本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在多帳戶環境中啟用 GuardDuty 起始的惡意軟體掃描
在多帳戶環境中,只有 GuardDuty 管理員帳戶可以代表其成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。此外,透過 AWS Organizations 支援管理成員帳戶的管理員帳戶可以選擇在組織中的所有現有和新帳戶上自動啟用 GuardDuty 起始的惡意軟體掃描。如需詳細資訊,請參閱[使用 管理 GuardDuty 帳戶 AWS Organizations](guardduty_organizations.md)。
## 建立受信任的存取權以啟用 GuardDuty 起始的惡意軟體掃描
如果 GuardDuty 委派管理員帳戶與您組織中的管理帳戶不同,則管理帳戶必須為其組織啟用 GuardDuty 起始的惡意軟體掃描。如此一來,委派的管理員帳戶就可以[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)在透過 管理的成員帳戶中建立 AWS Organizations。
**注意**
指定委派的 GuardDuty 管理員帳戶之前,請參閱 [考量事項和建議](guardduty_organizations.md#delegated_admin_important)。
選擇您偏好的存取方法,以允許委派的 GuardDuty 管理員帳戶為組織中的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。
------
#### [ Console ]
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
若要登入,請使用 AWS Organizations 組織的管理帳戶。
1.
1. 如果您尚未指定委派的 GuardDuty 管理員帳戶,則:
在**設定**頁面**的委派 GuardDuty 管理員帳戶**下,輸入**account ID**您要指定來管理組織中 GuardDuty 政策的 12 位數。選擇**委派**。
1.
1. 如果您已指定與管理帳戶不同的委派 GuardDuty 管理員帳戶,則:
在**設定**頁面的**委派管理員**下,開啟**許可**設定。此動作將允許委派的 GuardDuty 管理員帳戶將相關許可連接到成員帳戶,並在這些成員帳戶中啟用 GuardDuty 起始的惡意軟體掃描。
1. 如果您已指定與管理帳戶相同的委派 GuardDuty 管理員帳戶,則可以直接為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。如需詳細資訊,請參閱[自動啟用所有成員帳戶的 GuardDuty 起始惡意軟體掃描](#auto-enable-malware-protection-all-organization-member)。
**提示**
如果委派的 GuardDuty 管理員帳戶與您的管理帳戶不同,您必須向委派的 GuardDuty 管理員帳戶提供許可,以允許為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。
1. 如果您想要允許委派的 GuardDuty 管理員帳戶為其他區域中的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描,請變更您的 AWS 區域,然後重複上述步驟。
------
#### [ API/CLI ]
1. 使用您的管理帳戶憑證,執行下列命令:
```
aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
```
1. (選用) 若要為非委派管理員帳戶的管理帳戶啟用 GuardDuty 起始的惡意軟體掃描,管理帳戶會先在其帳戶中[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)明確建立 ,然後從委派管理員帳戶啟用 GuardDuty 起始的惡意軟體掃描,類似於任何其他成員帳戶。
```
aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
```
1. 您已在目前選取的 中指定委派的 GuardDuty 管理員帳戶 AWS 區域。如果您已將帳戶指定為某個區域中的委派 GuardDuty 管理員帳戶,則該帳戶必須是所有其他區域中的委派 GuardDuty 管理員帳戶。為其他所有區域重複上述步驟。
------
## 為委派的 GuardDuty 管理員帳戶設定 GuardDuty 起始的惡意軟體掃描
選擇您偏好的存取方法,為委派的 GuardDuty 管理員帳戶啟用或停用 GuardDuty 起始的惡意軟體掃描。
------
#### [ Console ]
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 在導覽窗格中,選擇 ** EC2 的惡意軟體防護**。
1. 在 ** EC2 的惡意軟體防護**頁面上,選擇 **GuardDuty 起始的惡意軟體掃描**旁的**編輯**。
1. 執行以下任意一項:
**使用**為所有帳戶啟用****
+ 選擇**為所有帳戶啟用**。這將為 AWS 組織中所有作用中的 GuardDuty 帳戶啟用保護計畫,包括加入組織的新帳戶。
+ 選擇**儲存**。
**使用**手動設定帳戶****
+ 若要僅為委派的 GuardDuty 管理員帳戶啟用保護計畫,請選擇**手動設定帳戶**。
+ 在**委派的 GuardDuty 管理員帳戶 (此帳戶)** 區段下選擇**啟用**。
+ 選擇**儲存**。
------
#### [ API/CLI ]
使用您自己的區域偵測器 ID 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作,並以 `name` `EBS_MALWARE_PROTECTION`和 `status`身分傳遞`features`物件`ENABLED`。
您可以執行下列 AWS CLI 命令來啟用 GuardDuty 起始的惡意軟體掃描。請務必使用委派的 GuardDuty 管理員帳戶的有效{{偵測器 ID}}。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-detector --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} /
