Detective da Amazon e AWS Organizations - AWS Organizations
Funções vinculadas a serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesabilitar acesso confiávelHabilitar uma conta de administrador delegado do DetectiveDesabilitar um administrador delegado do Detective

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Detective da Amazon e AWS Organizations

O Amazon Detective usa seus dados de log para gerar visualizações que permitem analisar, investigar e identificar a causa raiz de descobertas de segurança ou atividades suspeitas.

AWS Organizations O uso permite que você garanta que o gráfico de comportamento do Detective forneça visibilidade da atividade de todas as contas da sua organização.

Quando você concede acesso confiável ao Detective, o serviço Detective pode reagir automaticamente às alterações na associação à organização. O administrador delegado pode habilitar qualquer conta da organização como uma conta-membro no gráfico de comportamento. O Detective também pode habilitar novas contas-membro da organização. As contas da organização não podem se desassociar do gráfico de comportamento.

Para obter mais informações, consulte Usar o Amazon Detective na organização no Guia de administração do Amazon Detective.

Use as informações a seguir para ajudá-lo a integrar o Amazon Detective com o. AWS Organizations

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Detective realize as operações suportadas nas contas de sua organização.

Você poderá excluir ou modificar essa função apenas se desabilitar o acesso confiável entre o Detective e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForDetective

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Detective concedem acesso às seguintes entidades de serviço primárias:

  • detective.amazonaws.com

Para habilitar o acesso confiável com o Detective

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

nota

Quando você designa um administrador delegado para o Amazon Detective, o Detective habilita automaticamente o acesso confiável para o Detective em sua organização.

Detective exige acesso confiável AWS Organizations antes que você possa designar uma conta de membro para ser o administrador delegado desse serviço em sua organização.

Você pode habilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode ativar o acesso confiável usando o AWS Organizations console.

AWS Management Console
Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha Amazon Detective na lista de serviços.

  4. Escolha Enable trusted access (Habilitar acesso confiável).

  5. Na caixa de diálogo Habilitar acesso confiável para o Amazon Detective, digite enable para confirmá-lo e, em seguida, escolha Habilitar acesso confiável.

  6. Se você for administrador do Only AWS Organizations, informe ao administrador do Amazon Detective que agora ele pode habilitar esse serviço usando seu console para trabalhar com ele. AWS Organizations

Para habilitar o acesso confiável com o Detective

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Somente um administrador na conta AWS Organizations de gerenciamento pode desativar o acesso confiável com o Amazon Detective.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode desativar o acesso confiável usando o AWS Organizations console.

AWS Management Console
Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha Amazon Detective na lista de serviços.

  4. Escolha Disable trusted access (Desabilitar acesso confiável).

  5. Na caixa de diálogo Desabilitar acesso confiável para Amazon Detective, digite disable para confirmá-lo e, em seguida, escolha Desativar acesso confiável.

  6. Se você for administrador do Only AWS Organizations, diga ao administrador do Amazon Detective que agora ele pode desativar esse serviço usando o console ou as ferramentas do Amazon Detective. AWS Organizations

Habilitar uma conta de administrador delegado do Detective

A conta de administrador delegado do Detective é a conta de administrador de um gráfico de comportamento do Detective. O administrador delegado pode determina quais contas da organização serão habilitadas e desabilitadas como contas-membro nesse gráfico de comportamento. O administrador delegado pode configurar o Detective para habilitar automaticamente novas contas da organização como contas-membro à medida que forem adicionadas à organização. Para obter informações sobre como um administrador delegado gerencia contas da organização, consulte Gerenciar contas da organização como contas-membro no Guia de administração do Amazon Detective.

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado do Detective.

É possível especificar uma conta de administrador delegado via console ou API do Detective ou usando a operação da CLI ou do SDK do Organizations.

Permissões mínimas

Somente um usuário ou perfil na conta de gerenciamento do Organizations pode configurar uma conta-membro como administrador delegado do Detective na organização

Para configurar um administrador delegado usando o console ou a API do Detective, consulte Designar uma conta de administrador do Detective para uma organização no Guia de administração do Amazon Detective.

AWS CLI, AWS API

Se quiser configurar uma conta de administrador delegado usando a AWS CLI ou um dos SDKs, você pode usar AWS os seguintes comandos:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal detective.amazonaws.com

  • AWS SDK: chame a RegisterDelegatedAdministrator operação da Organizations e o número de identificação da conta do membro e identifique o responsável pelo serviço da conta account.amazonaws.com como parâmetros.

Desabilitar um administrador delegado do Detective

É possível remover a conta de administrador delegado via console ou API do Detective ou usando a operação DeregisterDelegatedAdministrator da CLI ou o SDK do Organizations. Para obter informações sobre como remover administrador delegado usando o console ou a API do Detective ou a API do Organizations, consulte Designar uma conta de administrador do Detective para uma organização no Guia de administração do Amazon Detective.