View a markdown version of this page

在多帳戶環境中啟用 Lambda 保護 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在多帳戶環境中啟用 Lambda 保護

在多帳戶環境中,只有委派的 GuardDuty 管理員帳戶可以選擇為其組織中的成員帳戶啟用或停用 Lambda 保護。GuardDuty 成員帳戶無法從其帳戶修改此組態。委派的 GuardDuty 管理員帳戶會使用 管理成員帳戶 AWS Organizations。委派的 GuardDuty 管理員帳戶可以選擇在加入組織時自動啟用所有新帳戶的 Lambda 網路活動監控。如需有關多帳戶環境的詳細資訊,請參閱在 Amazon GuardDuty 中管理多個帳戶

選擇您偏好的存取方法,以啟用或停用委派 GuardDuty 管理員帳戶的 Lambda 網路活動監控。

Console

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中的設定下,選擇 Lambda 保護

  3. Lambda 保護頁面上,選擇編輯

  4. 執行以下任意一項:

    使用為所有帳戶啟用

    • 選擇為所有帳戶啟用。這將為 AWS 組織中所有作用中的 GuardDuty 帳戶啟用保護計畫,包括加入組織的新帳戶。

    • 選擇儲存

    使用手動設定帳戶

    • 若要僅針對委派的 GuardDuty 管理員帳戶啟用保護計畫,請選擇手動設定帳戶

    • 委派的 GuardDuty 管理員帳戶 (此帳戶) 區段下選擇啟用

    • 選擇儲存

API/CLI

使用您自己的區域偵測器 ID 執行 updateDetector API 操作,並以 name LAMBDA_NETWORK_LOGSstatus身分傳遞features物件ENABLED

或者,您可以使用 AWS CLI 來啟用 Lambda 保護。執行下列命令,並將 12abc34d567e8fa901bc2d34e56789f0 取代為您帳戶的偵測器 ID,並將 us-east-1 取代為您要啟用 Lambda 保護的區域。

若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

選擇您偏好的存取方式,為所有成員帳戶啟用 Lambda 網路活動監控功能。這包括現有的成員帳戶和加入組織的新帳戶。

Console

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/guardduty/:// 開啟 GuardDuty 主控台。

    請務必使用委派的 GuardDuty 管理員帳戶登入資料。

  2. 執行以下任意一項:

    使用 保護計畫 頁面

    1. 在導覽窗格中,選擇保護計劃

    2. 選擇設定所有啟用

    3. Lambda 保護下,為所有帳戶選擇啟用。此動作會自動為組織中的現有帳戶和新帳戶啟用 Lambda 網路活動監控。

    4. 選擇全部儲存,然後選擇確認並儲存

      注意

      最多可能需要 24 小時才會更新成員帳戶的組態。

    使用帳戶頁面

    1. 在導覽窗格中,選擇帳戶

    2. 帳戶頁面上,選擇自動啟用偏好設定,然後再透過邀請新增帳戶

    3. 管理自動啟用偏好設定視窗中,選擇 Lambda 網路活動監控下的為所有帳戶啟用

      注意

      依預設,此動作會自動開啟為新成員帳戶自動啟用 GuardDuty 選項。

    4. 選擇儲存

    如果您無法使用為所有帳戶啟用選項,請參閱 選擇性地為成員帳戶啟用或停用 Lambda 網路活動監控

API/CLI

若要為您的成員帳戶選擇性地啟用或停用 Lambda 網路活動監控,請使用您的偵測器 ID 調用 updateMemberDetectors API 操作。

或者,您可以使用 AWS CLI 來啟用 Lambda 保護。執行下列命令,並將 12abc34d567e8fa901bc2d34e56789f0 取代為您帳戶的偵測器 ID,並將 us-east-1 取代為您要啟用 Lambda 保護的區域。

若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方式,為組織中所有現有作用中成員帳戶啟用 Lambda 網路活動監控。

Console
為所有現有作用中成員帳戶設定 Lambda 網路活動監控

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/guardduty/:// 開啟 GuardDuty 主控台。

    使用委派的 GuardDuty 管理員帳戶登入資料登入。

  2. 在導覽窗格中,選擇保護計劃

  3. 選擇設定所有啟用。在 Lambda 保護下,您可以檢視組態的目前狀態。在作用中成員帳戶區段下,選擇動作

  4. 動作下拉式選單中,選擇為所有作用中的成員帳戶啟用

  5. 選擇確認

API/CLI

若要為您的成員帳戶選擇性地啟用或停用 Lambda 網路活動監控,請使用您的偵測器 ID 調用 updateMemberDetectors API 操作。

或者,您可以使用 AWS CLI 來啟用 Lambda 保護。執行下列命令,並將 12abc34d567e8fa901bc2d34e56789f0 取代為您帳戶的偵測器 ID,並將 us-east-1 取代為您要啟用 Lambda 保護的區域。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方式,為加入組織的新帳戶啟用 Lambda 網路活動監控。

Console

委派的 GuardDuty 管理員帳戶可以使用 Lambda 保護或帳戶頁面,為組織中的新成員帳戶啟用 Lambda 網路活動監控。

為新成員帳戶自動啟用 Lambda 網路活動監控

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

    請務必使用委派的 GuardDuty 管理員帳戶登入資料。

  2. 執行以下任意一項:

    • 使用 保護計畫 頁面:

      1. 在導覽窗格中,選擇保護計劃

      2. 選擇設定所有啟用

      3. 選擇手動設定帳戶

      4. 選取為新成員帳戶自動啟用。此步驟可確保每當有新帳戶加入您的組織時,即會為該帳戶自動啟用 Lambda 保護。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。

      5. 選擇儲存

    • 使用帳戶頁面:

      1. 在導覽窗格中,選擇帳戶

      2. 帳戶頁面上,選擇自動啟用偏好設定。

      3. 管理自動啟用偏好設定視窗中,選取 Lambda 網路活動監控下的為新帳戶啟用

      4. 選擇儲存

API/CLI

若要為新成員帳戶啟用 Lambda 網路活動監控,請使用您自己的偵測器 ID 叫用 UpdateOrganizationConfiguration API 操作。

或者,您可以使用 AWS CLI 來啟用 Lambda 保護。以下範例顯示如何為單一成員帳戶啟用 Lambda 網路活動監控。將 12abc34d567e8fa901bc2d34e56789f0 取代為您帳戶的偵測器 ID,並將 us-east-1 取代為您要啟用 Lambda 保護的區域。如果您不想為加入組織的所有新帳戶啟用此功能,請將 AutoEnable 設定為 NONE

若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。

選擇您偏好的存取方式,以便選擇性地為成員帳戶啟用或停用 Lambda 網路活動監控。

Console

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

    請務必使用委派的 GuardDuty 管理員帳戶登入資料。

  2. 在導覽窗格中,於設定下選擇帳戶

    帳戶頁面上,檢閱 Lambda 網路活動監控資料欄。這會指示是否已啟用 Lambda 網路活動監控。

  3. 選擇您要設定 Lambda 保護的帳戶。您可以一次選擇多個帳戶。

  4. 編輯保護計畫下拉式選單中,選擇 Lambda 網路活動監控,然後選擇適當的動作。

API/CLI

使用您的偵測器 ID 調用 updateMemberDetectors API。

或者,您可以使用 AWS CLI 來啟用 Lambda 保護。將 12abc34d567e8fa901bc2d34e56789f0 取代為您帳戶的偵測器 ID,並將 us-east-1 取代為您要啟用 Lambda 保護的區域。

若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時,會返回一個空白 UnprocessedAccounts 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。