--account-ids {{555555555555}} /
--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "{{ENABLED}}"}]'
```
------
## 自動啟用所有成員帳戶的 GuardDuty 起始惡意軟體掃描
選擇您偏好的存取方法,以便為所有成員帳戶啟用 GuardDuty 起始的惡意軟體掃描功能。這包括現有的成員帳戶和加入組織的新帳戶。
------
#### [ Console ]
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
請務必使用委派的 GuardDuty 管理員帳戶登入資料。
1. 執行以下任意一項:
**使用 **EC2 的惡意軟體防護**頁面**
1. 在導覽窗格中,選擇 ** EC2 的惡意軟體防護**。
1. 在 ** EC2 的惡意軟體防護**頁面上,選擇 **GuardDuty 起始的惡意軟體掃描**區段中的**編輯**。
1. 選擇**為所有帳戶啟用**。此動作會自動為組織中的現有帳戶和新帳戶啟用 GuardDuty 起始的惡意軟體掃描。
1. 選擇**儲存**。
**注意**
最多可能需要 24 小時才會更新成員帳戶的組態。
**使用**帳戶**頁面**
1. 在導覽窗格中,選擇**帳戶**。
1. 在**帳戶**頁面上,選擇**自動啟用**偏好設定,然後再**透過邀請新增帳戶**。
1. 在**管理自動啟用偏好設定**視窗中,選擇 **GuardDuty 起始的惡意軟體掃描**下的**為所有帳戶啟用**。
1. 在 ** EC2 的惡意軟體防護**頁面上,選擇 **GuardDuty 起始的惡意軟體掃描**區段中的**編輯**。
1. 選擇**為所有帳戶啟用**。此動作會自動為組織中的現有帳戶和新帳戶啟用 GuardDuty 起始的惡意軟體掃描。
1. 選擇**儲存**。
**注意**
最多可能需要 24 小時才會更新成員帳戶的組態。
**使用**帳戶**頁面**
1. 在導覽窗格中,選擇**帳戶**。
1. 在**帳戶**頁面上,選擇**自動啟用**偏好設定,然後再**透過邀請新增帳戶**。
1. 在**管理自動啟用偏好設定**視窗中,選擇 **GuardDuty 起始的惡意軟體掃描**下的**為所有帳戶啟用**。
1. 選擇**儲存**。
如果您無法使用**為所有帳戶啟用**選項,請參閱 [選擇性地為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描](#selective-enable-disable-malware-protection-member-accounts)。
------
#### [ API/CLI ]
+ 若要為您的成員帳戶選擇性地啟用 GuardDuty 起始的惡意軟體掃描,請使用您自己的{{偵測器 ID}} 叫用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。
+ 下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。若要停用成員帳戶,請使用 `DISABLED` 取代 `ENABLED`。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "{{ENABLED}}"}]'
```
您也可以傳遞以空格分隔的帳戶 ID 清單。
+ 當程式碼成功執行時,會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
------
## 為所有現有作用中成員帳戶啟用 GuardDuty 起始的惡意軟體掃描
選擇您偏好的存取方法,以便為組織中的所有現有作用中成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。
**為所有現有作用中成員帳戶設定 GuardDuty 起始的惡意軟體掃描**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
使用委派的 GuardDuty 管理員帳戶登入資料登入。
1. 在導覽窗格中,選擇 ** EC2 的惡意軟體防護**。
1. 在 ** EC2 的惡意軟體防護**上,您可以檢視 **GuardDuty 起始的惡意軟體掃描**組態的目前狀態。在**作用中成員帳戶**區段下,選擇**動作**。
1. 從**動作**下拉式選單中,選擇**為所有作用中的成員帳戶啟用**。
1. 選擇**儲存**。
## 為新成員帳戶自動啟用 GuardDuty 起始的惡意軟體掃描
新增的成員帳戶必須先**啟用** GuardDuty,然後才能選取設定 GuardDuty 起始的惡意軟體掃描。透過邀請管理的成員帳戶可以為其帳戶手動設定 GuardDuty 起始的惡意軟體掃描。如需詳細資訊,請參閱[Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc)。
選擇您偏好的存取方法,以便為新加入組織的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。
------
#### [ Console ]
委派的 GuardDuty 管理員帳戶可以使用惡意軟體防護 EC2 或**帳戶**頁面,為組織中的新成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。 ** EC2**
**為新成員帳戶自動啟用 GuardDuty 起始的惡意軟體掃描**
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
請務必使用委派的 GuardDuty 管理員帳戶登入資料。
1. 執行以下任意一項:
+ 使用 ** EC2 的惡意軟體防護**頁面:
1. 在導覽窗格中,選擇 ** EC2 的惡意軟體防護**。
1. 在 ** EC2 的惡意軟體防護**頁面上,選擇 **GuardDuty 起始的惡意軟體掃描**中的**編輯**。
1. 選擇**手動設定帳戶**。
1. 選取**為新成員帳戶自動啟用**。此步驟可確保每當有新帳戶加入您的組織時,GuardDuty 起始的惡意軟體掃描都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。
