本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在多账户环境中启用 RDS 防护
<a name="configure-rds-pro-multi-account"></a>

在多账户环境中，只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 RDS Protection 功能。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 AWS Organizations。此委派的 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 RDS 登录活动监控。有关多账户环境的更多信息，请参阅 [里面有多个账户 GuardDuty](guardduty_accounts.md)。

## 为委派的 GuardDuty 管理员账户启用 RDS 保护
<a name="configure-rds-pro-delegatedadmin"></a>

选择您的首选访问方式，为委派的 GuardDuty 管理员账户配置 RDS 登录活动监控。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择 “**保护计划**”。

1. 选择 “**配置所有启用”。**

1. 请执行以下操作之一：

**使用 **为所有账户启用****
   + 选择**为所有账户启用**。这将为组织中的所有活跃 GuardDuty 账户（包括加入 AWS 组织的新账户）启用保护计划。
   + 选择**保存**。

**使用 **手动配置账户****
   + 要仅为委派 GuardDuty 管理员账户启用保护计划，请选择**手动配置帐户**。
   + 在 “**委派 GuardDuty 管理员帐户（此账户）**” 部分下选择 “**启用**”。
   + 选择**保存**。

------
#### [ API/CLI ]

使用您自己的区域检测器 ID 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，传递 `features` 对象，并将 `name` 设置为 `RDS_LOGIN_EVENTS`，将 `status` 设置为 `ENABLED`。

或者，您可以使用 AWS CLI 启用 RDS 保护。运行以下命令，{{12abc34d567e8fa901bc2d34e56789f0}}替换为账户的检测器 ID 和{{us-east-1}}要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-detector --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
```

------

## Auto-enable 适用于所有成员账户的 RDS 保护
<a name="auto-enable-rds-pro-existing-memberaccounts"></a>

选择您的首选访问方式，为所有成员账户启用 RDS 保护功能，包括现有成员账户和加入组织的新账户。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：

**使用 **保护计划** page**

   1. 在导航窗格中，选择 “**保护计划**”。

   1. 选择 “**配置所有启用”。**

   1. 在 **RDS 保护**下，**为所有账户选择启用**。此操作会自动为组织中的现有账户和新账户启用 RDS 保护。

   1. 选择 “**全部保存**”，然后选择 “**确认并保存”**。
**注意**  
更新成员账户的配置可能最长需要 24 小时。

**使用 **账户** page**

   1. 在导航窗格中，选择**账户**。

   1. 在 “**帐户**” 页面上，在 “**通过邀请添加帐户 **Auto-enable****” 之前选择首选项。

   1. 在**管理自动启用首选项**窗口中，选择 **RDS 登录活动监控**下的**为所有账户启用**。

   1. 选择**保存**。

   如果您无法使用**为所有账户启用**选项，请参阅 [有选择地为成员账户启用 RDS 防护](#enable-disable-rds-pro-selectively)。

------
#### [ API/CLI ]

要有选择地为您的成员账户启用或禁用 RDS 保护，请使用您自己的{{detector ID}}账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。

或者，您可以使用 AWS CLI 启用 RDS 保护。运行以下命令，{{12abc34d567e8fa901bc2d34e56789f0}}替换为账户的检测器 ID 和{{us-east-1}}要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --account-ids {{111122223333}} --features '[{"name": "RDS_LOGIN_EVENTS", "status": "{{ENABLED}}"}]'
```

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 为所有现有活跃成员账户启用 RDS 保护
<a name="enable-for-all-existing-members-rds-pro"></a>

选择您的首选访问方法，为组织中所有现有的活跃成员账户启用 RDS 保护。已 GuardDuty 启用的成员账户被称为现有活跃成员。

------
#### [ Console ]

1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使用委派的 GuardDuty 管理员账户凭据登录。

1. 在导航窗格中，选择 “**保护计划**”。

1. 选择 “**配置所有启用”。**在 **RDS 保护**下，您可以查看配置的当前状态。在**活跃成员账户**部分下，选择**操作**。

1. 从**操作**下拉菜单中，选择**为所有现有活跃成员账户启用**。

1. 选择**确认**。

------
#### [ API/CLI ]

使用您自己的 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作运行{{detector ID}}。

或者，您可以使用 AWS CLI 启用 RDS 保护。运行以下命令，{{12abc34d567e8fa901bc2d34e56789f0}}替换为账户的检测器 ID 和{{us-east-1}}要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --account-ids {{111122223333}} --features '[{"name": "RDS_LOGIN_EVENTS", "status": "{{ENABLED}}"}]'
```

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## Auto-enable 新成员账户的 RDS 保护
<a name="auto-enable-rds-pro-new-members"></a>

选择您的首选访问方法，为加入组织的新账户启用 RDS 登录活动。

------
#### [ Console ]

委派的 GuardDuty 管理员账户可以使用 RDS Prot **ection** 或 “帐户” 页面，通过控制台为组织中的新成员**账户**启用。

**为新成员账户自动启用 RDS 保护**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：
   + 使用 “**保护计划**” 页面：

     1. 在导航窗格中，选择 “**保护计划**”。

     1. 选择 “**配置所有启用”。**

     1. 选择**手动配置账户**。

     1. 选择**为新成员账户自动启用**。此步骤可确保每当有新账户加入您的组织时，系统都会自动为其账户启用 RDS 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

     1. 选择**保存**。
   + 使用**账户**页面：

     1. 在导航窗格中，选择**账户**。

     1. 在 “**帐户**” 页面上，选择**Auto-enable**首选项。

     1. 在**管理自动启用首选项**窗口中，选择 **RDS 登录活动监控**下的**为新账户启用**。

     1. 选择**保存**。

------
#### [ API/CLI ]

要有选择地为您的成员账户启用或禁用 RDS 保护，请使用您自己的{{detector ID}}账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API 操作。

或者，您可以使用 AWS CLI 启用 RDS 保护。运行以下命令，{{12abc34d567e8fa901bc2d34e56789f0}}替换为账户的检测器 ID 和{{us-east-1}}要启用 RDS 保护的区域。如果您不想为所有加入组织的新账户启用该功能，请将 `autoEnable` 设置为 `NONE`。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-organization-configuration --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
```

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 有选择地为成员账户启用 RDS 防护
<a name="enable-disable-rds-pro-selectively"></a>

选择您偏好的访问方法，有选择地为成员账户启用 RDS 登录活动监控。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 在导航窗格中，选择**账户**。

   在**账户**页面上，查看 **RDS 登录活动**列，了解您的成员账户的状态。

1. 

**有选择地启用或禁用 RDS 登录活动**

   选择您要为其配置 RDS 保护的账户。您可以一次选择多个账户。在**编辑保护计划**下拉菜单中，选择 **RDS 登录活动**，然后选择相应的选项。

------
#### [ API/CLI ]

要有选择地为您的成员账户启用或禁用 RDS 保护，请使用您自己的{{detector ID}}账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。

或者，您可以使用 AWS CLI 启用 RDS 保护。运行以下命令，{{12abc34d567e8fa901bc2d34e56789f0}}替换为账户的检测器 ID 和{{us-east-1}}要启用 RDS 保护的区域。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --account-ids {{111122223333}} --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "{{ENABLED}}"}]'
```

**注意**  
您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------