Adicionar e gerenciar contas por convites Consolidação de contas de GuardDuty administrador em uma única conta de administrador delegado GuardDuty da organização Habilite GuardDuty em várias contas simultaneamente

Gerenciando GuardDuty contas por convite

Para gerenciar contas fora da organização, é possível usar o método de convite legado. Ao usar esse método, sua conta é designada como uma conta de administrador quando outra conta aceita seu convite para se tornar uma conta-membro.

Se sua conta não for uma conta de administrador, você poderá aceitar um convite de outra conta. Quando você aceitar, sua conta se tornará uma conta-membro. Uma AWS conta não pode ser uma conta de GuardDuty administrador e uma conta de membro ao mesmo tempo.

Ao aceitar um convite de uma conta, você não pode aceitar um convite de outra conta. Para aceitar um convite de outra conta, primeiro você precisará desassociar sua conta da conta de administrador existente. Como alternativa, a conta do administrador também pode desassociar e remover sua conta da organização.

As contas associadas por convite têm o mesmo account-to-member relacionamento geral de administrador que as contas associadas por AWS Organizations, conforme descrito emEntendendo a relação entre a conta GuardDuty do administrador e as contas dos membros. No entanto, os usuários da conta de administrador de convites não podem ativar GuardDuty contas de membros associadas ou visualizar outras contas de não membros em sua AWS Organizations organização.

Importante

A transferência de dados entre regiões pode ocorrer ao GuardDuty criar contas de membros usando esse método. Para verificar os endereços de e-mail das contas dos membros, GuardDuty usa um serviço de verificação de e-mail que opera somente na região Leste dos EUA (Norte da Virgínia).

Adicionar e gerenciar contas por convites

Escolha um dos métodos de acesso para adicionar e convidar contas para se tornarem contas de GuardDuty membros como conta de GuardDuty administrador.

Console

Etapa 1 – Adicionar uma conta

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
No painel de navegação, escolha Accounts (Contas).
Escolha Add accounts by invitation (Adicionar contas por convite) no painel superior.
Na página Adicionar contas de membros, em Inserir detalhes da conta, insira o Conta da AWS ID e o endereço de e-mail associados à conta que você deseja adicionar.
Para adicionar outra linha para inserir os detalhes da conta, um por vez, escolha Adicionar outra conta. Você também pode escolher Carregar arquivo.csv com detalhes da conta para adicionar contas em massa.
Importante
A primeira linha do arquivo .csv deve conter o cabeçalho, como ilustrado no exemplo a seguir: Account ID,Email. Cada linha subsequente deve conter uma única Conta da AWS ID válida e o endereço de e-mail associado. O formato de uma linha é válido se ela contiver somente uma Conta da AWS ID e o endereço de e-mail associado separados por uma vírgula.
```
Account ID,Email
                                555555555555,user@example.com
```
Depois de adicionar todos os detalhes das contas, escolha Próximo. Você pode ver as contas recém-adicionadas na tabela Contas. O status dessas contas será Convite não enviado. Para obter informações sobre como enviar um convite para uma ou mais contas adicionadas, consulte Step 2 - Invite an account.

Etapa 2 – Convidar uma conta

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
No painel de navegação, escolha Accounts (Contas).
Selecione uma ou mais contas que você deseja convidar para a Amazon GuardDuty.
Selecione o menu suspenso Ações e, em seguida, selecione Convidar.
Na caixa de GuardDuty diálogo Convite para, insira uma mensagem de convite (opcional).

Se a conta convidada não tiver acesso a e-mail, marque a caixa de seleção Enviar também uma notificação por e-mail para o usuário raiz na Conta da AWS do convidado e gerar um alerta no AWS Health Dashboard do convidado.
Selecione Send invitation (Enviar convite). Se os convidados tiverem acesso ao endereço de e-mail especificado, eles poderão ver o convite abrindo o GuardDuty console em https://console.aws.amazon.com/guardduty/.
Quando um convidado aceita o convite, o valor na coluna Status muda para Convidado. Para obter informações sobre como gerenciar um convite, consulte Step 3 - Accept an invitation.

