本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自动将新组织账户启用为成员账户
Detective 管理员账户可以配置 Detective 在组织行为图中自动启用新组织账户作为成员账户。
新账户添加到组织后,它们会被添加到账户管理页面的列表中。对于组织账户,类型为按组织。
默认情况下,新组织账户不会作为成员账户启用。他们的身份是非成员。
如果选择自动启用组织账户,则当新账户添加到组织时,Detective 就会开始将其作为成员账户启用。Detective 不会启用尚未启用的现有组织账户。
Detective 能否将组织账户作为成员账户启用,取决于以下因素:
-
行为图的最大成员账户数为 1200 个。如果行为图中已包含 1200 个成员账户,则无法启用新账户。
-
Detective 无法启用至少 48 小时未 GuardDuty 启用亚马逊的账户。
-
如果账户会导致行为图数据量超过允许的最大值,则 Detective 无法启用该账户。
自动启用新组织账户(控制台)
在账户管理页面上,自动启用新组织账户设置决定是否在账户被添加到组织时自动启用这些账户。
要将新组织账户自动启用为成员账户
-
通过 https://console.aws.amazon.com/detective/
打开 Amazon Detective 控制台。 -
在 Detective 导航窗格中,选择账户管理。
-
将自动启用新组织账户切换到开启位置。
自动启用新的组织帐户(Detective API, AWS CLI)
要确定是否将新组织账户自动启用为成员账户,管理员账户可以使用 Detective API 或 AWS Command Line Interface。
要查看和管理配置,必须提供行为图 ARN。要获取 ARN,请使用 ListGraphs 操作。
要查看自动启用组织账户的当前配置
-
Detective API:使用
DescribeOrganizationConfiguration操作。在回复中,如果自动启用了新组织账户,则
AutoEnable为true。 -
AWS CLI:在命令行处,运行
describe-organization-configuration命令。aws detective describe-organization-configuration --graph-arn<behavior graph ARN>示例
aws detective describe-organization-configuration --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
要自动启用新组织账户
-
Detective API:使用
UpdateOrganizationConfiguration操作。要自动启用新组织账户,请将AutoEnable设置为true。 -
AWS CLI:在命令行处,运行
update-organization-configuration命令。aws detective update-organization-configuration --graph-arn<behavior graph ARN>--auto-enable | --no-auto-enable示例
aws detective update-organization-configuration --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --auto-enable
