設定組織自動啟用偏好設定 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定組織自動啟用偏好設定

中的自動啟用組織功能 GuardDuty 可協助您在單一步驟中為組織中ALL的現有或NEW成員帳戶設定相同的 GuardDuty 和 保護計畫狀態。同樣地,您也可以選擇 ,指定您何時不想對成員帳戶採取任何動作NONE。下列步驟會說明這些設定,並指示何時要使用特定設定。

選擇偏好的存取方法,以更新組織的自動啟用偏好設定。

Console

  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

    若要登入,請使用 GuardDuty 管理員帳戶憑證。

  2. 在導覽窗格中,選擇帳戶

    帳戶頁面代表屬於組織的成員帳戶,為 GuardDuty 管理員帳戶提供自動啟用 GuardDuty 和選用保護計劃的組態選項。

  3. 若要更新現有的自動啟用設定,請選擇編輯

    委派 GuardDuty 管理員帳戶代表組織中的成員帳戶,管理 GuardDuty 和 專用保護計畫的自動啟用偏好設定。

    此支援可用於設定 中的 GuardDuty 和所有支援的選用保護計畫 AWS 區域。您可以 GuardDuty 代表成員帳戶選取下列其中一個組態選項:

    • 為所有帳戶啟用 (ALL – 選取 以啟用組織中所有帳戶的對應選項。這包括加入組織的新帳戶,以及可能已暫停或從組織中移除的帳戶。這還包括委派的 GuardDuty 管理員帳戶。

      注意

      更新所有成員帳戶的組態最多可能需要 24 小時。

    • 自動啟用新帳戶 (NEW – 選取 以啟用 GuardDuty 或只在新成員帳戶加入您的組織時自動啟用或選用的保護計畫。

    • 請勿啟用 (NONE – 選取 以防止啟用組織中新帳戶的對應選項。在此情況下, GuardDuty 管理員帳戶將個別管理每個帳戶。

      當您將自動啟用設定從 ALL或 更新NEW為 時NONE,此動作不會停用現有帳戶的對應選項。此組態將套用至加入組織的新帳戶。更新自動啟用設定後,沒有任何新帳戶具有啟用的對應選項。

    注意

    當委派的 GuardDuty 管理員帳戶選擇退出選擇加入區域時,即使您的組織已將 GuardDuty 自動啟用組態設定為僅新成員帳戶 (NEW) 或所有成員帳戶 (ALL), GuardDuty也無法為組織中目前 GuardDuty 已停用的任何成員帳戶啟用。如需有關成員帳戶組態的資訊,請在GuardDuty 主控台導覽窗格中開啟帳戶或使用 ListMembers API。

  4. 選擇 Save changes (儲存變更)。

  5. (選用) 如果您想要在每個區域中使用相同的偏好設定,請分別更新每個支援區域中的偏好設定。

    部分選用的保護計劃可能無法在所有 AWS 區域 GuardDuty 可用的 中提供。如需詳細資訊,請參閱區域與端點

API/CLI

  1. 執行 UpdateOrganizationConfiguration 使用委派 GuardDuty 管理員帳戶的憑證,自動設定 GuardDuty 和組織的該區域中的選用保護計畫。如需各種自動啟用組態的相關資訊,請參閱autoEnableOrganization成員

    若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

    若要為您區域中任何支援的選用保護計畫設定自動啟用偏好設定,請依照每個保護計畫對應文件章節中提供的步驟進行。

  2. 您可以驗證目前區域中組織的偏好設定。執行 describeOrganizationConfiguration。 請務必指定委派 GuardDuty 管理員帳戶的偵測器 ID。

    注意

    最多可能需要 24 小時才會更新所有成員帳戶的組態。

  3. 或者,執行下列 AWS CLI 命令,將偏好設定設定為 GuardDuty 針對加入組織的新帳戶 (NEW)、組織中的所有帳戶 (ALL) 或組織中沒有帳戶 (NONE),在該區域中自動啟用或停用。如需詳細資訊,請參閱autoEnableOrganization成員 。根據您的偏好設定,您可能需要使用 ALLNONE 取代 NEW。如果您使用 設定保護計畫ALL,則也會為委派的 GuardDuty 管理員帳戶啟用保護計畫。請務必指定管理組織組態之委派 GuardDuty 管理員帳戶的偵測器 ID。

    若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 您可以驗證目前區域中組織的偏好設定。使用委派 GuardDuty 管理員帳戶的偵測器 ID 執行下列 AWS CLI 命令。

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(建議) 使用委派的 GuardDuty 管理員帳戶偵測器 ID,在每個區域中重複上述步驟。

注意

當委派的 GuardDuty 管理員帳戶選擇退出選擇加入區域時,即使您的組織已將 GuardDuty 自動啟用組態設定為僅新成員帳戶 (NEW) 或所有成員帳戶 (ALL), GuardDuty也無法為組織中目前 GuardDuty 已停用的任何成員帳戶啟用。如需有關成員帳戶組態的資訊,請在GuardDuty 主控台導覽窗格中開啟帳戶或使用 ListMembers API。