Designar uma conta de GuardDuty administrador delegado e gerenciar membros usando o console GuardDuty

Etapa 1 — Designar uma conta de GuardDuty administrador delegado para sua organização

1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

   Para fazer login, use as credenciais da conta de gerenciamento de sua organização da AWS Organizations .

2. Se você já ativou GuardDuty a conta de gerenciamento, pule esta etapa e siga a próxima etapa.

   Se você GuardDuty ainda não ativou, selecione Começar e, em seguida, designe uma conta de GuardDuty administrador delegado na página Bem-vindo ao GuardDuty.

   nota

   A conta de gerenciamento deve ter a função GuardDuty vinculada ao serviço (SLR) para que a conta do GuardDuty administrador delegado possa ser ativada e GuardDuty gerenciada nessa conta. Depois de habilitar GuardDuty em uma região para a conta de gerenciamento, essa SLR é criada automaticamente.

3. Execute essa etapa depois de habilitar GuardDuty a conta de gerenciamento. No painel de navegação do GuardDuty console, escolha Configurações. Na página Configurações, insira o Conta da AWS ID de 12 dígitos da conta que você deseja designar como a conta de GuardDuty administrador delegado da organização.

   Certifique-se de habilitar sua conta GuardDuty de GuardDuty administrador delegado recém-designada, caso contrário, ela não poderá realizar nenhuma ação.

4. Escolha Delegar.

5. (Recomendado) Repita a etapa anterior para designar a conta de GuardDuty administrador delegado em cada uma das áreas em Região da AWS que você GuardDuty ativou.

Etapa 2 — Configurando as preferências de ativação automática para sua organização

1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

   Para entrar, use as credenciais da conta de GuardDuty administrador.

2. No painel de navegação, escolha Accounts (Contas).

   A página Contas fornece opções de configuração para a conta do GuardDuty administrador ser ativada automaticamente GuardDuty e os planos de proteção opcionais em nome das contas membros que pertencem à organização.

3. Para atualizar as configurações de ativação automática existentes, escolha Editar.

   

   Esse suporte está disponível para configuração GuardDuty e para todos os planos de proteção opcionais compatíveis em seu Região da AWS. Você pode selecionar uma das seguintes opções de configuração GuardDuty em nome de suas contas de membros:

   • Ativar para todas as contas (ALL) — Selecione para ativar a opção correspondente para todas as contas em uma organização. Isso inclui novas contas que ingressam na organização e aquelas contas que podem ter sido suspensas ou removidas da organização. Isso também inclui a conta de GuardDuty administrador delegado.

     nota

     Pode levar até 24 horas para atualizar a configuração de todas as contas dos membros.

   • Ativação automática para novas contas (NEW) — Selecione para ativar GuardDuty ou ativar os planos de proteção opcionais somente para novas contas de membros automaticamente quando elas ingressarem na sua organização.

   • Não habilitar (NONE) — Selecione para evitar a ativação da opção correspondente para novas contas em sua organização. Nesse caso, a conta GuardDuty do administrador gerenciará cada conta individualmente.

     Quando você atualiza a configuração de ativação automática de ALL ou NEW paraNONE, essa ação não desativa a opção correspondente para suas contas existentes. Essa configuração se aplicará às novas contas que ingressarem na organização. Depois de atualizar as configurações de ativação automática, nenhuma nova conta terá a opção correspondente ativada.

   nota

   Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (NEW) ou para todas as contas de membros (ALL), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra Contas no painel de navegação do GuardDuty console ou use a ListMembersAPI.

4. Escolha Salvar alterações.

5. (Opcional) se você quiser usar as mesmas preferências em cada região, atualize suas preferências em cada uma das regiões suportadas separadamente.

   Alguns dos planos de proteção opcionais podem não estar disponíveis em todos os Regiões da AWS lugares GuardDuty disponíveis. Para ter mais informações, consulte Regiões e endpoints.

Etapa 3: adicionar contas como membros da organização

1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

   Para fazer login, use as credenciais da conta de GuardDuty administrador delegado.

2. No painel de navegação, escolha Accounts (Contas).

   A tabela de contas exibe todas as contas que são adicionadas Via Organizations (AWS Organizations) ou Por convite. Se uma conta de membro não estiver associada à conta de GuardDuty administrador da organização, o status dessa conta de membro será Não membro.

3. Selecione um ou vários IDs de conta que você deseja adicionar como membros. Esses IDs de conta devem ter o Tipo de Via Organizations.

   As contas adicionadas por meio de convite não fazem parte da sua organização. Você pode gerenciar essas contas individualmente. Para ter mais informações, consulte Gerenciando contas por convite.

4. Escolha o menu suspenso Ações e escolha Adicionar membro. Depois de adicionar essa conta como membro, a GuardDuty configuração de ativação automática será aplicada. Com base nas configurações emEtapa 1 — Designar uma conta de GuardDuty administrador delegado para sua organização, a GuardDuty configuração dessas contas pode mudar.

5. Você pode selecionar a seta para baixo da coluna Status para classificar as contas pelo status Não é membro e, em seguida, escolher cada conta que não GuardDuty esteja ativada na região atual.

   Se nenhuma das contas listadas na tabela de contas ainda tiver sido adicionada como membro, você poderá habilitar GuardDuty na região atual todas as contas da organização. Escolha a opção para habilitar na faixa na parte superior da página. Essa ação ativa automaticamente a GuardDuty configuração de ativação automática para que seja GuardDuty habilitada para qualquer nova conta que ingresse na organização.

6. Selecione Confirmar para adicionar as contas como membros. Essa ação também é GuardDuty ativada para todas as contas selecionadas. O Status das contas convidadas será alterado para Habilitado.

7. (Recomendado) Repita essas etapas em cada uma Região da AWS. Isso garante que a conta de GuardDuty administrador delegado possa gerenciar descobertas e outras configurações para contas de membros em todas as regiões em que GuardDuty você habilitou.

   O recurso de ativação automática habilita todos GuardDuty os futuros membros de sua organização. Isso permite que sua conta de GuardDuty administrador delegado gerencie quaisquer novos membros criados ou adicionados à organização. Quando o número de contas de membros atinge o limite de 50.000, o recurso de ativação automática é desativado automaticamente. Se você remover uma conta de membro e o número total de membros diminuir para menos de 50.000, o recurso de ativação automática será ativado novamente.

(Opcional) etapa 4 — Configurar planos de proteção para contas individuais

Você pode configurar planos de proteção para contas individuais na página Contas.

1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

   Use as credenciais da conta de GuardDuty administrador delegado.

2. No painel de navegação, escolha Accounts (Contas).

3. Selecione uma ou mais contas para as quais você deseja configurar um plano de proteção. Repita as etapas a seguir para cada plano de proteção que você deseja configurar:

   1. Selecione Editar planos de proteção.

   2. Na lista de planos de proteção, escolha um plano de proteção que deseja configurar.

   3. Selecione uma das ações que você deseja realizar para esse plano de proteção e, em seguida, selecione Confirmar.

   4. Para a conta selecionada, a coluna correspondente ao plano de proteção configurado mostrará a configuração atualizada como Habilitada ou Não habilitada.