指定委派 GuardDuty 管理员账户 - Amazon GuardDuty

指定委派 GuardDuty 管理员账户

本节说明了在 GuardDuty 组织中指定委派管理员的步骤。

作为 AWS 组织的管理账户,请务必通读有关委派 GuardDuty 管理员账户工作原理的注意事项和建议。在继续操作之前,请确保您拥有指定委派 GuardDuty 管理员账户所需的权限

选择一种您偏好的访问方法,为组织指定委派 GuardDuty 管理员账户。只有管理账户才能执行此步骤。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    若要登录,请使用 AWS Organizations 组织的管理账户凭证。

  2. 通过使用页面右上角的 AWS 区域选择器,选择您要在其中为您的组织指定委派 GuardDuty 管理员账户的区域。

  3. 根据您的管理账户在当前区域中是否启用 GuardDuty,执行以下操作之一:

    • 如果未启用 GuardDuty,请选择 Amazon GuardDuty – 所有功能,然后选择开始。此操作将会打开欢迎使用 GuardDuty 页面。

    • 如果已启用 GuardDuty,请在导航窗格中选择设置

  4. 委派管理员下,输入要指定为组织的委派 GuardDuty 管理员账户的账户的 12 位 AWS 账户 ID。

    务必要为您新指定的委派 GuardDuty 管理员账户启用 GuardDuty,否则该账户将无法执行任何操作。

  5. 选择 Delegate(委派)

  6. (建议)重复上述步骤,在您启用了 GuardDuty 的每个 AWS 区域中指定该委派 GuardDuty 管理员账户。

API/CLI

  1. 使用组织管理账户的 AWS 账户 凭证运行 enableOrganizationAdminAccount

    • 或者,您可以使用 AWS Command Line Interface 来执行此操作。以下 AWS CLI 命令将仅为您当前的区域指定委派 GuardDuty 管理员账户。运行以下 AWS CLI 命令,并且务必要将 111111111111 替换为要指定为 GuardDuty 委派管理员账户的 AWS 账户 ID:

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111

      要为其他区域指定该委派 GuardDuty 管理员账户,请在 AWS CLI 命令中指定该区域。以下示例演示了如何在美国西部(俄勒冈州)区域启用委派 GuardDuty 管理员账户。务必要将 us-west-2 替换为要为其分配委派 GuardDuty 管理员账户的区域。

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2

      要了解提供 GuardDuty 的 AWS 区域,请参阅区域和端点

    如果您的委派 GuardDuty 管理员账户已禁用 GuardDuty,则该账户将无法执行任何操作。如果尚未启用,则务必要为新指定的委派 GuardDuty 管理员账户启用 GuardDuty。

  2. (建议)重复上述步骤,在您启用了 GuardDuty 的每个 AWS 区域中指定该委派 GuardDuty 管理员账户。