本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在多帳戶環境中啟用 Lambda 保護
<a name="configure-lambda-protection-multi-acc-env"></a>

在多帳戶環境中，只有委派的 GuardDuty 管理員帳戶可以選擇為其組織中的成員帳戶啟用或停用 Lambda 保護。GuardDuty 成員帳戶無法從其帳戶修改此組態。委派的 GuardDuty 管理員帳戶會使用 管理成員帳戶 AWS Organizations。委派的 GuardDuty 管理員帳戶可以選擇在加入組織時自動啟用所有新帳戶的 Lambda 網路活動監控。如需有關多帳戶環境的詳細資訊，請參閱[在 Amazon GuardDuty 中管理多個帳戶](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)。

## 為委派的 GuardDuty 管理員帳戶啟用 Lambda 保護
<a name="configure-lambda-pro-delegatedadmin"></a>

選擇您偏好的存取方法，以啟用或停用委派 GuardDuty 管理員帳戶的 Lambda 網路活動監控。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在導覽窗格中的**設定**下，選擇 **Lambda 保護**。

1. 在 **Lambda 保護**頁面上，選擇**編輯**。

1. 執行以下任意一項：

**使用**為所有帳戶啟用****
   + 選擇**為所有帳戶啟用**。這將為 AWS 組織中所有作用中的 GuardDuty 帳戶啟用保護計畫，包括加入組織的新帳戶。
   + 選擇**儲存**。

**使用**手動設定帳戶****
   + 若要僅針對委派的 GuardDuty 管理員帳戶啟用保護計畫，請選擇**手動設定帳戶**。
   + 在**委派的 GuardDuty 管理員帳戶 （此帳戶）** 區段下選擇**啟用**。
   + 選擇**儲存**。

------
#### [ API/CLI ]

使用您自己的區域偵測器 ID 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，並以 `name` `LAMBDA_NETWORK_LOGS`和 `status`身分傳遞`features`物件`ENABLED`。

或者，您可以使用 AWS CLI 來啟用 Lambda 保護。執行下列命令，並將 {{12abc34d567e8fa901bc2d34e56789f0}} 取代為您帳戶的偵測器 ID，並將 {{us-east-1}} 取代為您要啟用 Lambda 保護的區域。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-detector --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'
```

------

## 為所有成員帳戶自動啟用 Lambda 網路活動監控
<a name="auto-enable-lambda-pro-existing-memberaccounts"></a>

選擇您偏好的存取方式，為所有成員帳戶啟用 Lambda 網路活動監控功能。這包括現有的成員帳戶和加入組織的新帳戶。

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)：// 開啟 GuardDuty 主控台。

   請務必使用委派的 GuardDuty 管理員帳戶登入資料。

1. 執行以下任意一項：

**使用 **保護計畫** 頁面**

   1. 在導覽窗格中，選擇**保護計劃**。

   1. 選擇**設定所有啟用**。

   1. 在 **Lambda 保護**下，**為所有帳戶選擇啟用**。此動作會自動為組織中的現有帳戶和新帳戶啟用 Lambda 網路活動監控。

   1. 選擇**全部儲存**，然後選擇**確認並儲存**。
**注意**  
最多可能需要 24 小時才會更新成員帳戶的組態。

**使用**帳戶**頁面**

   1. 在導覽窗格中，選擇**帳戶**。

   1. 在**帳戶**頁面上，選擇**自動啟用**偏好設定，然後再**透過邀請新增帳戶**。

   1. 在**管理自動啟用偏好設定**視窗中，選擇 **Lambda 網路活動監控**下的**為所有帳戶啟用**。
**注意**  
依預設，此動作會自動開啟**為新成員帳戶自動啟用 GuardDuty** 選項。

   1. 選擇**儲存**。

   如果您無法使用**為所有帳戶啟用**選項，請參閱 [選擇性地為成員帳戶啟用或停用 Lambda 網路活動監控](#enable-disable-lambda-pro-selectively)。

------
#### [ API/CLI ]

若要為您的成員帳戶選擇性地啟用或停用 Lambda 網路活動監控，請使用您的{{偵測器 ID}} 調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。

或者，您可以使用 AWS CLI 來啟用 Lambda 保護。執行下列命令，並將 {{12abc34d567e8fa901bc2d34e56789f0}} 取代為您帳戶的偵測器 ID，並將 {{us-east-1}} 取代為您要啟用 Lambda 保護的區域。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --region {{us-east-1}}--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "{{ENABLED}}"}]'
```

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 為所有現有作用中成員帳戶啟用 Lambda 網路活動監控
<a name="enable-for-all-existing-members-lam-pro"></a>

