Mengelola GuardDuty akun dengan undangan - Amazon GuardDuty
Menambahkan dan mengelola akun berdasarkan undanganMengkonsolidasikan akun GuardDuty administrator di bawah satu akun administrator yang didelegasikan GuardDuty organisasiAktifkan GuardDuty di beberapa akun secara bersamaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola GuardDuty akun dengan undangan

Untuk mengelola akun di luar organisasi, Anda dapat menggunakan metode undangan lawas. Jika Anda menggunakan metode ini, akun Anda ditetapkan sebagai akun administrator saat akun lain menerima undangan Anda untuk menjadi akun anggota.

Jika akun Anda bukan akun administrator, Anda dapat menerima undangan dari akun lain. Jika Anda menerima, akun Anda menjadi akun anggota. AWS Akun tidak dapat berupa akun GuardDuty administrator dan akun anggota secara bersamaan.

Ketika Anda menerima undangan dari satu akun, Anda tidak dapat menerima undangan dari akun lain. Untuk menerima undangan dari akun lain, Anda harus terlebih dahulu memisahkan akun Anda dari akun administrator yang ada. Atau, akun administrator juga dapat memisahkan dan menghapus akun Anda dari organisasi mereka.

Akun yang terkait dengan undangan memiliki account-to-member hubungan administrator keseluruhan yang sama dengan akun yang terkait dengan AWS Organizations, seperti yang dijelaskan dalamMemahami hubungan antara akun GuardDuty administrator dan akun anggota. Namun, pengguna akun administrator undangan tidak dapat mengaktifkan GuardDuty atas nama akun anggota terkait atau melihat akun non-anggota lainnya dalam AWS Organizations organisasi mereka.

penting

Transfer data lintas-regional dapat terjadi ketika GuardDuty membuat akun anggota menggunakan metode ini. Untuk memverifikasi alamat email akun anggota, GuardDuty gunakan layanan verifikasi email yang hanya beroperasi di Wilayah AS Timur (Virginia N.).

Menambahkan dan mengelola akun berdasarkan undangan

Pilih salah satu metode akses untuk menambah dan mengundang akun untuk menjadi akun GuardDuty anggota sebagai akun GuardDuty administrator.

Console
Langkah 1 - Tambahkan akun

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Akun.

  3. Pilih Tambahkan akun berdasarkan undangan di panel atas.

  4. Pada halaman Tambahkan akun anggota, di bawah Masukkan detail akun, masukkan Akun AWS ID dan alamat email yang terkait dengan akun yang ingin Anda tambahkan.

  5. Untuk menambahkan baris lain untuk memasukkan detail akun satu per satu, pilih Tambahkan akun lain. Anda juga dapat memilih Unggah file.csv dengan detail akun untuk menambahkan akun secara massal.

    penting

    Baris pertama file csv Anda harus berisi header, seperti yang digambarkan dalam contoh berikut —. Account ID,Email Setiap baris berikutnya harus berisi satu Akun AWS ID yang valid dan alamat email yang terkait. Format baris valid jika hanya berisi satu Akun AWS ID dan alamat email terkait dipisahkan oleh koma. 

    Account ID,Email
                                555555555555,user@example.com

  6. Setelah Anda menambahkan semua detail akun, pilih Berikutnya. Anda dapat melihat akun yang baru ditambahkan di tabel Akun. Status akun ini akan menjadi Undangan tidak terkirim. Untuk informasi tentang mengirim undangan ke satu atau beberapa akun tambahan, lihatStep 2 - Invite an account.

Langkah 2 - Undang akun

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Akun.

  3. Pilih satu atau beberapa akun yang ingin Anda undang ke Amazon GuardDuty.

  4. Pilih menu tarik-turun Tindakan dan kemudian pilih Undang.

  5. Di kotak GuardDuty dialog Undangan ke, masukkan pesan undangan (opsional).

    Jika akun yang diundang tidak memiliki akses ke email, pilih kotak centang Juga kirim pemberitahuan email ke pengguna root pada undangan Akun AWS dan buat peringatan di undangan. AWS Health Dashboard

  6. Pilih Kirim undangan. Jika undangan memiliki akses ke alamat email yang ditentukan, mereka dapat melihat undangan dengan membuka GuardDuty konsol di. https://console.aws.amazon.com/guardduty/

  7. Saat undangan menerima undangan, nilai di kolom Status berubah menjadi Diundang. Untuk informasi tentang menerima undangan, lihatStep 3 - Accept an invitation.

Langkah 3 - Terima undangan

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    penting

    Anda harus mengaktifkan GuardDuty sebelum dapat melihat atau menerima undangan keanggotaan.

