View a markdown version of this page

在多账户环境中启用 Lambda 防护 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多账户环境中启用 Lambda 防护

在多账户环境中,只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 Lambda Protection。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理成员账户 AWS Organizations。委托 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 Lambda 网络活动监控。有关多账户环境的更多信息,请参阅在 A mazon 中管理多个账户。 GuardDuty

选择您的首选访问方法,为委派的 GuardDuty 管理员账户启用或禁用 Lambda 网络活动监控。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中的设置下,选择 Lambda 保护

  3. Lambda 保护页面上,选择编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 AWS 组织的新账户)启用保护计划。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,传递 features 对象,并将 name 设置为 LAMBDA_NETWORK_LOGS,将 status 设置为 ENABLED

或者,您可以使用启用 AWS CLI Lambda 保护。运行以下命令,12abc34d567e8fa901bc2d34e56789f0替换为账户的检测器 ID 和us-east-1要启用 Lambda 保护的区域。

要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

选择您的首选访问方法,为所有成员账户启用 Lambda 网络活动监控功能。包括现有成员账户和加入组织的新账户。

Console

  1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    使用 “保护计划” 页面

    1. 在导航窗格中,选择 “保护计划”。

    2. 选择 “配置所有启用”。

    3. Lambda 保护下,选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 Lambda 网络活动监控。

    4. 选择 “全部保存”,然后选择 “确认并保存”

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 在 “帐户” 页面上,在 “通过邀请添加帐户 Auto-enable” 之前选择首选项。

    3. 管理自动启用首选项窗口中,在 Lambda 网络活动监控下选择为所有账户启用

      注意

      默认情况下,此操作会自动打开 “Auto-enable GuardDuty 新成员帐户” 选项。

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地为成员账户启用或禁用 Lambda 网络活动监控

API/CLI

要有选择地为您的成员账户启用或禁用 Lambda 网络活动监控,请使用您自己的账户调用 updateMemberDetectorsAPI 操作。detector ID

或者,您可以使用启用 AWS CLI Lambda 保护。运行以下命令,12abc34d567e8fa901bc2d34e56789f0替换为账户的检测器 ID 和us-east-1要启用 Lambda 保护的区域。

要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为组织中的所有现有活跃成员账户启用 Lambda 网络活动监控。

Console
要为所有现有活跃成员账户启用 Lambda 网络活动监控

  1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    使用委派的 GuardDuty 管理员账户凭据登录。

  2. 在导航窗格中,选择 “保护计划”。

  3. 选择 “配置所有启用”。Lambda 保护下,您可以查看配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择确认

API/CLI

要有选择地为您的成员账户启用或禁用 Lambda 网络活动监控,请使用您自己的账户调用 updateMemberDetectorsAPI 操作。detector ID

或者,您可以使用启用 AWS CLI Lambda 保护。运行以下命令,12abc34d567e8fa901bc2d34e56789f0替换为账户的检测器 ID 和us-east-1要启用 Lambda 保护的区域。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为加入组织的新账户启用 Lambda 网络活动监控。

Console

委派的 GuardDuty 管理员账户可以使用 Lambda 保护或账户页面为组织中的新成员账户启用 Lambda 网络活动监控。

要为新成员账户自动启用 Lambda 网络活动监控

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    • 使用 “保护计划” 页面:

      1. 在导航窗格中,选择 “保护计划”。

      2. 选择 “配置所有启用”。

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 Lambda 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 在 “帐户” 页面上,选择Auto-enable首选项。

      3. 管理自动启用首选项窗口中,在 Lambda 网络活动监控下选择为新账户启用

      4. 选择保存

API/CLI

要为新成员账户启用 Lambda 网络活动监控,请使用您自己的账户调用 UpdateOrganizationConfigurationAPI 操作。detector ID

或者,您可以使用启用 AWS CLI Lambda 保护。以下示例显示如何为单个成员账户启用 Lambda 网络活动监控。12abc34d567e8fa901bc2d34e56789f0替换为您账户的检测器 ID 和us-east-1要启用 Lambda 保护的区域。如果您不想为所有加入组织的新账户启用该功能,请将 AutoEnable 设置为 NONE

要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,有选择地为成员账户启用或禁用 Lambda 网络活动监控。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 在导航窗格中的设置下,选择账户

    账户页面上,查看 Lambda 网络活动监控列。此列指示是否启用 Lambda 网络活动监控。

  3. 选择您要为其配置 Lambda 保护的账户。您可以一次选择多个账户。

  4. 编辑保护计划下拉菜单中,选择 Lambda 网络活动监控,然后选择相应的操作。

API/CLI

使用您自己的 updateMemberDetectorsAPI 调用detector ID

或者,您可以使用启用 AWS CLI Lambda 保护。12abc34d567e8fa901bc2d34e56789f0替换为您账户的检测器 ID 和us-east-1要启用 Lambda 保护的区域。

要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。