在多账户环境中启用由 GuardDuty 启动的恶意软件扫描
在多账户环境中,仅 GuardDuty 管理员账户可以代表其成员账户配置由 GuardDuty 启动的恶意软件扫描。此外,通过 AWS Organizations 支持管理成员账户的管理员账户可以选择在组织中的所有现有账户和新账户上,自动启用由 GuardDuty 启动的恶意软件扫描。有关更多信息,请参阅 使用 AWS Organizations 管理 GuardDuty 账户。
建立可信访问权限以启用 GuardDuty 启动的恶意软件扫描
如果委派 GuardDuty 管理员账户与组织中的管理账户不同,则该管理账户必须为其组织启用由 GuardDuty 启动的恶意软件扫描。这样,委派管理员就可以在通过 AWS Organizations 管理的成员账户中创建 EC2 恶意软件防护的服务相关角色权限。
注意
在指定委派 GuardDuty 管理员账户之前,请参阅注意事项和建议。
选择您偏好的访问方法,以便委派 GuardDuty 管理员账户为组织中的成员账户启用由 GuardDuty 启动的恶意软件扫描。
- Console
-
通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/
。 若要登录,请使用 AWS Organizations 企业的管理账户。
-
-
如果您尚未指定委派 GuardDuty 管理员账户,则:
在设置页面的委派 GuardDuty 管理员账户下,输入指定用于管理组织中的 GuardDuty 策略的 12 位
account ID。选择 Delegate(委派)。 -
-
如果您已指定与管理账户不同的委派 GuardDuty 管理员账户,则:
在设置页面的委托管理员下,打开权限设置。此操作将允许委派 GuardDuty 管理员账户为成员账户附加相关权限,并在这些成员账户中启用由 GuardDuty 启动的恶意软件扫描。
-
如果您已指定与管理账户相同的委派 GuardDuty 管理员账户,则可以直接为成员账户启用由 GuardDuty 启动的恶意软件扫描。有关更多信息,请参阅 为所有成员账户自动启用 GuardDuty 启动的恶意软件扫描。
提示
如果委派 GuardDuty 管理员账户与您的管理账户不同,则必须向委派 GuardDuty 管理员账户提供权限,以便为成员账户启用由 GuardDuty 启动的恶意软件扫描。
-
-
-
如果您想允许委派 GuardDuty 管理员账户为其他区域中的成员账户启用由 GuardDuty 启动的恶意软件扫描,请更改您的 AWS 区域并重复上述步骤。
- API/CLI
-
-
使用您的管理账户凭证运行以下命令:
aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com -
(可选)要为非委派 GuardDuty 管理员账户的管理账户启用由 GuardDuty 启动的恶意软件扫描,管理账户需首先在其账户中创建显式 EC2 恶意软件防护的服务相关角色权限,然后从委派 GuardDuty 管理员账户启用由 GuardDuty 启动的恶意软件扫描,操作与在任何其他成员账户上的操作类似。
aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com -
您已在当前选定的 AWS 区域中指定了委派 GuardDuty 管理员账户。如果您在一个区域将一个账户指定为委派 GuardDuty 管理员账户,则该账户必须是您在所有其他区域的委派 GuardDuty 管理员账户。对所有其他区域重复上述步骤。
-
选择您偏好的访问方法,为委派 GuardDuty 管理员账户启用或禁用由 GuardDuty 启动的恶意软件扫描。
- Console
-
通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择 EC2 恶意软件防护。
-
在 EC2 恶意软件防护页面上,选择由 GuardDuty 启动的恶意软件扫描旁边的编辑。
请执行以下操作之一:
使用对所有账户启用
-
选择为所有账户启用。此操作将为 AWS 组织中的所有活跃 GuardDuty 账户启用保护计划,包括加入组织的新账户。
选择保存。
使用手动配置账户
要仅为委派 GuardDuty 管理员账户启用防护计划,请选择手动配置账户。
在委派 GuardDuty 管理员账户(此账户)部分选择启用。
选择保存。
-
- API/CLI
-
使用您自己的区域检测器 ID 运行 updateDetector API 操作,传递
features对象,并将name设置为EBS_MALWARE_PROTECTION,将status设置为ENABLED。您可以通过运行以下 AWS CLI 命令来启用由 GuardDuty 启动的恶意软件扫描。确保使用委派 GuardDuty 管理员账户的有效
检测器 ID。要查找您账户和当前区域的
detectorId,请查看 https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API。 aws guardduty update-detector --detector-id12abc34d567e8fa901bc2d34e56789f0/ --account-ids555555555555/ --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
选择您的首选访问方式,为所有成员账户启用 GuardDuty 启动的恶意软件扫描功能。包括现有成员账户和加入组织的新账户。
- Console
-
登录 AWS 管理控制台,打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/
