Gestione GuardDuty degli account su invito - Amazon GuardDuty
Aggiunta e gestione degli account tramite invitoConsolidamento degli account di GuardDuty amministratore in un unico account di amministratore delegato GuardDuty dell'organizzazioneAbilita più account GuardDuty contemporaneamente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione GuardDuty degli account su invito

Per gestire gli account esterni all'organizzazione, è possibile utilizzare il metodo di invito legacy. Quando utilizzi questo metodo, il tuo account viene designato come account amministratore nel momento in cui un altro account accetta l'invito a diventare un account membro.

Se il tuo account non è un account amministratore, puoi accettare un invito da un altro account. Quando accetti l'invito, il tuo account diventa un account membro. Un AWS account non può essere contemporaneamente un account GuardDuty amministratore e un account membro.

Quando accetti un invito da un account, non puoi accettare un invito da un altro account. Per accettare un invito da un altro account, devi prima dissociare il tuo account dall'account amministratore esistente. In alternativa, l'account amministratore può anche dissociare e rimuovere il tuo account dalla sua organizzazione.

Gli account associati su invito hanno lo stesso account-to-member rapporto di amministratore complessivo degli account associati da AWS Organizations, come descritto inComprensione della relazione tra account GuardDuty amministratore e account membro. Tuttavia, gli utenti con account amministratore a inviti non possono GuardDuty attivare gli account dei membri associati o visualizzare altri account non membri all'interno della propria AWS Organizations organizzazione.

Importante

Quando si GuardDuty creano account membri utilizzando questo metodo, può verificarsi un trasferimento di dati interregionale. Per verificare gli indirizzi e-mail degli account dei membri, GuardDuty utilizza un servizio di verifica e-mail che opera solo nella regione degli Stati Uniti orientali (Virginia settentrionale).

Aggiunta e gestione degli account tramite invito

Scegli uno dei metodi di accesso per aggiungere e invitare account a diventare account GuardDuty membro come account GuardDuty amministratore.

Console
Fase 1: aggiunta di un account

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Dal riquadro di navigazione, selezionare Accounts (Account).

  3. Scegli Aggiungi account tramite invito nel riquadro superiore.

  4. Nella pagina Aggiungi account membro, in Inserisci i dettagli dell'account, inserisci l' Account AWS ID e l'indirizzo email associati all'account che desideri aggiungere.

  5. Per aggiungere un'altra riga in cui immettere i dettagli dell'account uno alla volta, scegli Aggiungi un altro account. Puoi anche scegliere Carica il file .csv con i dettagli dell'account per aggiungere account in blocco.

    Importante

    La prima riga del file csv deve contenere l'intestazione, come illustrato nell'esempio seguente: Account ID,Email. Ogni riga successiva deve contenere un unico Account AWS ID valido e l'indirizzo e-mail associato. Il formato di una riga è valido se contiene un solo Account AWS ID e l'indirizzo e-mail associato separati da una virgola. 

    Account ID,Email
                                555555555555,user@example.com

  6. Dopo aver aggiunto tutti i dettagli degli account, scegli Successivo. Puoi visualizzare gli account appena aggiunti nella tabella Account. Lo Stato di questi account sarà Invito non inviato. Per informazioni sull'invio di un invito a uno o più account aggiunti, consulta Step 2 - Invite an account.

Fase 2: invito di un account

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Dal riquadro di navigazione, selezionare Accounts (Account).

  3. Seleziona uno o più account che desideri invitare su Amazon GuardDuty.

  4. Scegli il menu a discesa Operazioni, quindi Invita.

  5. Nella GuardDuty finestra di dialogo Invito a, inserisci un messaggio di invito (opzionale).

    Se l'account invitato non ha accesso all'e-mail, seleziona la casella di controllo Invia anche una notifica e-mail all'utente root nell' Account AWS dell'invitato e genera un avviso nel AWS Health Dashboard.

  6. Selezionare Send invitation (Invia invito). Se gli invitati hanno accesso all'indirizzo e-mail specificato, possono visualizzare l'invito aprendo la GuardDuty console all'https://console.aws.amazon.com/guardduty/indirizzo.

  7. Quando un invitato accetta l'invito, il valore nella colonna Stato cambia in Invitato. Per informazioni sull'accettazione di un invito, consulta Step 3 - Accept an invitation.

