Convidar contas individuais para um gráfico de comportamento (Console)Convidar uma lista de contas-membro para um gráfico de comportamento (Console)Convidar contas de membros para um gráfico de comportamento (Detective API,) AWS CLI Adicionar uma lista de contas de membros em todas as regiões (script Python ativado) GitHub

Convidar contas-membro para um gráfico de comportamento

Uma conta de administrador pode convidar contas para contribuírem um gráfico de comportamento. Um gráfico de comportamento pode conter até 1.200 contas-membro.

Em um alto nível, o processo para convidar contas para contribuírem em um gráfico de comportamento é o seguinte.

Para cada conta de membro a ser adicionada, a conta de administrador fornece o identificador da AWS conta e o endereço de e-mail do usuário raiz.
O Detective valida se o endereço de e-mail é o endereço de e-mail do usuário raiz da conta.

Detective não realiza essa validação nas regiões (Leste dos EUA) ou AWS GovCloud AWS GovCloud (Oeste dos EUA).
Se as informações da conta forem válidas, o Detective envia o convite para a conta-membro.

Detective nunca envia convites por e-mail para contas de membros nas regiões (Leste dos EUA) ou AWS GovCloud AWS GovCloud (Oeste dos EUA).

Para outras regiões, a API do Detective inclui a opção de não enviar convites para as contas-membro.

Essa opção é útil para contas gerenciadas centralmente.
A conta-membro aceita ou recusa o convite.

Mesmo que a conta de administrador não envie e-mails de convite, a conta-membro ainda deverá responder ao convite.
Se a conta do membro aceitar o convite, o Detective verifica se a conta do membro é GuardDuty cliente da Amazon há pelo menos 48 horas.

Em caso afirmativo, o Detective verifica se os dados da conta-membro fariam com que a taxa de dados do gráfico de comportamento excedesse a cota.

Essa verificação pode levar entre 24 e 48 horas.

Enquanto o Detective verifica a taxa de dados, o status da conta-membro é Não habilitado.
Se a conta-membro passar pelas duas verificações, o status será automaticamente atualizado para Habilitado. O Detective começa a ingestão de dados da conta-membro no gráfico de comportamento.

Se a conta falhar em uma dessas verificações, o status da conta-membro permanecerá Não habilitado. A conta-membro não contribui com dados no gráfico de comportamento.
Assim que a conta-membro puder ser habilitada, o Detective altera automaticamente o status para Habilitado.

Por exemplo, o status da conta do membro muda para Ativada se a conta do membro for ativada GuardDuty e o Detective verificar se o volume de dados não é muito grande ou se a conta do administrador remover outras contas do membro para abrir espaço para uma conta.

Se mais de uma conta estiver Não habilitado, o Detective habilitará as contas na ordem em que foram convidadas. O processo para verificar se alguma conta com status Não habilitado será habilitada é feito a cada hora.

A conta de administrador também pode habilitar as contas manualmente, em vez de esperar pelo processo automático. Por exemplo, a conta de administrador pode selecionar as contas a serem habilitadas. Consulte Habilitar uma conta-membro com status Não habilitado.

Observe que o Detective começou a habilitar automaticamente contas com o status Não habilitado em 12 de maio de 2021. As contas com status Não habilitado antes dessa data não são habilitadas automaticamente. A conta de administrador deve habilitá-las manualmente.

Convidar contas individuais para um gráfico de comportamento (Console)

Você pode especificar manualmente as contas-membro a serem convidadas para contribuírem com seus dados para um gráfico de comportamento.

Para selecionar manualmente as contas-membro a serem convidadas (console)

Abra o console do Amazon Detective em https://console.aws.amazon.com/detective/.
No painel de navegação do Detective, escolha Gerenciamento de contas.
Escolha Ações. Em seguida, escolha Convidar contas.
Em Adicionar contas, escolha Adicionar contas individuais.
Para adicionar uma conta-membro à lista de convites, execute as etapas a seguir.
1. Escolha Adicionar conta.
2. Em ID AWS da conta, insira a ID da AWS conta.
3. Em Endereço de e-mail, insira o endereço de e-mail da conta do usuário raiz.
Para remover uma conta da lista, escolha Remover essa conta.
Em Personalizar e-mail de convite, adicione conteúdo personalizado para incluir no e-mail de convite.