。 务必要使用委派 GuardDuty 管理员账户的凭证。
-
请执行以下操作之一:
使用 EC2 恶意软件防护页面
-
在导航窗格中,选择 EC2 恶意软件防护。
-
在 EC2 恶意软件防护页面上,在由 GuardDuty 启动的恶意软件扫描部分中选择编辑。
-
选择为所有账户启用。此操作会自动对组织中现有和新账户启用 GuardDuty 启动的恶意软件扫描。
-
选择保存。
注意
更新成员账户的配置可能最长需要 24 小时。
使用账户页面
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项,然后选择通过邀请添加账户。
-
在管理自动启用首选项窗口中,在 GuardDuty 启动的恶意软件扫描下选择为所有账户启用。
-
在 EC2 恶意软件防护页面上,在由 GuardDuty 启动的恶意软件扫描部分中选择编辑。
-
选择为所有账户启用。此操作会自动对组织中现有和新账户启用 GuardDuty 启动的恶意软件扫描。
-
选择保存。
注意
更新成员账户的配置可能最长需要 24 小时。
使用账户页面
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项,然后选择通过邀请添加账户。
-
在管理自动启用首选项窗口中,在 GuardDuty 启动的恶意软件扫描下选择为所有账户启用。
-
选择保存。
如果您无法使用为所有账户启用选项,请参阅 有选择地为成员账户启用由 GuardDuty 启动的恶意软件扫描。
-
- API/CLI
-
-
要有选择地为成员账户启用由 GuardDuty 启动的恶意软件扫描,请使用您自己的
detector ID调用 updateMemberDetectors API 操作。 -
以下示例显示如何为单个成员账户启用 GuardDuty 启动的恶意软件扫描。要禁用成员账户,请将
ENABLED替换为DISABLED。要查找您账户和当前区域的
detectorId,请查看 https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API。 aws guardduty update-member-detectors --detector-id12abc34d567e8fa901bc2d34e56789f0--account-ids111122223333--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'您还可以传递由空格分隔的账户 ID 列表。
-
成功执行代码后,会返回
UnprocessedAccounts的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
-
选择您的首选访问方式,为组织中所有现有活跃成员账户启用 GuardDuty 启动的恶意软件扫描。
为所有现有活跃成员账户配置 GuardDuty 启动的恶意软件扫描
登录 AWS 管理控制台,打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/
。 使用委派 GuardDuty 管理员账户的凭证登录。
-
在导航窗格中,选择 EC2 恶意软件防护。
-
在 EC2 恶意软件防护中,您可以查看由 GuardDuty 启动的恶意软件扫描配置的当前状态。在活跃成员账户部分下,选择操作。
-
从操作下拉菜单中,选择为所有现有活跃成员账户启用。
-
选择保存。
在选择配置 GuardDuty 启动的恶意软件扫描之前,新添加的成员账户必须启用 GuardDuty。通过邀请进行管理的成员账户,可以为其账户手动配置 GuardDuty 启动的恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation。
选择您的首选访问方式,对加入您组织的新账户启用 GuardDuty 启动的恶意软件扫描。
- Console
-
委派 GuardDuty 管理员账户可以通过 EC2 恶意软件防护或账户页面,为组织中的新成员账户启用由 GuardDuty 启动的恶意软件扫描。
为新成员账户自动启用 GuardDuty 启动的恶意软件扫描
通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/
。 务必要使用委派 GuardDuty 管理员账户的凭证。
-
请执行以下操作之一:
-
使用 EC2 恶意软件防护页面:
-
在导航窗格中,选择 EC2 恶意软件防护。
-
在 EC2 恶意软件防护页面上,在由 GuardDuty 启动的恶意软件扫描中选择编辑。
-
选择手动配置账户。
-
选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为该账户启用 GuardDuty 启动的恶意软件扫描。只有组织的委派 GuardDuty 管理员账户才能修改此配置。
-
选择保存。
-
-
使用账户页面:
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项。
-
在管理自动启用首选项窗口中,在 GuardDuty 启动的恶意软件扫描下选择为新账户启用。
-
选择保存。
-
-
- API/CLI
-
-
要启用或禁用 GuardDuty 启动的针对新成员账户的恶意软件扫描,请使用您自己的
检测器 ID调用 UpdateOrganizationConfiguration API 操作。 -
以下示例显示如何为单个成员账户启用 GuardDuty 启动的恶意软件扫描。要将其禁用,请参阅 有选择地为成员账户启用由 GuardDuty 启动的恶意软件扫描。如果您不想为所有加入组织的新账户启用该功能,请将
AutoEnable设置为NONE。要查找您账户和当前区域的
