As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Convidar contas-membro para um gráfico de comportamento
Uma conta de administrador pode convidar contas para contribuírem um gráfico de comportamento. Um gráfico de comportamento pode conter até 1.200 contas-membro.
Em um alto nível, o processo para convidar contas para contribuírem em um gráfico de comportamento é o seguinte.
-
Para cada conta de membro a ser adicionada, a conta de administrador fornece o identificador da AWS conta e o endereço de e-mail do usuário raiz.
-
O Detective valida se o endereço de e-mail é o endereço de e-mail do usuário raiz da conta.
Detective não realiza essa validação nas regiões (Leste dos EUA) ou AWS GovCloud AWS GovCloud (Oeste dos EUA).
-
Se as informações da conta forem válidas, o Detective envia o convite para a conta-membro.
Detective nunca envia convites por e-mail para contas de membros nas regiões (Leste dos EUA) ou AWS GovCloud AWS GovCloud (Oeste dos EUA).
Para outras regiões, a API do Detective inclui a opção de não enviar convites para as contas-membro.
Essa opção é útil para contas gerenciadas centralmente.
-
A conta-membro aceita ou recusa o convite.
Mesmo que a conta de administrador não envie e-mails de convite, a conta-membro ainda deverá responder ao convite.
-
Se a conta do membro aceitar o convite, o Detective verifica se a conta do membro é GuardDuty cliente da Amazon há pelo menos 48 horas.
Em caso afirmativo, o Detective verifica se os dados da conta-membro fariam com que a taxa de dados do gráfico de comportamento excedesse a cota.
Essa verificação pode levar entre 24 e 48 horas.
Enquanto o Detective verifica a taxa de dados, o status da conta-membro é Não habilitado.
-
Se a conta-membro passar pelas duas verificações, o status será automaticamente atualizado para Habilitado. O Detective começa a ingestão de dados da conta-membro no gráfico de comportamento.
Se a conta falhar em uma dessas verificações, o status da conta-membro permanecerá Não habilitado. A conta-membro não contribui com dados no gráfico de comportamento.
-
Assim que a conta-membro puder ser habilitada, o Detective altera automaticamente o status para Habilitado.
Por exemplo, o status da conta do membro muda para Ativada se a conta do membro for ativada GuardDuty e o Detective verificar se o volume de dados não é muito grande ou se a conta do administrador remover outras contas do membro para abrir espaço para uma conta.
Se mais de uma conta estiver Não habilitado, o Detective habilitará as contas na ordem em que foram convidadas. O processo para verificar se alguma conta com status Não habilitado será habilitada é feito a cada hora.
A conta de administrador também pode habilitar as contas manualmente, em vez de esperar pelo processo automático. Por exemplo, a conta de administrador pode selecionar as contas a serem habilitadas. Consulte Habilitar uma conta-membro com status Não habilitado.
Observe que o Detective começou a habilitar automaticamente contas com o status Não habilitado em 12 de maio de 2021. As contas com status Não habilitado antes dessa data não são habilitadas automaticamente. A conta de administrador deve habilitá-las manualmente.
Convidar contas individuais para um gráfico de comportamento (Console)
Você pode especificar manualmente as contas-membro a serem convidadas para contribuírem com seus dados para um gráfico de comportamento.
Para selecionar manualmente as contas-membro a serem convidadas (console)
-
Abra o console do Amazon Detective em https://console.aws.amazon.com/detective/
. -
No painel de navegação do Detective, escolha Gerenciamento de contas.
-
Escolha Ações. Em seguida, escolha Convidar contas.
-
Em Adicionar contas, escolha Adicionar contas individuais.
-
Para adicionar uma conta-membro à lista de convites, execute as etapas a seguir.
-
Escolha Adicionar conta.
-
Em ID AWS da conta, insira a ID da AWS conta.
-
Em Endereço de e-mail, insira o endereço de e-mail da conta do usuário raiz.
-
-
Para remover uma conta da lista, escolha Remover essa conta.
-
Em Personalizar e-mail de convite, adicione conteúdo personalizado para incluir no e-mail de convite.
Por exemplo, você pode usar essa área para fornecer informações de contato. Ou use-o para lembrar à conta-membro de que é necessário anexar a política do IAM necessária ao usuário ou à função antes de aceitar o convite.
