本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 GuardDuty启动的恶意软件扫描
为独立 GuardDuty账户配置启动的恶意软件扫描
对于与之关联的账户 AWS Organizations,您可以通过控制台设置自动执行此过程,如下一节所述。
启用或禁用 GuardDuty启动的恶意软件扫描
选择您的首选访问方法,为独立账户配置 GuardDuty由启动的恶意软件扫描。
- Console
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 -
在导航窗格的 “保护计划” 下,选择 EC2 恶意软件防护。
-
EC2 恶意软件防护窗格列出了针对您的账户 GuardDuty启动的恶意软件扫描的当前状态。您可以随时通过分别选择启用或禁用,来启用或禁用扫描。
-
选择保存。
- API/CLI
-
-
使用您自己的区域检测器 ID 运行 updateDetector API 操作,并在
EbsVolumes
设置为true
或false
的情况下传递dataSources
对象。您还可以运行以下 AWS CLI 命令,使用 AWS 命令行工具启用或禁用 GuardDuty启动的恶意软件扫描。务必使用您自己的有效
检测器 ID
。注意
以下示例代码启用 GuardDuty启动的恶意软件扫描。要将其禁用,请将
true
替换为false
。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED
"}]'
-
在多 GuardDuty账户环境中配置启动的恶意软件扫描
在多账户环境中,只有 GuardDuty 管理员帐户可以配置 GuardDuty启动的恶意软件扫描。 GuardDuty 管理员帐户可以启用或禁用对其成员帐户使用 GuardDuty启动的恶意软件扫描。管理员帐户为成员帐户配置 GuardDuty了启动的恶意软件扫描后,该成员帐户将遵循管理员帐户的设置,并且无法通过控制台修改这些设置。 GuardDuty 在 AWS Organizations 支持下管理其成员帐户的管理员帐户可以选择在组织中的所有现有和新帐户上自动启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 使用管理 GuardDuty 账户 AWS Organizations。
建立可信访问权限以启用 GuardDuty启动的恶意软件扫描
如果 GuardDuty 委派的管理员帐户与组织中的管理帐户不同,则该管理帐户必须为其组织启用 GuardDuty启动的恶意软件扫描。这样,委派的管理员账户就可以创建通过其管理的成员账户 AWS Organizations。EC2 恶意软件防护的服务相关角色权限
注意
在指定委派 GuardDuty 管理员帐户之前,请参阅注意事项和建议。
选择您的首选访问方法,以允许委派的 GuardDuty 管理员帐户对组织中的成员帐户启用 GuardDuty启动的恶意软件扫描。
- Console
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 要登录,请使用贵 AWS Organizations 组织的管理帐户。
-
-
如果您尚未指定委派 GuardDuty 管理员账户,那么:
在 “设置” 页面的委派 GuardDuty 管理员帐户下,输入您要指定用于管理组织中 GuardDuty 策略的 12 位数字
account ID
。选择 Delegate(委派)。 -
-
如果您已经指定了与 GuardDuty 管理账户不同的委托管理员账户,那么:
在设置页面的委托管理员下,打开权限设置。此操作将允许委派的 GuardDuty 管理员账户向成员账户附加相关权限,并在这些成员账户中启用 GuardDuty启动的恶意软件扫描。
-
如果您已经指定了与管理账户相同的委托 GuardDuty 管理员帐户,则可以直接为成员账户启用 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 为所有成员账户 GuardDuty启用自动启动的恶意软件扫描。
提示
如果委派 GuardDuty 管理员账户与您的管理账户不同,则必须向委派 GuardDuty 管理员账户提供权限,才能允许对成员账户启用 GuardDuty启动的恶意软件扫描。
-
-
-
如果您想允许委托 GuardDuty 管理员帐户对其他地区的成员帐户启用 GuardDuty启动的恶意软件扫描,请更改您的 AWS 区域帐户并重复上述步骤。
- API/CLI
-
-
使用您的管理账户凭证运行以下命令:
aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
-
(可选)要对不是委派管理员帐户的管理账户启用 GuardDuty启动的恶意软件扫描,管理账户将首先在其账户中EC2 恶意软件防护的服务相关角色权限明确创建恶意软件扫描,然后从委托管理员帐户启用 GuardDuty启动的恶意软件扫描,类似于任何其他成员帐户。
aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
-
您已在当前选定的中指定了委派 GuardDuty 管理员帐户 AWS 区域。如果您在一个地区将一个账户指定为委托 GuardDuty 管理员账户,则该账户必须是您在所有其他区域的委托 GuardDuty 管理员账户。对所有其他区域重复上述步骤。
-
选择您的首选访问方法,为委派的 GuardDuty 管理员帐户启用或禁用 GuardDuty启动的恶意软件扫描。
- Console
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 确保使用管理账户凭证。
-
在导航窗格中,选择 EC2 恶意软件防护。
-
在 EC2 恶意软件防护页面上,选择GuardDuty启动的恶意软件扫描旁边的编辑。
请执行以下操作之一:
使用对所有账户启用