  2. Lakukan hal berikut hanya jika Anda GuardDuty belum mengaktifkan; jika tidak, Anda dapat melewati langkah ini dan melanjutkan dengan langkah berikutnya.

    Jika Anda belum mengaktifkan GuardDuty, pilih Memulai di GuardDuty halaman Amazon.

    Pada GuardDuty halaman Selamat Datang di, pilih Aktifkan GuardDuty.

  3. Setelah mengaktifkan GuardDuty akun Anda, gunakan langkah-langkah berikut untuk menerima undangan keanggotaan:

    1. Pada panel navigasi, silakan pilih Pengaturan.

    2. Pilih Akun .

    3. Pada Akun, pastikan untuk memverifikasi pemilik akun tempat Anda menerima undangan. Aktifkan Terima untuk menerima undangan keanggotaan.

  4. Setelah Anda menerima undangan, akun Anda menjadi akun GuardDuty anggota. Akun yang pemiliknya mengirim undangan menjadi akun GuardDuty administrator. Akun administrator akan tahu bahwa Anda telah menerima undangan. Tabel Akun di GuardDuty akun mereka akan diperbarui. Nilai di kolom Status yang sesuai dengan ID akun anggota Anda akan berubah menjadi Diaktifkan. Pemilik akun administrator sekarang dapat melihat GuardDuty dan mengelola serta konfigurasi paket perlindungan atas nama akun Anda. Akun administrator juga dapat melihat dan mengelola GuardDuty temuan yang dihasilkan untuk akun anggota Anda.

API/CLI

Anda dapat menunjuk akun GuardDuty administrator, dan membuat atau menambahkan akun GuardDuty anggota dengan undangan melalui API operasi. Jalankan GuardDuty API operasi berikut untuk menunjuk akun administrator dan akun anggota di GuardDuty.

Selesaikan prosedur berikut menggunakan kredensil Akun AWS yang ingin Anda tetapkan sebagai akun administrator. GuardDuty

Membuat atau menambahkan akun anggota

  1. Jalankan CreateMembersAPIoperasi menggunakan kredensil AWS akun yang telah GuardDuty diaktifkan. Ini adalah akun yang Anda inginkan menjadi akun GuardDuty akun administrator.

    Anda harus menentukan ID detektor AWS akun saat ini dan ID akun serta alamat email dari akun yang ingin Anda jadikan GuardDuty anggota. Anda dapat membuat satu atau lebih anggota dengan API operasi ini.

    Anda juga dapat menggunakan Alat Baris AWS Perintah untuk menunjuk akun administrator dengan menjalankan CLI perintah berikut. Pastikan untuk menggunakan ID pendeteksi, ID akun, dan email Anda sendiri yang valid.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com

  2. Jalankan InviteMembersdengan menggunakan kredensil AWS akun yang telah GuardDuty diaktifkan. Ini adalah akun yang Anda inginkan menjadi akun GuardDuty akun administrator.

    Anda harus menentukan ID detektor AWS akun saat ini dan akun IDs akun yang ingin Anda jadikan GuardDuty anggota. Anda dapat mengundang satu atau lebih anggota dengan API operasi ini.

    catatan

    Anda juga dapat menentukan pesan undangan opsional dengan menggunakan parameter message permintaan.

    Anda juga dapat menggunakan AWS Command Line Interface untuk menunjuk akun anggota dengan menjalankan perintah berikut. Pastikan untuk menggunakan ID detektor Anda sendiri yang valid dan akun yang valid IDs untuk akun yang ingin Anda undang.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
Menerima undangan

Selesaikan prosedur berikut menggunakan kredensil dari setiap AWS akun yang ingin Anda tetapkan sebagai GuardDuty akun anggota.

  1. Jalankan CreateDetectorAPIoperasi untuk setiap AWS akun yang diundang untuk menjadi akun GuardDuty anggota dan Anda ingin menerima undangan.

    Anda harus menentukan apakah sumber daya detektor akan diaktifkan menggunakan GuardDuty layanan. Detektor harus dibuat dan diaktifkan GuardDuty agar dapat beroperasi. Anda harus mengaktifkan terlebih dahulu GuardDuty sebelum menerima undangan.

    Anda juga dapat melakukan ini dengan menggunakan AWS Command Line Tools menggunakan CLI perintah berikut.

    aws guardduty create-detector --enable

  2. Jalankan AcceptAdministratorInvitationAPIoperasi untuk setiap AWS akun yang ingin Anda terima undangan keanggotaan, menggunakan kredensi akun tersebut.

