本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在多账户环境中启用 EKS 防护
<a name="eks-protection-enable-multiple-accounts"></a>

在多账户环境中，只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 EKS Protection; 功能。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 AWS Organizations。这个委派的 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 EKS 保护。有关多账户环境的更多信息，请参阅在 A [mazon 中管理多个账户](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)。 GuardDuty

## 为委派的 GuardDuty 管理员账户配置 EKS 审核日志监控
<a name="configure-eks-audit-log-monitoring-delegatedadmin"></a>

选择您的首选访问方式，为委派的 GuardDuty 管理员账户配置 EKS 审核日志监控。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择“EKS 保护”。

1. 在**配置**选项卡下，您可以在相应部分中查看 EKS 审计日志监控的当前配置状态。要更新委派 GuardDuty 管理员帐户的配置，请在 “E **KS 审核日志监控**” 窗格中选择 “**编辑**”。

1. 请执行以下操作之一：

**使用**对所有账户启用****
   + 选择**为所有账户启用**。这将为组织中的所有活跃 GuardDuty 账户（包括加入 AWS 组织的新账户）启用保护计划。
   + 选择**保存**。

**使用**手动配置账户****
   + 要仅为委派 GuardDuty 管理员账户启用保护计划，请选择**手动配置帐户**。
   + 在 “**委派 GuardDuty 管理员帐户（此账户）**” 部分下选择 “**启用**”。
   + 选择**保存**。

------
#### [ API/CLI ]

使用您自己的区域检测器 ID 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，并传递 `name` 为 `EKS_AUDIT_LOGS`、`status` 为 `ENABLED` 或 `DISABLED` 的 `features` 对象。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

您可以通过运行以下 AWS CLI 命令来启用或禁用 EKS 审核日志监控。请务必使用有效的委托 GuardDuty 管理员账号*detector ID*。

**注意**  
以下示例代码可启用 EKS 审计日志监控。请务必*12abc34d567e8fa901bc2d34e56789f0*替换为委派 GuardDuty 管理员账号的，*555555555555*替换为 AWS 账户 委派 GuardDuty 管理员账号的。`detector-id`

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'
```

要禁用 EKS 审计日志监控，请将 `ENABLED` 替换为 `DISABLED`。

------

## 为所有成员账户自动启用 EKS 审计日志监控
<a name="k8s-autoenable"></a>

选择您的首选访问方式，为组织中的现有成员账户启用 EKS 审计日志监控。

------
#### [ Console ]

1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：

**使用 **EKS 保护**页面**

   1. 在导航窗格中，选择 **EKS 保护**。

   1. 在**配置**选项卡下，您可以查看组织中活跃成员账户的 EKS 审计日志监控的当前状态。

      要更新 EKS 审计日志监控的配置，请选择**编辑**。

   1. 选择**为所有账户启用**。此操作会自动为组织中的现有账户和新账户启用 EKS 审计日志监控。

   1. 选择**保存**。
**注意**  
更新成员账户的配置可能最长需要 24 小时。

**使用**账户**页面**

   1. 在导航窗格中，选择**账户**。

   1. 在**账户**页面上，选择**自动启用**首选项，然后选择**通过邀请添加账户**。

   1. 在**管理自动启用首选项**窗口中，在 **EKS 审计日志监控**下选择**为所有账户启用**。

   1. 选择**保存**。

   如果您无法使用**为所有账户启用**选项，并且想要为组织中的特定账户自定义 EKS 审计日志监控配置，请参阅 [有选择地为成员账户启用或禁用 EKS 审计日志监控](#k8s-enable-disable-selective-members-org)。

------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用或禁用 EKS 审核日志监控，请使用您自己的*detector ID*账户运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。
+ 以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用，请将 `ENABLED` 替换为 `DISABLED`。

  要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
  ```
**注意**  
您也可以传递用空格 IDs 分隔的账户列表。
+ 成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 为所有现有活跃成员账户启用 EKS 审计日志监控
<a name="enable-for-all-existing-members-eks-audit-log"></a>

选择您的首选访问方式，为组织中所有现有活跃成员账户启用 EKS 审计日志监控。

------
#### [ Console ]

1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使用委派的 GuardDuty 管理员账户凭据登录。

1. 在导航窗格中，选择 **EKS 保护**。

1. 在 **EKS Pro** tection 页面上，您可以查看**GuardDuty启动的恶意软件扫描**配置的当前状态。在**活跃成员账户**部分下，选择**操作**。

1. 从**操作**下拉菜单中，选择**为所有现有活跃成员账户启用**。

1. 选择**保存**。

------
#### [ API/CLI ]
+ 要有选择地为您的成员账户启用或禁用 EKS 审核日志监控，请使用您自己的*detector ID*账户运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。
+ 以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用，请将 `ENABLED` 替换为 `DISABLED`。

  要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
  ```
**注意**  
您也可以传递用空格 IDs 分隔的账户列表。
+ 成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 为新成员账户自动启用 EKS 审计日志监控
<a name="k8s-auto-enable-new-member-org"></a>

在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前，必须**启用**新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息，请参阅 [Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc)。

选择您的首选访问方式，为加入您组织的新账户启用 EKS 审计日志监控。

------
#### [ Console ]

**委派的 GuardDuty 管理员账户可以使用 EKS 审核日志监控或账户页面为组织中的新成员账户启用 **EKS 审核日志监控**。**

**为新成员账户自动启用 EKS 审计日志监控**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：
   + 使用 **EKS 保护**页面：

     1. 在导航窗格中，选择 **EKS 保护**。

     1. 在 **EKS 保护**页面上，在 **EKS 审计日志监控**中选择**编辑**。

     1. 选择**手动配置账户**。

     1. 选择**为新成员账户自动启用**。此步骤可确保每当有新账户加入您的组织时，系统都会自动为其账户启用 EKS 审计日志监控。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

     1. 选择**保存**。
   + 使用**账户**页面：

     1. 在导航窗格中，选择**账户**。

     1. 在**账户**页面上，选择**自动启用**首选项。

     1. 在**管理自动启用首选项**窗口中，在 **EKS 审计日志监控**下选择**为新账户启用**。

     1. 选择**保存**。

------
#### [ API/CLI ]
+ 要有选择地为您的新账户启用或禁用 EKS 审核日志监控，请使用您自己的*detector ID*账户运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API 操作。
+ 以下示例说明如何为加入组织的新成员启用 EKS 审计日志监控。您也可以传递用空格 IDs 分隔的账户列表。

  要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'
  ```

------

## 有选择地为成员账户启用或禁用 EKS 审计日志监控
<a name="k8s-enable-disable-selective-members-org"></a>

选择您的首选访问方式，为组织中所选的部分成员账户启用或禁用 EKS 审计日志监控。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 在导航窗格中，选择**账户**。

   在**账户**页面上，查看 **EKS 审计日志监控**列，了解您成员账户的状态。

1. 

**启用或禁用 EKS 审计日志监控**

   选择要为 EKS 审计日志监控配置的账户。您可以一次选择多个账户。在**编辑保护计划**下拉列表中，选择 **EKS 审计日志监控**，然后选择相应的选项。

------
#### [ API/CLI ]

要有选择地为您的成员账户启用或禁用 EKS 审核日志监控，请使用您自己的*detector ID*账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。

以下示例显示如何为单个成员账户启用 EKS 审计日志监控。要将其禁用，请将 `ENABLED` 替换为 `DISABLED`。您也可以传递用空格 IDs 分隔的账户列表。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'
```

------