-
选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 AWS 组织的新账户)启用保护计划。
选择保存。
使用手动配置账户
要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户。
在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。
选择保存。
-
- API/CLI
-
使用您自己的区域检测器 ID 运行 updateDetector API 操作,并传递
name
为EBS_MALWARE_PROTECTION
、status
为ENABLED
或DISABLED
的features
对象。您可以通过运行以下 AWS CLI 命令来启用或禁用 GuardDuty启动的恶意软件扫描。确保使用委派 GuardDuty 管理员账户的有效
检测器 ID
。注意
以下示例代码启用 GuardDuty启动的恶意软件扫描。要将其禁用,请将
ENABLED
替换为DISABLED
。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
/ --account-ids555555555555
/ --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED
"}]'
选择您的首选访问方式,为所有成员帐户启用 GuardDuty启动的恶意软件扫描功能。包括现有成员账户和加入组织的新账户。
- Console
-
登录 AWS Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 请务必使用委派 GuardDuty 管理员账户证书。
请执行以下操作之一:
使用 EC2 恶意软件防护页面
在导航窗格中,选择 EC2 恶意软件防护。
在 EC2 恶意软件防护页面上,在GuardDuty启动的恶意软件扫描部分中选择编辑。
选择为所有账户启用。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。
选择保存。
注意
更新成员账户的配置可能最长需要 24 小时。
使用账户页面
在导航窗格中,选择账户。
在账户页面上,选择自动启用首选项,然后选择通过邀请添加账户。
在 “管理自动启用首选项” 窗口中,为GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。
-
在 EC2 恶意软件防护页面上,在GuardDuty启动的恶意软件扫描部分中选择编辑。
-
选择为所有账户启用。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。
-
选择保存。
注意
更新成员账户的配置可能最长需要 24 小时。
使用账户页面
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项,然后选择通过邀请添加账户。
-
在 “管理自动启用首选项” 窗口中,为GuardDuty启动的恶意软件扫描下的所有帐户选择 “启用”。
-
选择保存。
如果您无法使用为所有账户启用选项,请参阅 有选择地启用或禁用对成员 GuardDuty帐户启动的恶意软件扫描。
- API/CLI
-
-
要有选择地为您的成员账户启用或禁用 GuardDuty启动的恶意软件扫描,请使用您自己的
检测器
ID 调用 updateMemberDetectorsAPI 操作。 -
以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要禁用成员账户,请将
ENABLED
替换为DISABLED
。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED
"}]'您还可以传递由空格分隔的账户 ID 列表。
-
成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
-
选择您的首选访问方法,对组织中所有现有活跃成员帐户启用 GuardDuty启动的恶意软件扫描。
为所有现有活跃成员账户配置 GuardDuty启动的恶意软件扫描
登录 AWS Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 使用委派的 GuardDuty 管理员账户凭据登录。
-
在导航窗格中,选择 EC2 恶意软件防护。
-
在 EC2 恶意软件防护中,您可以查看GuardDuty启动的恶意软件扫描配置的当前状态。在活跃成员账户部分下,选择操作。
-
从操作下拉菜单中,选择为所有现有活跃成员账户启用。
-
选择保存。
在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前,必须启用新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息,请参阅 Step 3 - Accept an invitation。
选择您的首选访问方式,对加入组织的新帐户启用 GuardDuty启动的恶意软件扫描。
- Console
-
委派的 GuardDuty 管理员账户可以使用 EC2 恶意软件防护或账户页面为组织中的新成员账户启用 GuardDuty启动的恶意软件扫描。
自动启用对新成员 GuardDuty帐户启动的恶意软件扫描
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 请务必使用委派 GuardDuty 管理员账户证书。
-
请执行以下操作之一:
-
使用 EC2 恶意软件防护页面:
-
在导航窗格中,选择 EC2 恶意软件防护。
-
在 EC2 恶意软件防护页面上,在GuardDuty启动的恶意软件扫描中选择编辑。
-
选择手动配置账户。
-
