Désignation d'un compte d' GuardDuty administrateur GuardDuty délégué et gestion des membres à l'aide de l'API

Étape 1 — Désignez un compte GuardDuty d'administrateur délégué pour votre AWS organisation

1. enableOrganizationAdminAccountExécuté en utilisant les informations d'identification Compte AWS du compte de gestion de l'organisation.

   • Vous pouvez également utiliser AWS Command Line Interface pour cela. La AWS CLI commande suivante désigne un compte d' GuardDuty administrateur délégué pour votre région actuelle uniquement. Exécutez la AWS CLI commande suivante et assurez-vous de remplacer 111111111111 par l' Compte AWS ID du compte que vous souhaitez désigner comme compte d'administrateur délégué : GuardDuty

     aws guardduty enable-organization-admin-account --admin-account-id 111111111111

     Pour désigner le compte d' GuardDuty administrateur délégué pour les autres régions, spécifiez la région dans la AWS CLI commande. L'exemple suivant montre comment activer un compte d' GuardDuty administrateur délégué dans l'ouest des États-Unis (Oregon). Assurez-vous de remplacer us-west-2 par la région à laquelle vous souhaitez attribuer le compte d'administrateur délégué. GuardDuty GuardDuty

     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2

     Pour plus d'informations sur l' Régions AWS endroit où GuardDuty est disponible, consultezRégions et points de terminaison.

   S' GuardDuty il n'est pas activé pour votre compte d' GuardDuty administrateur délégué, il ne pourra effectuer aucune action. Si ce n'est pas déjà fait, assurez-vous GuardDuty d'activer le compte d' GuardDuty administrateur délégué nouvellement désigné.

2. (Recommandé) Répétez l'étape précédente pour désigner le compte d' GuardDuty administrateur délégué dans chaque Région AWS cas où vous l'avez GuardDuty activé.

Étape 2 : configuration des préférences d'activation automatique pour l'organisation

1. 1. Exécutez-le à UpdateOrganizationConfigurationl'aide des informations d'identification du compte d' GuardDuty administrateur délégué, afin de configurer GuardDuty automatiquement des plans de protection facultatifs dans cette région pour votre organisation

      detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

      Note

      Pour plus d'informations sur les différentes configurations d'activation automatique, consultez la section autoEnableOrganizationMembres.

   2. Pour définir les préférences d'activation automatique pour l'un des plans de protection facultatifs pris en charge dans votre région, suivez les étapes indiquées dans les sections de documentation correspondantes de chaque plan de protection.

   3. Vous pouvez valider les préférences de votre organisation dans la région actuelle. Exécutez describeOrganizationConfiguration. Assurez-vous de spécifier l'ID du détecteur du compte GuardDuty administrateur délégué.

      Note

      La mise à jour de la configuration de tous les comptes membres peut prendre jusqu'à 24 heures.

   • 1. Vous pouvez également exécuter la AWS CLI commande suivante pour définir les préférences afin d'activer ou de désactiver automatiquement GuardDuty dans cette région les nouveaux comptes (NEW) qui rejoignent l'organisation, tous les comptes (ALL) ou aucun des comptes (NONE) de l'organisation. Pour plus d'informations, consultez la section autoEnableOrganizationMembres. Selon vos préférences, vous devrez peut-être remplacer NEW par ALL ou NONE. Si vous configurez le plan de protection avecALL, le plan de protection sera également activé pour le compte d' GuardDuty administrateur délégué. Assurez-vous de spécifier l'ID du détecteur du compte d' GuardDuty administrateur délégué qui gère la configuration de l'organisation.

        detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

        aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

     2. Vous pouvez valider les préférences de votre organisation dans la région actuelle. Exécutez la AWS CLI commande suivante en utilisant l'ID du détecteur du compte GuardDuty administrateur délégué.

        aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

2. (Recommandé) Répétez les étapes précédentes dans chaque région en utilisant l'identifiant du détecteur de compte GuardDuty administrateur délégué.

   Note

   Lorsqu'un compte d' GuardDuty administrateur délégué se retire d'une région optionnelle, même si la configuration d' GuardDuty activation automatique de votre organisation est définie sur les nouveaux comptes membres uniquement (NEW) ou sur tous les comptes membres (ALL), il GuardDuty ne peut être activé pour aucun compte de membre de l'organisation actuellement désactivé. GuardDuty Pour plus d'informations sur la configuration de vos comptes membres, ouvrez Comptes dans le volet de navigation de la GuardDuty console ou utilisez l'ListMembersAPI.

Étape 3 : ajouter des comptes en tant que membres à votre organisation

• Exécutez en CreateMembersutilisant les informations d'identification du compte GuardDuty d'administrateur délégué désigné à l'étape précédente.

  Vous devez spécifier l'ID de détecteur régional du compte d' GuardDuty administrateur délégué et les détails du compte (Compte AWS identifiants et adresses e-mail correspondantes) des comptes que vous souhaitez ajouter en tant que GuardDuty membres. Vous pouvez créer un ou plusieurs membres avec cette opération d'API.

  Lorsque vous gérez CreateMembers votre organisation, les préférences d'activation automatique pour les nouveaux membres s'appliquent à mesure que de nouveaux comptes membres rejoignent votre organisation. Lorsque vous utilisez CreateMembers un compte membre existant, la configuration de l'organisation s'applique également aux membres existants. Cela peut modifier la configuration actuelle des comptes membres existants.

  Exécutez-le ListAccountsdans la référence d'AWS Organizations API pour afficher tous les comptes de l' AWS organisation.

  Important

  Lorsque vous ajoutez un compte en tant que GuardDuty membre, il sera automatiquement GuardDuty activé dans cette région. Il existe une exception au compte de gestion de l'organisation. Avant que le compte de gestion ne soit ajouté en tant que GuardDuty membre, il doit être GuardDuty activé.

  • Vous pouvez également utiliser AWS Command Line Interface. Exécutez la commande AWS CLI suivante et assurez-vous d'utiliser votre propre ID de détecteur valide, votre ID Compte AWS et l'adresse e-mail associée à l'ID de compte.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         

    Vous pouvez consulter la liste de tous les membres de l'organisation en exécutant la AWS CLI commande suivante :

    aws organizations list-accounts

  Après avoir ajouté ce compte en tant que membre, la GuardDuty configuration d'activation automatique s'applique.