Por exemplo, você pode usar essa área para fornecer informações de contato. Ou use-o para lembrar à conta-membro de que é necessário anexar a política do IAM necessária ao usuário ou à função antes de aceitar o convite.
A política do IAM da conta-membro contém o texto da política do IAM necessária para as contas-membro. O convite por e-mail inclui esse texto da política. Para copiar o texto da política, escolha Copiar.
Escolha Convidar.

Convidar uma lista de contas-membro para um gráfico de comportamento (Console)

No console do Detective, você pode fornecer um arquivo .csv contendo uma lista de contas-membro a serem convidadas para seu gráfico de comportamento.

A primeira linha do arquivo é a linha de cabeçalho. Cada conta é listada em uma linha separada. Cada entrada da conta do membro contém o ID da AWS conta e o endereço de e-mail do usuário raiz da conta.

Exemplo:


Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com

Quando o Detective processa o arquivo, ele ignora as contas que já foram convidadas, a menos que o status da conta seja Verificação falhou. Esse status indica que o endereço de e-mail fornecido para a conta não corresponde ao endereço de e-mail do usuário raiz da conta. Nesse caso, o Detective exclui o convite original e tenta verificar o endereço de e-mail e enviar o convite outra vez.

Essa opção também fornece um modelo que pode ser usado para criar a lista de contas.

Para convidar contas-membro de uma lista em .csv (console)

Abra o console do Amazon Detective em https://console.aws.amazon.com/detective/.
No painel de navegação do Detective, escolha Gerenciamento de contas.
Escolha Ações. Em seguida, escolha Convidar contas.
Em Adicionar contas, escolha Adicionar de um .csv.
Para baixar um arquivo de modelo para trabalhar, escolha Baixar modelo em .csv.
Para selecionar o arquivo contendo a lista de contas, escolha Escolher arquivo em .csv.
Em Revisar contas-membro, verifique a lista de contas-membro que o Detective encontrou no arquivo.
Em Personalizar e-mail de convite, adicione conteúdo personalizado para incluir no e-mail de convite.

Por exemplo, você pode fornecer informações de contato ou lembrar à conta-membro sobre a política do IAM necessária.
A política do IAM da conta-membro contém o texto da política do IAM necessária para as contas-membro. O convite por e-mail inclui esse texto da política. Para copiar o texto da política, escolha Copiar.
Escolha Convidar.

Convidar contas de membros para um gráfico de comportamento (Detective API,) AWS CLI

Você pode usar a Detective API ou a AWS Command Line Interface para convidar contas de membros a contribuir com seus dados para um gráfico de comportamento. Para obter o ARN do gráfico de comportamento para usar na solicitação, use a operação ListGraphs.

Para convidar contas de membros para um gráfico de comportamento (Detective API,) AWS CLI

API do Detective: use a operação CreateMembers. Você deve fornecer o ARN do gráfico. Para cada conta, especifique o identificador da conta e o endereço de e-mail do usuário raiz.

Para não enviar e-mails de convite para as contas-membro, defina DisableEmailNotification como verdadeiro. Por padrão, DisableEmailNotification é falso.

Se você enviar e-mails de convite, você pode optar por adicionar texto personalizado ao e-mail de convite.

AWS CLI: na linha de comando, execute o comando create-members.


aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --message "<Custom message text>"

Exemplo


aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."

Para indicar que e-mails de convite não devem ser enviados a contas-membro, inclua --disable-email-notification.


aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --disable-email-notification

Exemplo


aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification

Adicionar uma lista de contas de membros em todas as regiões (script Python ativado) GitHub

Detective fornece um script de código aberto GitHub que permite que você faça o seguinte:

Adicionar uma lista específica de contas-membro aos gráficos de comportamento de uma conta de administrador em uma lista específica de regiões.
Se a conta de administrador não tiver um gráfico de comportamento em uma região, o script também habilitará o Detective e criará o gráfico de comportamento nessa região.
Enviar e-mails de convite para as contas-membro.
Aceitar automaticamente os convites para as contas-membro.

Para obter informações sobre como configurar e usar os GitHub scripts, consulteUsando os scripts do Amazon Detective Python para gerenciar contas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar contas convidadas

Habilitar uma conta-membro com status Não habilitado