    Anda harus menentukan ID detektor AWS akun ini untuk akun anggota, ID akun akun administrator yang mengirim undangan, dan ID undangan undangan yang Anda terima. Anda dapat menemukan ID akun akun administrator di email undangan atau dengan menggunakan ListInvitationsoperasiAPI.

    Anda juga dapat menerima undangan menggunakan AWS Command Line Tools dengan menjalankan CLI perintah berikut. Pastikan Anda menggunakan ID detektor, ID akun administrator, dan ID undangan yang valid.

    Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5

Mengkonsolidasikan akun GuardDuty administrator di bawah satu akun administrator yang didelegasikan GuardDuty organisasi

GuardDuty merekomendasikan penggunaan asosiasi melalui AWS Organizations untuk mengelola akun anggota di bawah akun GuardDuty administrator yang didelegasikan. Anda dapat menggunakan contoh proses yang diuraikan di bawah ini untuk mengkonsolidasikan akun administrator dan anggota yang terkait dengan undangan di organisasi di bawah satu akun administrator yang GuardDuty didelegasikan GuardDuty .

catatan

Akun yang sudah dikelola oleh akun GuardDuty administrator yang didelegasikan, atau akun anggota aktif yang dikaitkan dengan akun administrator yang didelegasikan tidak dapat ditambahkan ke akun GuardDuty administrator yang didelegasikan lainnya GuardDuty . Setiap organisasi hanya dapat memiliki satu akun GuardDuty administrator yang didelegasikan per Wilayah, dan setiap akun anggota hanya dapat memiliki satu akun GuardDuty administrator yang didelegasikan.

Pilih salah satu metode akses untuk mengkonsolidasikan akun GuardDuty administrator di bawah satu akun administrator yang didelegasikan GuardDuty .

Console

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Untuk masuk, gunakan kredensional akun manajemen organisasi.

  2. Semua akun yang ingin Anda kelola GuardDuty harus menjadi bagian dari organisasi Anda. Untuk informasi tentang menambahkan akun ke organisasi Anda, lihat Mengundang Akun AWS untuk bergabung dengan organisasi Anda.

  3. Pastikan semua akun anggota dikaitkan dengan akun yang ingin Anda tetapkan sebagai akun GuardDuty administrator tunggal yang didelegasikan. Putuskan hubungan akun anggota yang masih terkait dengan akun administrator yang sudah ada sebelumnya.

    Langkah-langkah berikut akan membantu Anda memisahkan akun anggota dari akun administrator yang sudah ada sebelumnya:

    1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    2. Untuk masuk, gunakan kredensi akun administrator yang sudah ada sebelumnya.

    3. Di panel navigasi, pilih Akun.

    4. Pada halaman Akun, pilih satu atau beberapa akun yang ingin Anda pisahkan dari akun administrator.

    5. Pilih Actions dan kemudian pilih Disassociate account.

    6. Pilih Konfirmasi untuk menyelesaikan langkah.

  4. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Untuk masuk, gunakan kredenal akun manajemen.

  5. Pada panel navigasi, silakan pilih Pengaturan. Pada halaman Pengaturan, tentukan akun GuardDuty administrator yang didelegasikan untuk organisasi.

  6. Masuk ke akun GuardDuty administrator yang didelegasikan yang ditunjuk.

  7. Tambahkan anggota dari organisasi. Untuk informasi selengkapnya, lihat Mengelola GuardDuty akun dengan AWS Organizations.

API/CLI

  1. Semua akun yang ingin Anda kelola GuardDuty harus menjadi bagian dari organisasi Anda. Untuk informasi tentang menambahkan akun ke organisasi Anda, lihat Mengundang Akun AWS untuk bergabung dengan organisasi Anda.

  2. Pastikan semua akun anggota dikaitkan dengan akun yang ingin Anda tetapkan sebagai akun GuardDuty administrator tunggal yang didelegasikan.

    1. Jalankan DisassociateMembersuntuk memisahkan akun anggota yang masih terkait dengan akun administrator yang sudah ada sebelumnya.

    2. Atau, Anda dapat menggunakan AWS Command Line Interface untuk menjalankan perintah berikut dan mengganti 777777777777 dengan ID detektor akun administrator yang sudah ada sebelumnya tempat Anda ingin memisahkan akun anggota. Ganti 666666666666 dengan Akun AWS ID akun anggota yang ingin Anda pisahkan. 

