为成员账户暂停 GuardDuty - Amazon GuardDuty

为成员账户暂停 GuardDuty

作为委派 GuardDuty 管理员账户,您可以为组织中的成员账户暂停 GuardDuty 服务。如果暂停,成员账户仍会保留在您的 GuardDuty 组织中。您也可以在以后为这些成员账户重新启用 GuardDuty。但是,如果您最终想将该成员账户取消关联(移除),则在按照本节中的步骤操作,必须按照将成员账户与管理员账户取消关联(移除)中的步骤操作。

在成员账户中暂停 GuardDuty 后,预计会发生以下变化:

  • GuardDuty 将不再监控 AWS 环境的安全性,也不会生成新的调查发现。

  • 该成员账户中的现有调查发现将保持不变。

  • 已被暂停 GuardDuty 的成员账户不会产生任何 GuardDuty 费用。

    如果成员账户已为其账户中的一个或多个存储桶启用了 S3 恶意软件防护,则暂停 GuardDuty 不会影响 S3 恶意软件防护配置。该成员账户将继续产生 S3 恶意软件防护的使用成本。要使成员账户停止使用 S3 恶意软件防护,必须为受保护的存储桶禁用此功能。有关更多信息,请参阅 为受保护的存储桶禁用 S3 恶意软件防护

选择一种您偏好的方法,为组织中的成员账户暂停 GuardDuty。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    要登录,请使用委派 GuardDuty 管理员账户的凭证。

  2. 在导航窗格中,选择账户

  3. 在“账户”页面中,选择要为其暂停 GuardDuty 的一个或多个账户。

  4. 选择操作下拉菜单,然后选择暂停 GuardDuty

  5. 选择暂停 GuardDuty 以确认选择。

    这会使该成员账户的状态变为已禁用(已暂停)

    在要将该成员账户取消关联或移除的每个其他区域中重复上述步骤。

API

  1. 要检索您想暂停 GuardDuty 的成员账户的账户 ID,请使用 ListMembers API。在您的请求中包含 OnlyAssociated 参数。如果将此参数的值设置为 true,GuardDuty 将返回一个 members 数组,其中仅提供当前属于 GuardDuty 账户的账户详细信息。

    您也可以使用 AWS Command Line Interface(AWS CLI)来运行以下命令:

    aws guardduty list-members --only-associated true --region us-east-1

    us-east-1 替换为您要为该账户暂停 GuardDuty 的区域。

  2. 要暂停一个或多个 GuardDuty 成员账户,请运行 StopMonitoringMembers 以为成员账户暂停 GuardDuty。

    您也可以使用 AWS CLI 来运行以下命令:

    aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1

    us-east-1 替换为您要暂停该账户的区域。如果您有要移除的账户 ID 列表,请用空格字符进行分隔。

如果您还想将该成员账户取消关联(移除),请按照将成员账户与管理员账户取消关联(移除)中的步骤操作。