中,選擇為所有作用中的成員帳戶啟用。
-
選擇確認。
- API/CLI
-
使用您自己的
偵測器 ID
執行 updateMemberDetectors API 操作。或者,您可以使用 AWS CLI 來啟用 RDS 保護。執行下列命令,並將
12abc34d567e8fa901bc2d34e56789f0
取代為您帳戶的偵測器 ID,並將us-east-1
取代為您要啟用 RDS 保護的區域。若要尋找
detectorId
您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API。 aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--account-ids111122223333
--features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED
"}]'您也可以傳遞以空格分隔的帳戶 ID 清單。
當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方法,以便為新加入組織的新帳戶啟用 RDS 登入活動監控。
- Console
-
委派的 GuardDuty 管理員帳戶可以透過主控台,使用 RDS 保護或帳戶頁面,為組織中的新成員帳戶啟用 。
為新成員帳戶自動啟用 RDS 保護
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 請務必使用委派的 GuardDuty 管理員帳戶憑證。
-
執行以下任意一項:
-
使用 RDS 保護頁面:
-
在導覽窗格中,選擇 RDS 保護。
-
在 RDS 保護頁面上,選擇編輯。
-
選擇手動設定帳戶。
-
選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,RDS 保護都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。
-
選擇 Save (儲存)。
-
-
使用帳戶頁面:
-
在導覽窗格中,選擇帳戶。
-
在帳戶頁面上,選擇自動啟用偏好設定。
-
在管理自動啟用偏好設定視窗中,選取 RDS 登入活動監控下的為新帳戶啟用。
-
選擇 Save (儲存)。
-
-
- API/CLI
-
若要為您的成員帳戶選擇性地啟用或停用 RDS 保護,請使用您自己的
偵測器 ID
調用 UpdateOrganizationConfiguration API 操作。或者,您可以使用 AWS CLI 來啟用 RDS 保護。執行下列命令,並將
12abc34d567e8fa901bc2d34e56789f0
取代為您帳戶的偵測器 ID,並將us-east-1
取代為您要啟用 RDS 保護的區域。如果您不想為加入組織的所有新帳戶啟用此功能,請將autoEnable
設定為NONE
。若要尋找
detectorId
您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API。 aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
選擇您偏好的存取方法,選擇性地啟用成員帳戶的監控 RDS 登入活動。
- Console
-
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 請務必使用委派的 GuardDuty 管理員帳戶憑證。
-
在導覽窗格中,選擇帳戶。
在帳戶頁面上,檢閱 RDS 登入活動欄位,了解您的成員帳戶狀態。
-
選擇性地啟用或停用 RDS 登入活動
選取您要設定 RDS 保護的帳戶。您可以一次選取多個帳戶。在編輯保護計畫下拉式選單中,選擇 RDS 登入活動,然後選擇適當的選項。
- API/CLI
-
若要為您的成員帳戶選擇性地啟用或停用 RDS 保護,請使用您自己的
偵測器 ID
調用 updateMemberDetectors API 操作。或者,您可以使用 AWS CLI 來啟用 RDS 保護。執行下列命令,並將
12abc34d567e8fa901bc2d34e56789f0
取代為您帳戶的偵測器 ID,並將us-east-1
取代為您要啟用 RDS 保護的區域。若要尋找
detectorId
您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API。 aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--regionus-east-1
--account-ids111122223333
--features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED
"}]'注意
您也可以傳遞以空格分隔的帳戶 ID 清單。
當程式碼成功執行時,會返回一個空白
UnprocessedAccounts
清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。