選擇您偏好的存取方式，為組織中所有現有作用中成員帳戶啟用 Lambda 網路活動監控。

------
#### [ Console ]

**為所有現有作用中成員帳戶設定 Lambda 網路活動監控**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)：// 開啟 GuardDuty 主控台。

   使用委派的 GuardDuty 管理員帳戶登入資料登入。

1. 在導覽窗格中，選擇**保護計劃**。

1. 選擇**設定所有啟用**。在 **Lambda 保護**下，您可以檢視組態的目前狀態。在**作用中成員帳戶**區段下，選擇**動作**。

1. 從**動作**下拉式選單中，選擇**為所有作用中的成員帳戶啟用**。

1. 選擇**確認**。

------
#### [ API/CLI ]

若要為您的成員帳戶選擇性地啟用或停用 Lambda 網路活動監控，請使用您的{{偵測器 ID}} 調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。

或者，您可以使用 AWS CLI 來啟用 Lambda 保護。執行下列命令，並將 {{12abc34d567e8fa901bc2d34e56789f0}} 取代為您帳戶的偵測器 ID，並將 {{us-east-1}} 取代為您要啟用 Lambda 保護的區域。

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --account-ids {{111122223333}} --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "{{ENABLED}}"}]'
```

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 為新成員帳戶自動啟用 Lambda 網路活動監控
<a name="auto-enable-lambda-pro-new-members"></a>

選擇您偏好的存取方式，為加入組織的新帳戶啟用 Lambda 網路活動監控。

------
#### [ Console ]

委派的 GuardDuty 管理員帳戶可以使用 Lambda **保護或帳戶頁面，為組織中的新成員帳戶啟用 Lambda** 網路活動監控。 ****

**為新成員帳戶自動啟用 Lambda 網路活動監控**

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   請務必使用委派的 GuardDuty 管理員帳戶登入資料。

1. 執行以下任意一項：
   + 使用 **保護計畫** 頁面：

     1. 在導覽窗格中，選擇**保護計劃**。

     1. 選擇**設定所有啟用**。

     1. 選擇**手動設定帳戶**。

     1. 選取**為新成員帳戶自動啟用**。此步驟可確保每當有新帳戶加入您的組織時，即會為該帳戶自動啟用 Lambda 保護。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。

     1. 選擇**儲存**。
   + 使用**帳戶**頁面：

     1. 在導覽窗格中，選擇**帳戶**。

     1. 在**帳戶**頁面上，選擇**自動啟用**偏好設定。

     1. 在**管理自動啟用偏好設定**視窗中，選取 **Lambda 網路活動監控**下的**為新帳戶啟用**。

     1. 選擇**儲存**。

------
#### [ API/CLI ]

若要為新成員帳戶啟用 Lambda 網路活動監控，請使用您自己的{{偵測器 ID}} 叫用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API 操作。

或者，您可以使用 AWS CLI 來啟用 Lambda 保護。以下範例顯示如何為單一成員帳戶啟用 Lambda 網路活動監控。將 {{12abc34d567e8fa901bc2d34e56789f0}} 取代為您帳戶的偵測器 ID，並將 {{us-east-1}} 取代為您要啟用 Lambda 保護的區域。如果您不想為加入組織的所有新帳戶啟用此功能，請將 `AutoEnable` 設定為 `NONE`。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-organization-configuration --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "{{NEW}}"}]'
```

當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 選擇性地為成員帳戶啟用或停用 Lambda 網路活動監控
<a name="enable-disable-lambda-pro-selectively"></a>

選擇您偏好的存取方式，以便選擇性地為成員帳戶啟用或停用 Lambda 網路活動監控。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   請務必使用委派的 GuardDuty 管理員帳戶登入資料。

1. 在導覽窗格中，於**設定**下選擇**帳戶**。

   在**帳戶**頁面上，檢閱 **Lambda 網路活動監控**資料欄。這會指示是否已啟用 Lambda 網路活動監控。

1. 選擇您要設定 Lambda 保護的帳戶。您可以一次選擇多個帳戶。

1.  從**編輯保護計畫**下拉式選單中，選擇 **Lambda 網路活動監控**，然後選擇適當的動作。

------
#### [ API/CLI ]

使用您的{{偵測器 ID}} 調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API。

或者，您可以使用 AWS CLI 來啟用 Lambda 保護。將 {{12abc34d567e8fa901bc2d34e56789f0}} 取代為您帳戶的偵測器 ID，並將 {{us-east-1}} 取代為您要啟用 Lambda 保護的區域。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --account-ids {{111122223333}} --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "{{ENABLED}}"}]'
```

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------