Etapa 3 – Aceitar um convite

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

Importante
Você deve habilitar GuardDuty antes de poder ver ou aceitar um convite de associação.
Faça o seguinte somente se você GuardDuty ainda não tiver ativado; caso contrário, você pode pular essa etapa e continuar com a próxima etapa.

Se você ainda não habilitou GuardDuty, escolha Get Started na GuardDuty página da Amazon.

Na GuardDuty página Bem-vindo ao, escolha Ativar GuardDuty.
Depois de ativar GuardDuty sua conta, use as etapas a seguir para aceitar o convite de associação:
1. No painel de navegação, selecione Configurações.
2. Escolha Accounts.
3. Em Contas, certifique-se de verificar o proprietário da conta da qual você aceita o convite. Habilite a opção Aceitar para aceitar o convite de membro.
Depois de aceitar o convite, sua conta se torna uma conta de GuardDuty membro. A conta cujo proprietário enviou o convite se torna a conta GuardDuty do administrador. A conta do administrador saberá que você aceitou o convite. A tabela de contas em sua GuardDuty conta será atualizada. O valor na coluna Status correspondente ao ID da sua conta de membro será alterado para Ativado. O proprietário da conta de administrador agora pode visualizar GuardDuty e gerenciar as configurações do plano de proteção em nome da sua conta. A conta do administrador também pode visualizar e gerenciar GuardDuty as descobertas geradas para sua conta de membro.

API/CLI

Você pode designar uma conta de GuardDuty administrador e criar ou adicionar contas de GuardDuty membros por convite por meio das operações da API. Execute as seguintes operações de GuardDuty API para designar contas de administrador e contas de membros em GuardDuty.

Conclua o procedimento a seguir usando as credenciais da Conta da AWS que você deseja designar como conta de GuardDuty administrador.

Criação ou adição de contas-membro

Execute a operação da CreateMembersAPI usando as credenciais da AWS conta que foi GuardDuty ativada. Essa é a conta que você deseja que seja a GuardDuty conta de administrador.

Você deve especificar o ID do detector da AWS conta atual e o ID da conta e o endereço de e-mail das contas das quais você deseja que se tornem GuardDuty membros. É possível criar um ou mais membros com essa operação de API.

Você também pode usar as ferramentas de linha de AWS comando para designar uma conta de administrador executando o seguinte comando da CLI. Use seu próprio ID de detector válido, ID da conta e e-mail.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/.
```
aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
```
Execute InviteMembersusando as credenciais da AWS conta que foi GuardDuty ativada. Essa é a conta que você deseja que seja a GuardDuty conta de administrador.

Você deve especificar o ID do detector da AWS conta atual e os IDs das contas das quais você deseja que se tornem GuardDuty membros. Você pode convidar um ou mais membros com essa operação de API.

nota
Você também pode especificar uma mensagem de convite opcional usando o parâmetro de solicitação message.

Você também pode usar AWS Command Line Interface para designar contas de membros executando o comando a seguir. Use seu próprio ID de detector e IDs válidos das contas que você deseja convidar.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/.
```
aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
```

Como aceitar convites

Conclua o procedimento a seguir usando as credenciais de cada AWS conta que você deseja designar como conta de GuardDuty membro.

Execute a operação da CreateDetectorAPI para cada AWS conta que foi convidada para se tornar uma conta GuardDuty membro e que você deseja aceitar um convite.

Você deve especificar se o recurso do detector deve ser ativado usando o GuardDuty serviço. Um detector deve ser criado e ativado para que ele GuardDuty se torne operacional. Você deve primeiro habilitar GuardDuty antes de aceitar um convite.

Você também pode fazer isso usando as ferramentas de linha de AWS comando usando o seguinte comando da CLI.
```
aws guardduty create-detector --enable
```
Execute a operação da AcceptAdministratorInvitationAPI para cada AWS conta em que você deseja aceitar o convite de associação, usando as credenciais dessa conta.

