本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 设置组织自动启用首选项 中的自动启用组织功能 GuardDuty 可帮助您一步为组织中的`ALL`现有帐户或`NEW`成员帐户设置相同的 GuardDuty 保护计划状态。同样,您也可以通过选择 `NONE` 来指定何时不想对成员账户执行任何操作。以下步骤解释了这些设置,此外还说明了何时需要使用特定的设置。 **注意** 您可以为除 [S3 恶意软件防护](gdu-malware-protection-s3.md) 外的所有防护计划设置自动启用首选项。 选择一种您偏好的访问方法,更新组织的自动启用首选项。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 要登录,请使用 GuardDuty 管理员帐户凭据。 1. 在导航窗格中,选择**账户**。 “**帐户**” 页面为 GuardDuty 管理员帐户提供要**自动启用的**配置选项, GuardDuty 以及代表属于该组织的成员帐户的可选保护计划。 1. 要更新现有的自动启用设置,请选择**编辑**。 ![\[选择编辑,代表组织中的成员账户更新自动启用的首选项。\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/accounts-auto-enable-1-console.png) 此支持可用于配置 GuardDuty 以及您的所有受支持的可选保护计划 AWS 区域。您可以代表您的成员账户选择以下配置选项之一: GuardDuty + **为所有账户启用 (`ALL`)**:选择此选项将为组织中的所有账户启用相应的选项。这包括加入组织的新账户,以及可能已被暂停或从组织中删除的账户。这还包括委派 GuardDuty 管理员帐户。 **注意** 更新所有成员账户的配置可能最长需要 24 小时。 + **为新帐户自动启用 (`NEW`)**-选择仅在新成员帐户加入您的组织时自动启用 GuardDuty 或可选的保护计划。 + **不启用 (`NONE`)**:选择此选项将阻止为组织中的新账户启用相应的选项。在这种情况下, GuardDuty 管理员帐户将单独管理每个帐户。 当您将自动启用设置从 `ALL` 或 `NEW` 更新为 `NONE` 时,此操作不会禁用现有账户的相应选项。此配置将应用到加入组织的新账户。更新自动启用设置后,任何新账户都不会启用相应的选项。 **注意** 当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (`NEW`) 或所有成员账户 (`ALL`),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在[GuardDuty 控制台](https://console.aws.amazon.com/guardduty/)导航窗格中打开**账户**或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API。 1. 选择**保存更改**。 1. (可选)如果要在每个区域使用相同的首选项,请分别更新每个受支持区域的首选项。 某些可选的保护计划可能并非在所有可用 AWS 区域 的地方都可 GuardDuty 用。有关更多信息,请参阅 [区域和端点](guardduty_regions.md)。 ------ #### [ API/CLI ] 1. 使用[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)委派 GuardDuty 管理员账户的凭据运行,在该区域为您的组织自动配置保护计划 GuardDuty 和可选保护计划。有关各种自动启用配置的信息,请参阅[autoEnableOrganization成员](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。 要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` 要为您所在区域中任何受支持的可选保护计划设置自动启用首选项,请按照每个保护计划的相应文档部分中提供的步骤进行操作。 1. 您可以验证当前区域中组织的首选项。运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)。请务必指定委派 GuardDuty 管理员账户的检测器 ID。 **注意** 更新所有成员账户的配置可能最长需要 24 小时。 1. 或者,运行以下 AWS CLI 命令将首选项设置为 GuardDuty 在该区域自动启用或禁用加入组织的新帐户 (`NEW`)、组织中的所有帐户 (`ALL`) 或不包含任何帐户 (`NONE`)。有关更多信息,请参阅[autoEnableOrganization成员](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)。根据您的首选项,可能需要将 `NEW` 替换为 `ALL` 或 `NONE`。如果您使用配置保护计划`ALL`,则还会为委派的 GuardDuty 管理员帐户启用保护计划。请务必指定管理组织配置的委派 GuardDuty 管理员帐户的检测器 ID。 要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId` ``` aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW ``` 1. 您可以验证当前区域中组织的首选项。使用委派 GuardDuty 管理员帐户的检测器 ID 运行以下 AWS CLI 命令。 ``` aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 ``` (推荐)使用委派 GuardDuty 管理员账户检测器 ID 在每个区域重复前面的步骤。 **注意** 当委托 GuardDuty 管理员账户选择退出选择加入区域时,即使您的组织将 GuardDuty 自动启用配置设置为仅限新成员账户 (`NEW`) 或所有成员账户 (`ALL`),也 GuardDuty无法为组织中当前已禁用的任何成员账户启用自动启用配置。 GuardDuty 有关您的成员账户配置的信息,请在[GuardDuty 控制台](https://console.aws.amazon.com/guardduty/)导航窗格中打开**账户**或使用 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API。 ------