Fase 3: accettazione di un invito

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Importante

    È necessario abilitarla GuardDuty prima di poter visualizzare o accettare un invito all'iscrizione.

  2. Effettua le seguenti operazioni solo se non l'hai GuardDuty ancora abilitato; in caso contrario, puoi saltare questo passaggio e continuare con il passaggio successivo.

    Se non l'hai ancora abilitato GuardDuty, scegli Get Started sulla GuardDuty pagina Amazon.

    Nella GuardDuty pagina Benvenuto, scegli Abilita GuardDuty.

  3. Dopo aver abilitato GuardDuty il tuo account, segui la procedura seguente per accettare l'invito all'iscrizione:

    1. Nel pannello di navigazione scegli Impostazioni.

    2. Scegli Account.

    3. In Account, assicurati di verificare il proprietario dell'account dal quale accetti l'invito. Attiva Accetta per accettare l'invito.

  4. Dopo aver accettato l'invito, il tuo account diventa un account GuardDuty membro. L'account il cui proprietario ha inviato l'invito diventa l'account GuardDuty amministratore. L'account amministratore saprà che hai accettato l'invito. La tabella Account GuardDuty del relativo account verrà aggiornata. Il valore nella colonna Stato corrispondente all'ID del tuo account membro cambierà in Abilitato. Il proprietario dell'account amministratore può ora visualizzare GuardDuty e gestire le configurazioni del piano di protezione per conto del tuo account. L'account amministratore può anche visualizzare e gestire i GuardDuty risultati generati per il tuo account membro.

API/CLI

Puoi designare un account GuardDuty amministratore e creare o aggiungere account GuardDuty membro su invito tramite le API operazioni. Esegui le seguenti GuardDuty API operazioni per designare l'account amministratore e gli account membro in. GuardDuty

Completare la procedura seguente utilizzando le credenziali dell' Account AWS account che si desidera designare come amministratore. GuardDuty

Creazione o aggiunta di account membri

  1. Esegui l'CreateMembersAPIoperazione utilizzando le credenziali dell' AWS account che hai abilitato. GuardDuty Questo è l'account che desideri utilizzare come GuardDuty account amministratore.

    È necessario specificare l'ID del rilevatore dell' AWS account corrente e l'ID account e l'indirizzo e-mail degli account di cui si desidera diventare GuardDuty membri. È possibile creare uno o più membri con questa API operazione.

    È inoltre possibile utilizzare gli strumenti della riga di AWS comando per designare un account amministratore eseguendo il CLI comando seguente. Assicurati di utilizzare il tuo ID rilevatore valido, l'ID account e l'e-mail.

    Per trovare il nome del detectorId tuo account e della regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com

  2. Esegui InviteMembersutilizzando le credenziali dell' AWS account che hai GuardDuty abilitato. Questo è l'account che desideri utilizzare come GuardDuty account amministratore.

    È necessario specificare l'ID del rilevatore dell' AWS account corrente e l'account IDs degli account di cui si desidera diventare GuardDuty membri. È possibile invitare uno o più membri con questa API operazione.

    Nota

    È anche possibile specificare un messaggio di invito facoltativo tramite il parametro di richiesta message.

    È inoltre possibile utilizzare AWS Command Line Interface per designare gli account dei membri eseguendo il comando seguente. Assicurati di utilizzare un ID rilevatore valido e un account valido IDs per gli account che desideri invitare.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
Accettazione degli inviti

Completa la procedura seguente utilizzando le credenziali di ogni AWS account che desideri designare come account GuardDuty membro.

  1. Esegui l'CreateDetectorAPIoperazione per ogni AWS account che è stato invitato a diventare un account GuardDuty membro e per il quale desideri accettare un invito.

    È necessario specificare se la risorsa del rilevatore deve essere abilitata utilizzando il GuardDuty servizio. Un rilevatore deve essere creato e abilitato per GuardDuty diventare operativo. È necessario abilitarlo GuardDuty prima di accettare un invito.

    È inoltre possibile eseguire questa operazione utilizzando gli strumenti della riga di AWS comando utilizzando il seguente CLI comando.

    aws guardduty create-detector --enable

  2. Esegui l'AcceptAdministratorInvitationAPIoperazione per ogni AWS account di cui desideri accettare l'invito all'iscrizione, utilizzando le credenziali di quell'account.

