本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
邀请成员账号访问行为图
管理员账户可以邀请账户加入行为图。一张行为图最多可以包含 1200 个成员账户。
简而言之,邀请账户加入行为图的流程如下。
-
对于要添加的每个成员帐户,管理员帐户都提供 AWS 账户标识符和根用户电子邮件地址。
-
Detective 验证此电子邮件地址是否为账户的根用户电子邮件地址。
Detective 不在 AWS GovCloud (美国东部)或 AWS GovCloud (美国西部)地区执行此验证。
-
如果账户信息有效,Detective 就会向成员账户发送邀请。
Detective 从不向 AWS GovCloud (美国东部)或 AWS GovCloud (美国西部)地区的成员账户发送电子邮件邀请。
对于其他区域,Detective API 包含一个不向成员账户发送邀请的选项。
该选项适用于集中托管的账户。
-
成员账户接受或拒绝邀请。
即使管理员账户不发送邀请电子邮件,成员账户也必须回复邀请。
-
如果成员账户接受邀请,Detective 将检查该成员账户是否已成为亚马逊 GuardDuty 客户至少 48 小时。
如果有,则 Detective 会检查成员账户数据是否会导致行为图的数据率超过配额。
该检查可能需要 24 到 48 小时。
在 Detective 验证数据传输速率时,成员账户状态为未启用。
-
如果成员账户通过这两项检查,则成员账户状态就会自动更新为已启用。Detective 开始将成员账户中的数据采集到行为图中。
如果未能通过其中任何一项检查,则成员账户状态仍为未启用。成员账户不向行为图提供数据。
-
一旦成员账户符合启用条件,Detective 就会自动将成员账户状态更改为已启用。
例如,如果成员帐户启用且 Detective GuardDuty 验证其数据量不太大,或者管理员帐户删除了其他成员帐户以便为帐户腾出空间,则成员帐户的状态将更改为 “启用”。
如果多个账户处于未启用状态,则 Detective 会按照邀请顺序启用这些账户。检查是否启用任何未启用账户的程序每小时运行一次。
管理员账户还可以手动启用账户,而不必等待自动流程。例如,管理员账户可能想要选择要启用的账户。请参阅 启用未启用的成员账户。
请注意,Detective 于 2021 年 5 月 12 日开始自动启用未启用的账户。在此之前未启用的账户不会自动启用。管理员账户必须手动启用它们。
邀请个人账户访问行为图(控制台)
可以手动指定要邀请为行为图提供数据的成员账户。
要手动选择要邀请的成员账户(控制台)
-
通过 https://console.aws.amazon.com/detective/
打开 Amazon Detective 控制台。 -
在 Detective 导航窗格中,选择账户管理。
-
选择操作。然后选择邀请账户。
-
在添加账户下,选择添加个人账户。
-
要将成员账户添加到邀请列表,请执行以下步骤。
-
选择添加账户。
-
在AWS 账户 ID 中,输入 AWS 账户 ID。
-
对于电子邮件地址,输入根用户账户的电子邮件地址。
-
-
要从列表中删除某个账户,请为该账户选择删除。
-
在个性化邀请电子邮件下,添加要包含在邀请电子邮件中的自定义内容。
例如,可以使用该区域提供联系信息。或者使用它来提醒成员账户,他们需要将所需的 IAM 策略附加到其用户或角色,然后才能接受邀请。
-
成员账户 IAM 策略包含成员账户所需 IAM 策略的文本。电子邮件邀请中包含此策略文本。要复制策略文本,请选择复制。
-
选择邀请。
邀请成员账号列表加入行为图表(控制台)
可以从 Detective 控制台提供一份 .csv 文件,其中包含要邀请加入行为图的成员账户列表。
文件的第一行是标题行。然后将每个账户单独列一行。每个成员账户条目都包含 AWS 账户 ID 和账户的 root 用户电子邮件地址。
例如:
Account ID,Email address 111122223333,srodriguez@example.com 444455556666,rroe@example.com
Detective 在处理文件时,会忽略已邀请的账户,除非账户状态为验证失败。该状态表明,为该账户提供的电子邮件地址与该账户根用户电子邮件地址不匹配。在这种情况下,Detective 会删除原始邀请,然后再次尝试验证电子邮件地址并发送邀请。
该选项还提供了可用于创建账户列表的模板。
从 .csv 列表(控制台)邀请成员账户
-
通过 https://console.aws.amazon.com/detective/
打开 Amazon Detective 控制台。 -
在 Detective 导航窗格中,选择账户管理。
-
选择操作。然后选择邀请账户。
-
在添加账户下,选择从 .csv 添加。
-
要下载要使用的模板文件,请选择下载 .csv 模板。
-
要选择包含账户列表的文件,请选择选择 .csv 文件。
-
在查看成员账户下,验证 Detective 在文件中检测到的成员账户列表。
-
在个性化邀请电子邮件下,添加要包含在邀请电子邮件中的自定义内容。
例如,可以提供联系信息,或提醒成员账户注意所需的 IAM 策略。
-
成员账户 IAM 策略包含成员账户所需 IAM 策略的文本。电子邮件邀请中包含此策略文本。要复制策略文本,请选择复制。
-
选择邀请。
邀请会员账号访问行为图表(Detective API, AWS CLI)
你可以使用 Detective API 或 AWS Command Line Interface 邀请成员账号将其数据贡献到行为图中。要获取要在请求中使用的行为图的 ARN,请使用 ListGraphs 操作。
邀请成员账号访问行为图(Detective API, AWS CLI)
-
Detective API:使用
CreateMembers操作。您必须提供图 ARN。为每个账户指定账户标识符和根用户电子邮件地址。如果不想向成员账户发送邀请电子邮件,请将
DisableEmailNotification设置为 true。默认DisableEmailNotification为 false。如果要发送邀请电子邮件,则可以选择提供自定义文本添加到邀请电子邮件中。
-
AWS CLI:在命令行处,运行
create-members命令。aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address>--graph-arn<behavior graph ARN>--message "<Custom message text>"示例
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."要表示不向成员账户发送邀请电子邮件,请包含
--disable-email-notification。aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address>--graph-arn<behavior graph ARN>--disable-email-notification示例
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
跨区域添加成员账户列表(开启 Python 脚本 GitHub)
Detective 在中 GitHub 提供了一个开源脚本,允许你执行以下操作:
-
在指定的区域列表中,将指定的成员账户列表添加到管理员账户的行为图中。
-
如果管理员账户在某个区域中没有行为图,则该脚本也会启用 Detective 并在该区域中创建行为图。
-
向成员账号发送邀请电子邮件。
-
自动接受成员账户的邀请。
有关如何配置和使用 GitHub 脚本的信息,请参阅使用 Amazon Detective Python 脚本管理账户。