1. 選擇**儲存**。
+ 使用**帳戶**頁面:
1. 在導覽窗格中,選擇**帳戶**。
1. 在**帳戶**頁面上,選擇**自動啟用**偏好設定。
1. 在**管理自動啟用偏好設定**視窗中,選擇 **GuardDuty 起始的惡意軟體掃描**下的**為新帳戶啟用**。
1. 選擇**儲存**。
------
#### [ API/CLI ]
+ 若要為新成員帳戶地啟用或停用 GuardDuty 起始的惡意軟體掃描,請使用您自己的{{偵測器 ID}} 調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API 操作。
+ 下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。若要停用,請參閱[選擇性地為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描](#selective-enable-disable-malware-protection-member-accounts)。如果您不想為加入組織的所有新帳戶啟用此功能,請將 `AutoEnable` 設定為 `NONE`。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-organization-configuration --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": {{NEW}}}]'
```
您也可以傳遞以空格分隔的帳戶 ID 清單。
+ 當程式碼成功執行時,會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
------
## 選擇性地為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描
選擇您偏好的存取方法,以便為指定成員帳戶設定 GuardDuty 起始的惡意軟體掃描。
------
#### [ Console ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**帳戶**。
1. 在**帳戶**頁面上,檢閱 **GuardDuty 起始的惡意軟體掃描**欄,了解您的成員帳戶的狀態。
1. 選取您要設定 GuardDuty 起始的惡意軟體掃描的帳戶。您可以一次選取多個帳戶。
1. 從**編輯保護計畫**選單中,針對 **GuardDuty 起始的惡意軟體掃描**選擇適當的選項。
------
#### [ API/CLI ]
若要為您的成員帳戶選擇性地啟用或停用 GuardDuty 起始的惡意軟體掃描,請使用您自己的{{偵測器 ID}} 調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。
下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "{{ENABLED}}"}]'
```
您也可以傳遞以空格分隔的帳戶 ID 清單。
當程式碼成功執行時,會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
若要為您的成員帳戶選擇性地啟用 GuardDuty 起始的惡意軟體掃描,請使用您自己的{{偵測器 ID}} 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":{{true}}}}}'
```
您也可以傳遞以空格分隔的帳戶 ID 清單。
當程式碼成功執行時,會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題,則會列出該帳戶 ID 以及問題摘要。
------
## 為透過邀請管理的組織中的現有帳戶啟用 GuardDuty 起始的惡意軟體掃描
EC2 服務連結角色 (SLR) 的 GuardDuty 惡意軟體防護必須在成員帳戶中建立。管理員帳戶無法在非由 管理的成員帳戶中啟用 GuardDuty 起始的惡意軟體掃描功能 AWS Organizations。
目前,您可以透過 GuardDuty 主控台 (網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)) 執行以下步驟,為現有的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。
------
#### [ Console ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
使用您的管理員帳戶登入資料登入。
1. 在導覽窗格中,選擇**帳戶**。
1. 選取您要為之啟用 GuardDuty 起始的惡意軟體掃描的成員帳戶。您可以一次選取多個帳戶。
1. 選擇**動作**。
1. 選擇**取消關聯成員**。
1. 在成員帳戶中,在導覽窗格的**保護計畫**下,選擇**惡意軟體防護**。
1. 選擇**啟用 GuardDuty 起始的惡意軟體掃描**。GuardDuty 將為成員帳戶建立 SLR。如需有關 SLR 的詳細資訊,請參閱[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)。
1. 在管理員帳戶帳戶中,選擇導覽窗格中**的帳戶**。
1. 選擇需要新增回組織的成員帳戶。
1. 選擇**動作**,然後選擇**新增成員**。
------
#### [ API/CLI ]
1. 使用管理員帳戶在想要啟用 GuardDuty 起始惡意軟體掃描的成員帳戶上執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) API。
1. 使用您的成員帳戶調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) 以啟用 GuardDuty 起始的惡意軟體掃描。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-detector --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
```
1. 使用管理員帳戶執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) API,將成員新增至組織。
------