选择为新成员账户自动启用。此步骤可确保每当有新帐户加入您的组织时,系统都会自动为其帐户启用 GuardDuty启动的恶意软件扫描。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。
-
选择保存。
-
-
使用账户页面:
-
在导航窗格中,选择账户。
-
在账户页面上,选择自动启用首选项。
-
在 “管理自动启用首选项” 窗口中,在 “GuardDuty启动的恶意软件扫描” 下选择 “为新帐户启用”。
-
选择保存。
-
-
- API/CLI
-
-
要启用或禁用对新成员账户 GuardDuty启动的恶意软件扫描,请使用您自己的
检测器 ID
调用 UpdateOrganizationConfigurationAPI 操作。 -
以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请参阅 有选择地启用或禁用对成员 GuardDuty帐户启动的恶意软件扫描。如果您不想为所有加入组织的新账户启用该功能,请将
AutoEnable
设置为NONE
。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable":NEW
}]'您还可以传递由空格分隔的账户 ID 列表。
-
成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
-
选择您的首选访问方法,有选择地为成员帐户配置 GuardDuty由启动的恶意软件扫描。
- Console
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择账户。
-
在 “帐户” 页面上,查看GuardDuty启动的恶意软件扫描列,了解您的成员帐户的状态。
-
选择要为其配置 GuardDuty启动的恶意软件扫描的帐户。您可以一次选择多个账户。
-
从 “编辑保护计划” 菜单中,为GuardDuty启动的恶意软件扫描选择相应的选项。
- API/CLI
-
要有选择地为您的成员账户启用或禁用 GuardDuty启动的恶意软件扫描,请使用您自己的
检测器
ID 调用 updateMemberDetectorsAPI 操作。以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请将
ENABLED
替换为DISABLED
。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids111122223333
--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED
"}]'注意
您还可以传递由空格分隔的账户 ID 列表。
成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。要有选择地为您的成员账户启用或禁用 GuardDuty启动的恶意软件扫描,请使用您自己的
检测器
ID 运行 updateMemberDetectorsAPI 操作。以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用,请将true
替换为false
。要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-member-detectors --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-ids123456789012
--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true
}}}'注意
您还可以传递由空格分隔的账户 ID 列表。
成功执行代码后,会返回
UnprocessedAccounts
的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。
必须在成员 GuardDuty 账户中创建 EC2 服务相关角色 (SLR) 的恶意软件防护。管理员帐户无法在不由 AWS Organizations管理 GuardDuty的成员帐户中启用启动的恶意软件扫描功能。
目前,您可以通过 GuardDuty 控制台 https://console.aws.amazon.com/guardduty/
- Console
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 使用您的管理员帐户凭据登录。
-
在导航窗格中,选择账户。
-
选择要为其启用 GuardDuty启动的恶意软件扫描的成员帐户。您可以一次选择多个账户。
-
选择操作。
-
选择取消关联成员。
-
在您的成员账户中,在导航窗格的保护计划下选择恶意软件防护。
-
选择启用 GuardDuty启动的恶意软件扫描。 GuardDuty 将为成员账户创建 SLR。有关 SLR 的更多信息,请参阅 EC2 恶意软件防护的服务相关角色权限。
-
在您的管理员帐户中,选择导航窗格上的帐户。
-
选择需要重新添加到组织的成员账户。
-
选择操作,然后选择添加成员。
- API/CLI
-
-
使用管理员帐户对想要启用 GuardDuty启动的恶意软件扫描的成员帐户运行 DisassociateMembersAPI。
-
使用您的成员帐户调用UpdateDetector以启用 GuardDuty启动的恶意软件扫描。
要查找您的账户和当前区域的,请参阅 https://console.aws.amazon.com/guardduty/
控制台中的 “设置” 页面,或者运行 ListDetectorsAPI detectorId
aws guardduty update-detector --detector-id
12abc34d567e8fa901bc2d34e56789f0
--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}' -
使用管理员账户运行 CreateMembersAPI 将成员添加回组织。
-