Você deve especificar o ID do detector dessa AWS conta para a conta do membro, o ID da conta do administrador que enviou o convite e o ID do convite que você está aceitando. É possível encontrar o ID da conta de administrador no e-mail de convite ou usando a operação de API ListInvitations.

Você também pode aceitar um convite usando as ferramentas de linha de AWS comando executando o seguinte comando da CLI. Use um ID de detector válido, o ID da conta de administrador e ID de convite.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/.
```
aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
```

Consolidação de contas de GuardDuty administrador em uma única conta de administrador delegado GuardDuty da organização

GuardDuty recomenda usar a associação AWS Organizations para gerenciar contas de membros em uma conta de GuardDuty administrador delegado. Você pode usar o processo de exemplo descrito abaixo para consolidar a conta de administrador e o membro associado por convite em uma organização em uma única conta de administrador GuardDuty delegado GuardDuty .

nota

Contas que já estão sendo gerenciadas por uma conta de GuardDuty administrador delegado ou contas de membros ativas associadas à conta de GuardDuty administrador delegado não podem ser adicionadas a uma conta de administrador delegado GuardDuty diferente. Cada organização pode ter somente uma conta de GuardDuty administrador delegado por região, e cada conta de membro pode ter somente uma conta de GuardDuty administrador delegado.

Escolha um dos métodos de acesso para consolidar contas de GuardDuty administrador em uma única conta de GuardDuty administrador delegado.

Console

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

Para fazer login, use as credenciais da conta de gerenciamento da organização.
Todas as contas que você deseja gerenciar GuardDuty devem fazer parte da sua organização. Para obter informações sobre como adicionar uma conta à sua organização, consulte Convidar um Conta da AWS para participar da sua organização.
Verifique se todas as contas dos membros estão associadas à conta que você deseja designar como a única conta de GuardDuty administrador delegado. Desassocie qualquer conta de membro que ainda esteja associada às contas de administrador preexistentes.

As etapas a seguir ajudarão você a desassociar contas-membro da conta de administrador preexistente:
1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
2. Para fazer login, use as credenciais da conta de administrador preexistente.
3. No painel de navegação, escolha Accounts (Contas).
4. Na página Contas, selecione uma ou mais contas que você deseja desassociar da conta de administrador.
5. Selecione Ações e, em seguida, selecione Desassociar conta.
6. Selecione Confirmar para finalizar a etapa.
Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

Para fazer login, use as credenciais da conta de gerenciamento.
No painel de navegação, selecione Configurações. Na página Configurações, designe a conta de GuardDuty administrador delegado para a organização.
Faça login na conta de GuardDuty administrador delegado designada.
Adicione membros da organização. Para ter mais informações, consulte Gerenciando GuardDuty contas com AWS Organizations.

API/CLI

Todas as contas que você deseja gerenciar GuardDuty devem fazer parte da sua organização. Para obter informações sobre como adicionar uma conta à sua organização, consulte Convidar um Conta da AWS para participar da sua organização.
Verifique se todas as contas dos membros estão associadas à conta que você deseja designar como a única conta de GuardDuty administrador delegado.
1. Execute DisassociateMemberspara desassociar qualquer conta de membro que ainda esteja associada às contas de administrador preexistentes.
2. Como alternativa, você pode usar AWS Command Line Interface para executar o comando a seguir e substituir 7777777777 pelo ID do detector da conta de administrador preexistente da qual você deseja desassociar a conta do membro. Substitua 666666666666 pelo ID da Conta da AWS do membro que você deseja desassociar.
```
aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666    
```
Execute EnableOrganizationAdminAccountpara delegar uma Conta da AWS como conta de GuardDuty administrador delegado.

Como alternativa, você pode usar AWS Command Line Interface para executar o seguinte comando para delegar uma conta de GuardDuty administrador delegado:
```
aws guardduty enable-organization-admin-account --admin-account-id 777777777777
```
Adicione membros da organização. Para ter mais informações, consulte Create or add member member accounts using API.