detectorId,请查看 https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API。 aws guardduty update-organization-configuration --detector-id12abc34d567e8fa901bc2d34e56789f0--AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable":NEW}]'您还可以传递由空格分隔的账户 ID 列表。
-
成功执行代码后,会返回
UnprocessedAccounts的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
-
选择您的首选访问方法,有选择地为成员账户配置 GuardDuty 启动的恶意软件扫描。
- Console
-
通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择账户。
-
在账户页面上,查看 GuardDuty 启动的恶意软件扫描列,了解成员账户的状态。
-
选择要为哪个账户配置 GuardDuty 启动的恶意软件扫描。您可以一次选择多个账户。
-
从编辑保护计划菜单中,为 GuardDuty 启动的恶意软件扫描选择相应的选项。
- API/CLI
-
要有选择地为您的成员账户启用或禁用 GuardDuty 启动的恶意软件扫描,请使用您自己的
检测器 ID调用 updateMemberDetectors API 操作。以下示例显示如何为单个成员账户启用 GuardDuty 启动的恶意软件扫描。
要查找您账户和当前区域的
detectorId,请查看 https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API。 aws guardduty update-member-detectors --detector-id12abc34d567e8fa901bc2d34e56789f0--account-ids111122223333--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'您还可以传递由空格分隔的账户 ID 列表。
成功执行代码后,会返回
UnprocessedAccounts的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。要有选择地为成员账户启用由 GuardDuty 启动的恶意软件扫描,请使用您自己的
detector ID运行 updateMemberDetectors API 操作。以下示例显示如何为单个成员账户启用 GuardDuty 启动的恶意软件扫描。要查找您账户和当前区域的
detectorId,请查看 https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API。 aws guardduty update-member-detectors --detector-id12abc34d567e8fa901bc2d34e56789f0--account-ids111122223333--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'您还可以传递由空格分隔的账户 ID 列表。
成功执行代码后,会返回
UnprocessedAccounts的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
必须在成员账户中创建此 GuardDuty EC2 恶意软件防护服务关联角色(SLR)。管理员账户无法在未由 AWS Organizations 托管的成员账户中启用由 GuardDuty 启动的恶意软件扫描功能。
目前,您可以通过 GuardDuty 控制台 https://console.aws.amazon.com/guardduty/
- Console
-
通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/
。 使用管理员账户凭证登录。
-
在导航窗格中,选择账户。
-
选择要为哪个成员账户启用 GuardDuty 启动的恶意软件扫描。您可以一次选择多个账户。
-
选择操作。
-
选择取消关联成员。
-
在您的成员账户中,在导航窗格的保护计划下选择恶意软件防护。
-
选择启用 GuardDuty 启动的恶意软件扫描。GuardDuty 将为成员账号创建 SLR。有关 SLR 的更多信息,请参阅 EC2 恶意软件防护的服务相关角色权限。
-
在管理员账户中,选择导航窗格上的账户。
-
选择需要重新添加到组织的成员账户。
-
选择操作,然后选择添加成员。
- API/CLI
-
-
在要启用由 GuardDuty 启动的恶意软件扫描的成员账户上,使用管理员账户运行 DisassociateMembers API。
-
使用您的成员账户调用 UpdateDetector,以启用 GuardDuty 启动的恶意软件扫描。
要查找您账户和当前区域的
detectorId,请查看 https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectors API。 aws guardduty update-detector --detector-id12abc34d567e8fa901bc2d34e56789f0--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}' -
使用管理员账户运行 CreateMembers API,以将成员重新添加回组织。
-