    Devi specificare l'ID rilevatore di questo AWS account per l'account membro, l'ID account dell'account amministratore che ha inviato l'invito e l'ID dell'invito che stai accettando. Puoi trovare l'ID dell'account amministratore nell'e-mail di invito o utilizzando il ListInvitationscomando di. API

    È inoltre possibile accettare un invito utilizzando gli strumenti della riga di AWS comando eseguendo il CLI comando seguente. Assicurati di utilizzare ID rilevatore, ID account amministratore e ID invito validi.

    Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5

Consolidamento degli account di GuardDuty amministratore in un unico account di amministratore delegato GuardDuty dell'organizzazione

GuardDuty consiglia di utilizzare l'associazione attraverso AWS Organizations per gestire gli account dei membri con un account amministratore delegato. GuardDuty È possibile utilizzare il processo di esempio descritto di seguito per consolidare l'account amministratore e il membro associato su invito in un'organizzazione in un unico account amministratore GuardDuty delegato GuardDuty .

Nota

Gli account che sono già gestiti da un account GuardDuty amministratore delegato o gli account dei membri attivi associati all'account GuardDuty amministratore delegato non possono essere aggiunti a un altro account amministratore delegato. GuardDuty Ogni organizzazione può avere un solo account GuardDuty amministratore delegato per regione e ogni account membro può avere un solo account amministratore delegato. GuardDuty

Scegli uno dei metodi di accesso per consolidare gli account GuardDuty amministratore in un unico account amministratore delegato GuardDuty .

Console

  1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

    Per accedere, utilizza le credenziali dell'account di gestione dell'organizzazione.

  2. Tutti gli account che desideri gestire GuardDuty devono far parte della tua organizzazione. Per informazioni sull'aggiunta di un account alla tua organizzazione, vedi Invitare un utente Account AWS a entrare a far parte della tua organizzazione.

  3. Assicurati che tutti gli account membro siano associati all'account che desideri designare come unico account amministratore delegato GuardDuty . Disassocia qualsiasi account membro che è ancora associato agli account amministratore preesistenti.

    I seguenti passaggi sono utili per disassociare gli account membri dall'account amministratore preesistente:

    1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

    2. Per accedere, utilizza le credenziali dell'account amministratore preesistente.

    3. Dal riquadro di navigazione, selezionare Accounts (Account).

    4. Nella pagina Account, seleziona uno o più account che desideri disassociare dall'account amministratore.

    5. Scegli Operazioni, quindi Disassocia account.

    6. Scegli Conferma per completare il passaggio.

  4. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Per accedere, utilizza le credenziali dell'account di gestione.

  5. Nel pannello di navigazione scegli Impostazioni. Nella pagina Impostazioni, designa l'account GuardDuty amministratore delegato per l'organizzazione.

  6. Accedere all'account amministratore delegato designato. GuardDuty

  7. Aggiungi membri dall'organizzazione. Per ulteriori informazioni, consulta Gestione GuardDuty degli account con AWS Organizations.

API/CLI

  1. Tutti gli account che desideri gestire GuardDuty devono far parte della tua organizzazione. Per informazioni sull'aggiunta di un account alla tua organizzazione, vedi Invitare un utente Account AWS a entrare a far parte della tua organizzazione.

  2. Assicurati che tutti gli account membro siano associati all'account che desideri designare come unico account amministratore delegato GuardDuty .

    1. Esegui DisassociateMembersper dissociare qualsiasi account membro ancora associato agli account amministratore preesistenti.

    2. In alternativa, puoi usare AWS Command Line Interface per eseguire il seguente comando e sostituirlo 777777777777 con l'ID del rilevatore dell'account amministratore preesistente da cui desideri dissociare l'account membro. Replace (Sostituisci) 666666666666 con l' Account AWS ID dell'account membro da cui desideri dissociare. 

