為了管理 Amazon GuardDuty 中的多個帳戶,我邀請一個 AWS 帳戶使用 AWS Organizations 與我的 AWS 帳戶建立關聯。成員帳戶的狀態為「驗證失敗。」
簡短說明
若要管理 GuardDuty 中的多個帳戶,您必須選擇單一 AWS 帳戶做為 GuardDuty 的管理員帳戶。然後,您可以將其他 AWS 帳戶與管理員帳戶建立關聯,將這些帳戶做為成員帳戶。
只要符合以下任一條件,您可以將多個帳戶與 GuardDuty 管理員帳戶建立關聯:
- 雙方帳戶都是 AWS Organizations 組織的會員帳戶。
- 透過 GuardDuty 傳送的邀請。
若要從 GuardDuty 管理員帳戶傳送邀請,您必須指定成員帳戶的帳戶 ID 和電子郵件地址。「驗證失敗」狀態表示根電子郵件地址或您新增為 GuardDuty 成員帳戶的帳戶 ID 不正確。
如需詳細資訊,請參閱](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)管理 Amazon GuardDuty 中的多個帳戶[。
解決方案
請依照下列步驟將 GuardDuty 指定為委派管理員,並使用 GuardDuty 主控台新增成員帳戶。
重要事項:
- 請務必使用根電子郵件地址和與帳戶建立關聯的帳戶 ID。
- 傳送邀請之前,必須先在成員帳戶中開啟 GuardDuty。
您可以上傳 .csv 檔案來大量新增帳戶。請務必在個別行中指定帳戶 ID 和主要電子郵件地址,並以逗號分隔。.csv 檔案的第一行必須包含下列格式的帳戶 ID 和電子郵件標頭:
Account ID,Email
111111111111,primary1@example.com
222222222222,primary2@example.com
您也可以使用 Python 指令碼同時在多個帳戶中開啟 GuardDuty 。在此方法中,請確定每行都有列出一個輸入 .csv 檔案中的帳戶。 使用不含標頭的帳戶 ID 和電子郵件地址,格式如下:
111111111111,primary1@example.com
222222222222,primary2@example.com
GuardDuty 成員帳戶接受邀請後,您的成員帳戶的狀態欄會在管理員帳戶中變更為已啟用。
相關資訊
我要如何為 GuardDuty 設定可信任的 IP 地址清單?