      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666

  3. Jalankan EnableOrganizationAdminAccountuntuk mendelegasikan akun GuardDuty administrator Akun AWS sebagai delegasi.

    Atau, Anda dapat menggunakan AWS Command Line Interface untuk menjalankan perintah berikut untuk mendelegasikan akun GuardDuty administrator yang didelegasikan:

    aws guardduty enable-organization-admin-account --admin-account-id 777777777777

  4. Tambahkan anggota dari organisasi. Untuk informasi selengkapnya, lihat Create or add member member accounts using API.
penting

Untuk memaksimalkan efektivitas GuardDuty, layanan regional, kami sarankan Anda menunjuk akun GuardDuty administrator yang didelegasikan dan menambahkan semua akun anggota Anda di setiap Wilayah.

Aktifkan GuardDuty di beberapa akun secara bersamaan

Gunakan metode berikut untuk mengaktifkan GuardDuty di beberapa akun secara bersamaan.

Gunakan skrip Python untuk mengaktifkan GuardDuty di beberapa akun secara bersamaan

Anda dapat mengotomatiskan pengaktifan atau penonaktifan GuardDuty pada beberapa akun menggunakan skrip dari repositori sampel di skrip multiaccount Amazon. GuardDuty Gunakan proses di bagian ini GuardDuty untuk mengaktifkan daftar akun anggota yang menggunakan AmazonEC2. Untuk informasi tentang menggunakan skrip nonaktifkan atau menyiapkan skrip secara lokal, lihat petunjuk di tautan bersama.

enableguardduty.pySkrip memungkinkan GuardDuty, mengirim undangan dari akun administrator, dan menerima undangan di semua akun anggota. Hasilnya adalah akun GuardDuty akun administrator yang berisi semua temuan keamanan untuk semua akun anggota. Karena GuardDuty diisolasi berdasarkan Wilayah, temuan untuk setiap akun anggota digulung ke Wilayah yang sesuai di akun administrator. Misalnya, Wilayah us-east-1 di akun administrator GuardDuty Anda berisi temuan keamanan untuk semua temuan us-east-1 dari semua akun anggota terkait.

Skrip ini memiliki ketergantungan pada IAM peran bersama dengan kebijakan terkelola —. AWS kebijakan terkelola: AmazonGuardDutyFullAccess Kebijakan ini memberikan akses kepada entitas GuardDuty dan harus ada di akun administrator dan di setiap akun yang ingin Anda aktifkan GuardDuty.

Proses berikut memungkinkan GuardDuty di semua Wilayah yang tersedia secara default. Anda dapat mengaktifkan GuardDuty di Wilayah tertentu hanya dengan menggunakan --enabled_regions argumen opsional dan menyediakan daftar Wilayah yang dipisahkan koma. Anda juga dapat secara opsional menyesuaikan pesan undangan yang dikirim ke akun anggota dengan membuka enableguardduty.py dan mengedit string gd_invite_message.

  1. Buat IAM peran di akun GuardDuty administrator dan lampirkan AWS kebijakan terkelola: AmazonGuardDutyFullAccess kebijakan untuk mengaktifkan GuardDuty.

  2. Buat IAM peran di setiap akun anggota yang ingin dikelola oleh akun GuardDuty administrator Anda. Peran ini harus memiliki nama yang sama dengan peran yang dibuat pada langkah 1, peran ini harus mengizinkan akun administrator sebagai entitas tepercaya, dan peran ini harus memiliki kebijakan AmazonGuardDutyFullAccess terkelola yang sama yang dijelaskan sebelumnya.

  3. Luncurkan instans Amazon Linux baru dengan peran terlampir yang memiliki hubungan kepercayaan berikut yang memungkinkan instans untuk mengambil peran layanan.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. Masuk ke instans baru dan jalankan perintah berikut untuk mengaturnya.

    sudo yum install git python 
sudo yum install python-pip
pip install boto3 
aws configure 
git clone https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.git
cd amazon-guardduty-multiaccount-scripts 
sudo chmod +x disableguardduty.py enableguardduty.py

  5. Buat CSV file yang berisi daftar akun IDs dan email akun anggota yang Anda tambahkan peran di langkah 2. Akun harus muncul satu per baris, dan ID akun dan alamat email harus dipisahkan dengan koma, seperti pada contoh berikut.

    111122223333,guardduty-member@organization.com
    catatan

    CSVFile harus berada di lokasi yang sama dengan enableguardduty.py skrip Anda. Anda dapat menyalin CSV file yang ada dari Amazon S3 ke direktori Anda saat ini dengan metode berikut. 

    aws s3 cp s3://my-bucket/my_key_name example.csv

  6. Jalankan skrip Python. Pastikan untuk memberikan ID akun GuardDuty administrator Anda, nama peran yang dibuat pada langkah pertama, dan nama CSV file Anda sebagai argumen.

    python enableguardduty.py --master_account 444455556666 --assume_role roleName accountID.csv