      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666

  3. Esegui EnableOrganizationAdminAccountper delegare un Account AWS account come amministratore delegato. GuardDuty

    In alternativa, puoi usare AWS Command Line Interface per eseguire il seguente comando per delegare un account amministratore delegato GuardDuty :

    aws guardduty enable-organization-admin-account --admin-account-id 777777777777

  4. Aggiungi membri dall'organizzazione. Per ulteriori informazioni, consulta Create or add member member accounts using API.
Importante

Per massimizzare l'efficacia di un servizio regionale GuardDuty, ti consigliamo di designare il tuo account GuardDuty amministratore delegato e aggiungere tutti gli account membro in ogni regione.

Abilita più account GuardDuty contemporaneamente

Utilizza il seguente metodo per abilitare GuardDuty più account contemporaneamente.

Usa gli script Python per abilitare più account GuardDuty contemporaneamente

Puoi automatizzare l'attivazione o la disabilitazione di GuardDuty su più account utilizzando gli script del repository di esempio negli script multiaccount di Amazon GuardDuty . Utilizza la procedura descritta in questa sezione GuardDuty per abilitare un elenco di account membri che utilizzano AmazonEC2. Per informazioni sull'utilizzo dello script di disabilitazione o sulla configurazione dello script localmente, consulta le istruzioni contenute nel link condiviso.

Lo enableguardduty.py script abilita GuardDuty, invia gli inviti dall'account amministratore e accetta gli inviti in tutti gli account dei membri. Il risultato è un GuardDuty account amministratore che contiene tutti i risultati di sicurezza per tutti gli account dei membri. Poiché GuardDuty è isolato per regione, i risultati di ogni account membro vengono aggregati alla regione corrispondente nell'account amministratore. Ad esempio, la regione us-east-1 nell' GuardDuty account amministratore contiene i risultati di sicurezza per tutti i risultati us-east-1 di tutti gli account membro associati.

Questi script dipendono da un IAM ruolo condiviso con la politica gestita:. AWS politica gestita: AmazonGuardDutyFullAccess Questa politica consente alle entità di accedere GuardDuty e deve essere presente nell'account amministratore e in ogni account per il quale si desidera abilitare. GuardDuty

Il seguente processo è abilitato per impostazione predefinita GuardDuty in tutte le regioni disponibili. È possibile GuardDuty abilitarlo solo nelle regioni specificate utilizzando l'--enabled_regionsargomento opzionale e fornendo un elenco di regioni separate da virgole. È inoltre possibile personalizzare facoltativamente il messaggio di invito inviato agli account membri aprendo enableguardduty.py e modificando la stringa gd_invite_message.

  1. Crea un IAM ruolo nell'account GuardDuty amministratore e allega la AWS politica gestita: AmazonGuardDutyFullAccess politica da abilitare. GuardDuty

  2. Crea un IAM ruolo in ogni account membro che desideri venga gestito dal tuo account GuardDuty amministratore. Questo ruolo deve avere lo stesso nome del ruolo creato nel passaggio 1, deve consentire l'accesso all'account amministratore come entità attendibile e deve avere la stessa politica di AmazonGuardDutyFullAccess gestione descritta in precedenza.

  3. Avviare una nuova istanza di Amazon Linux con un ruolo allegato che abbia la seguente relazione di trust per consentire all'istanza di assumere un ruolo di servizio.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. Accedere alla nuova istanza ed eseguire i seguenti comandi per configurarla.

    sudo yum install git python 
sudo yum install python-pip
pip install boto3 
aws configure 
git clone https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.git
cd amazon-guardduty-multiaccount-scripts 
sudo chmod +x disableguardduty.py enableguardduty.py

  5. Crea un CSV file contenente un elenco di account IDs e di e-mail degli account dei membri a cui hai aggiunto un ruolo nel passaggio 2. Gli account devono essere visualizzati uno per riga e l'ID account e l'indirizzo di posta elettronica devono essere separati da una virgola, come nell'esempio seguente.

    111122223333,guardduty-member@organization.com
    Nota

    Il CSV file deve trovarsi nella stessa posizione enableguardduty.py dello script. Puoi copiare un CSV file esistente da Amazon S3 nella directory corrente con il seguente metodo. 

    aws s3 cp s3://my-bucket/my_key_name example.csv

  6. Eseguire lo script Python. Assicurati di fornire come argomenti l'ID del tuo account GuardDuty amministratore, il nome del ruolo creato nei primi passaggi e il nome del CSV file.

    python enableguardduty.py --master_account 444455556666 --assume_role roleName accountID.csv