-
A política do IAM da conta-membro contém o texto da política do IAM necessária para as contas-membro. O convite por e-mail inclui esse texto da política. Para copiar o texto da política, escolha Copiar.
-
Escolha Convidar.
Convidar uma lista de contas-membro para um gráfico de comportamento (Console)
No console do Detective, você pode fornecer um arquivo .csv
contendo uma lista de contas-membro a serem convidadas para seu gráfico de comportamento.
A primeira linha do arquivo é a linha de cabeçalho. Cada conta é listada em uma linha separada. Cada entrada da conta do membro contém o ID da AWS conta e o endereço de e-mail do usuário raiz da conta.
Exemplo:
Account ID,Email address 111122223333,srodriguez@example.com 444455556666,rroe@example.com
Quando o Detective processa o arquivo, ele ignora as contas que já foram convidadas, a menos que o status da conta seja Verificação falhou. Esse status indica que o endereço de e-mail fornecido para a conta não corresponde ao endereço de e-mail do usuário raiz da conta. Nesse caso, o Detective exclui o convite original e tenta verificar o endereço de e-mail e enviar o convite outra vez.
Essa opção também fornece um modelo que pode ser usado para criar a lista de contas.
Para convidar contas-membro de uma lista em .csv (console)
-
Abra o console do Amazon Detective em https://console.aws.amazon.com/detective/
. -
No painel de navegação do Detective, escolha Gerenciamento de contas.
-
Escolha Ações. Em seguida, escolha Convidar contas.
-
Em Adicionar contas, escolha Adicionar de um .csv.
-
Para baixar um arquivo de modelo para trabalhar, escolha Baixar modelo em .csv.
-
Para selecionar o arquivo contendo a lista de contas, escolha Escolher arquivo em .csv.
-
Em Revisar contas-membro, verifique a lista de contas-membro que o Detective encontrou no arquivo.
-
Em Personalizar e-mail de convite, adicione conteúdo personalizado para incluir no e-mail de convite.
Por exemplo, você pode fornecer informações de contato ou lembrar à conta-membro sobre a política do IAM necessária.
-
A política do IAM da conta-membro contém o texto da política do IAM necessária para as contas-membro. O convite por e-mail inclui esse texto da política. Para copiar o texto da política, escolha Copiar.
-
Escolha Convidar.
Convidar contas de membros para um gráfico de comportamento (Detective API,) AWS CLI
Você pode usar a Detective API ou a AWS Command Line Interface para convidar contas de membros a contribuir com seus dados para um gráfico de comportamento. Para obter o ARN do gráfico de comportamento para usar na solicitação, use a operação ListGraphs
.
Para convidar contas de membros para um gráfico de comportamento (Detective API,) AWS CLI
-
API do Detective: use a operação
CreateMembers
. Você deve fornecer o ARN do gráfico. Para cada conta, especifique o identificador da conta e o endereço de e-mail do usuário raiz.Para não enviar e-mails de convite para as contas-membro, defina
DisableEmailNotification
como verdadeiro. Por padrão,DisableEmailNotification
é falso.Se você enviar e-mails de convite, você pode optar por adicionar texto personalizado ao e-mail de convite.
-
AWS CLI: na linha de comando, execute o comando
create-members
.aws detective create-members --accounts AccountId=
<AWS account ID>
,EmailAddress=<root user email address>
--graph-arn<behavior graph ARN>
--message "<Custom message text>
"Exemplo
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."
Para indicar que e-mails de convite não devem ser enviados a contas-membro, inclua
--disable-email-notification
.aws detective create-members --accounts AccountId=
<AWS account ID>
,EmailAddress=<root user email address>
--graph-arn<behavior graph ARN>
--disable-email-notificationExemplo
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
Adicionar uma lista de contas de membros em todas as regiões (script Python ativado) GitHub
Detective fornece um script de código aberto GitHub que permite que você faça o seguinte:
-
Adicionar uma lista específica de contas-membro aos gráficos de comportamento de uma conta de administrador em uma lista específica de regiões.
-
Se a conta de administrador não tiver um gráfico de comportamento em uma região, o script também habilitará o Detective e criará o gráfico de comportamento nessa região.
-
Enviar e-mails de convite para as contas-membro.
-
Aceitar automaticamente os convites para as contas-membro.
Para obter informações sobre como configurar e usar os GitHub scripts, consulteUsando os scripts do Amazon Detective Python para gerenciar contas.