Importante

Para maximizar a eficácia de GuardDuty um serviço regional, recomendamos que você designe sua conta de GuardDuty administrador delegado e adicione todas as suas contas de membros em cada região.

Habilite GuardDuty em várias contas simultaneamente

Use o método a seguir para habilitar GuardDuty em várias contas ao mesmo tempo.

Use scripts Python para habilitar várias GuardDuty contas simultaneamente

Você pode automatizar a ativação ou desativação de GuardDuty em várias contas usando os scripts do repositório de amostras nos scripts multicontas da Amazon GuardDuty . Use o processo nesta seção GuardDuty para habilitar uma lista de contas de membros usando o Amazon EC2. Para obter informações sobre como usar o script de desativação ou configurar o script localmente, consulte as instruções no link compartilhado.

O enableguardduty.py script ativa GuardDuty, envia convites da conta do administrador e aceita convites em todas as contas dos membros. O resultado é uma GuardDuty conta de administrador que contém todas as descobertas de segurança de todas as contas de membros. Como GuardDuty é isolado por região, as descobertas de cada conta de membro são acumuladas na região correspondente na conta do administrador. Por exemplo, a região us-east-1 em sua conta de GuardDuty administrador contém as descobertas de segurança de todas as descobertas us-east-1 de todas as contas de membros associadas.

Esses scripts dependem de uma função compartilhada do IAM com a política gerenciada – AWS política gerenciada: AmazonGuardDutyFullAccess. Essa política fornece às entidades acesso GuardDuty e deve estar presente na conta do administrador e em cada conta para a qual você deseja habilitar GuardDuty.

O processo a seguir é ativado GuardDuty em todas as regiões disponíveis por padrão. Você pode habilitar GuardDuty em regiões especificadas somente usando o --enabled_regions argumento opcional e fornecendo uma lista de regiões separadas por vírgulas. Você também pode personalizar a mensagem de convite enviada para contas-membro abrindo o enableguardduty.py e editando a string gd_invite_message.

Crie uma função do IAM na conta do GuardDuty administrador e anexe a AWS política gerenciada: AmazonGuardDutyFullAccess política para habilitá-la GuardDuty.
Crie uma função do IAM em cada conta de membro que você deseja que seja gerenciada pela sua conta de GuardDuty administrador. Essa função deve ter o mesmo nome da função criada na etapa 1, deve permitir a conta do administrador como uma entidade confiável e deve ter a mesma política AmazonGuardDutyFullAccess gerenciada descrita anteriormente.

Execute uma nova instância do Amazon Linux com uma função associada que tenha a relação de confiança a seguir que permita à instância assumir uma função de serviço.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Faça login na nova instância e execute os comandos a seguir para configurá-la.


sudo yum install git python 
sudo yum install python-pip
pip install boto3 
aws configure 
git clone https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.git
cd amazon-guardduty-multiaccount-scripts 
sudo chmod +x disableguardduty.py enableguardduty.py

Crie um arquivo CSV que contenha uma lista de IDs e e-mails das contas-membro às quais você adicionou uma função na etapa 2. As contas devem aparecer uma por linha, e o ID da conta e o endereço de e-mail devem ser separados por vírgula, como no exemplo a seguir.
```
111122223333,guardduty-member@organization.com
```
nota
O arquivo CSV deve estar no mesmo local do script enableguardduty.py. É possível copiar um arquivo CSV existente do Amazon S3 no diretório atual com o método a seguir.
```
aws s3 cp s3://my-bucket/my_key_name example.csv
```
Execute o script do Python. Certifique-se de fornecer o ID da conta do GuardDuty administrador, o nome da função criada nas primeiras etapas e o nome do seu arquivo CSV como argumentos.
```
python enableguardduty.py --master_account 444455556666 --assume_role roleName accountID.csv
```

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Alterando a conta do GuardDuty administrador delegado

Como estimar os custos