设置组织自动启用首选项 - Amazon GuardDuty

设置组织自动启用首选项

借助 GuardDuty 中的自动启用组织功能,您只需一个步骤即可为组织中 ALL 现有账户或 NEW 成员账户设置相同的 GuardDuty 和防护计划状态。同样,您也可以通过选择 NONE 来指定何时不想对成员账户执行任何操作。以下步骤解释了这些设置,此外还说明了何时需要使用特定的设置。

注意

您可以为除 S3 恶意软件防护 外的所有防护计划设置自动启用首选项。

选择一种您偏好的访问方法,更新组织的自动启用首选项。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    若要登录,请使用 GuardDuty 管理员账户的凭证。

  2. 在导航窗格中,选择账户

    账户页面为 GuardDuty 管理员账户提供了代表属于组织的成员账户自动启用 GuardDuty 和可选防护计划的配置选项。

  3. 要更新现有的自动启用设置,请选择编辑

    选择编辑,代表组织中的成员账户更新自动启用的首选项。

    此支持用于在 AWS 区域中配置 GuardDuty 和所有受支持的可选防护计划。您可以代表您的成员账户为 GuardDuty 选择以下配置选项之一:

    • 为所有账户启用 (ALL):选择此选项将为组织中的所有账户启用相应的选项。这包括加入组织的新账户,以及可能已被暂停或从组织中删除的账户。这还包括该委派 GuardDuty 管理员账户。

      注意

      更新所有成员账户的配置可能最长需要 24 小时。

    • 为新账户自动启用 (NEW):选择此选项以仅在新成员账户加入您的组织时自动为其启用 GuardDuty 或可选的防护计划。

    • 不启用 (NONE):选择此选项将阻止为组织中的新账户启用相应的选项。在这种情况下,GuardDuty 管理员账户将单独管理每个账户。

      当您将自动启用设置从 ALLNEW 更新为 NONE 时,此操作不会禁用现有账户的相应选项。此配置将应用到加入组织的新账户。更新自动启用设置后,任何新账户都不会启用相应的选项。

    注意

    委派 GuardDuty 管理员账户在选择加入的区域选择退出时,即使您的组织将“GuardDuty 自动启用配置”设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也无法为该组织中当前禁用 GuardDuty 的任何成员账户启用 GuardDuty。有关成员账户配置的信息,请在 GuardDuty 控制台导航窗格中打开账户或使用 ListMembers API。

  4. 选择保存更改

  5. (可选)如果要在每个区域使用相同的首选项,请分别更新每个受支持区域的首选项。

    某些可选保护计划可能并不适用于提供 GuardDuty 的所有 AWS 区域。有关更多信息,请参阅 区域和端点

API/CLI

  1. 使用该委派 GuardDuty 管理员账户的凭证运行 UpdateOrganizationConfiguration,从而在该区域为您的组织自动配置 GuardDuty 和可选防护计划。有关各种自动启用配置的信息,请参阅 autoEnableOrganizationMembers

    要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    要为您所在区域中任何受支持的可选保护计划设置自动启用首选项,请按照每个保护计划的相应文档部分中提供的步骤进行操作。

  2. 您可以验证当前区域中组织的首选项。运行 describeOrganizationConfiguration。务必要指定委派 GuardDuty 管理员账户的检测器 ID。

    注意

    更新所有成员账户的配置可能最长需要 24 小时。

  3. 或者,运行以下 AWS CLI 命令设置首选项,以便在该区域中为加入组织的新账户(NEW)、所有账户(ALL)或非组织中的账户(NONE)自动启用或禁用 GuardDuty。有关更多信息,请参阅 autoEnableOrganizationMembers。根据您的首选项,可能需要将 NEW 替换为 ALLNONE。如果您使用 ALL 参数配置防护计划,则也会为该委派 GuardDuty 管理员账户启用该防护计划。务必要指定负责管理组织配置的委派 GuardDuty 管理员账户的检测器 ID。

    要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员账户的检测器 ID 运行以下 AWS CLI 命令。

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(建议)使用委派 GuardDuty 管理员账户的检测器 ID 在每个区域重复上述步骤。

注意

委派 GuardDuty 管理员账户在选择加入的区域选择退出时,即使您的组织将“GuardDuty 自动启用配置”设置为仅限新成员账户 (NEW) 或所有成员账户 (ALL),也无法为该组织中当前禁用 GuardDuty 的任何成员账户启用 GuardDuty。有关成员账户配置的信息,请在 GuardDuty 控制台导航窗格中打开账户或使用 ListMembers API。