Amazon Detective e AWS Organizations - AWS Organizations

Amazon Detective e AWS Organizations

O Amazon Detective usa seus dados de log para gerar visualizações que permitem analisar, investigar e identificar a causa raiz de descobertas de segurança ou atividades suspeitas.

O uso do AWS Organizations permite garantir que o gráfico de comportamento do Detective forneça visibilidade da atividade de todas as contas da sua organização.

Quando você concede acesso confiável ao Detective, o serviço Detective pode reagir automaticamente às alterações na associação à organização. O administrador delegado pode habilitar qualquer conta da organização como uma conta-membro no gráfico de comportamento. O Detective também pode habilitar novas contas-membro da organização. As contas da organização não podem se desassociar do gráfico de comportamento.

Para obter mais informações, consulte Usar o Amazon Detective na organização no Guia de administração do Amazon Detective.

Use as informações a seguir para integrar o Amazon Detective ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Detective realize as operações suportadas nas contas de sua organização.

Você poderá excluir ou modificar essa função apenas se desabilitar o acesso confiável entre o Detective e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForDetective

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Detective concedem acesso às seguintes entidades de serviço primárias:

  • detective.amazonaws.com

Para habilitar o acesso confiável com o Detective

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

nota

Quando você designa um administrador delegado para o Amazon Detective, o Detective habilita automaticamente o acesso confiável para o Detective em sua organização.

O Detective requer acesso confiável ao AWS Organizations para que você possa designar uma conta-membro como administrador delegado desse serviço na sua organização.

Você pode habilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode habilitar o acesso confiável usando o console do AWS Organizations.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha para o Amazon Detective, escolha o nome do serviço e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for o administrador apenas do AWS Organizations, informe ao administrador do Amazon Detective que ele agora pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

Para habilitar o acesso confiável com o Detective

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Apenas um administrador na conta de gerenciamento do AWS Organizations pode desabilitar o acesso confiável com o Amazon Detective.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha do Amazon Detective e escolha o nome do serviço.

  3. Escolha Disable trusted access (Desabilitar acesso confiável).

  4. Na caixa de diálogo de confirmação, insira disable e, em seguida, escolha Disable trusted access (Desabilitar acesso confiável).

  5. Se você for o administrador apenas do AWS Organizations, informe ao administrador do Amazon Detective que ele agora pode desabilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

Habilitar uma conta de administrador delegado do Detective

A conta de administrador delegado do Detective é a conta de administrador de um gráfico de comportamento do Detective. O administrador delegado pode determina quais contas da organização serão habilitadas e desabilitadas como contas-membro nesse gráfico de comportamento. O administrador delegado pode configurar o Detective para habilitar automaticamente novas contas da organização como contas-membro à medida que forem adicionadas à organização. Para obter informações sobre como um administrador delegado gerencia contas da organização, consulte Gerenciar contas da organização como contas-membro no Guia de administração do Amazon Detective.

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado do Detective.

É possível especificar uma conta de administrador delegado via console ou API do Detective ou usando a operação da CLI ou do SDK do Organizations.

Permissões mínimas

Somente um usuário ou função do IAM na conta de gerenciamento do Organizations pode configurar uma conta-membro como administrador delegado do Detective na organização.

Para configurar um administrador delegado usando o console ou a API do Detective, consulte Designar uma conta de administrador do Detective para uma organização no Guia de administração do Amazon Detective.

AWS CLI, AWS API

Se você quiser configurar uma conta de administrador delegado usando a AWS CLI ou um dos AWS SDKs, poderá usar os seguintes comandos:

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal detective.amazonaws.com
  • AWS SDK: chame a operação RegisterDelegatedAdministrator do Organizations e o número de ID da conta-membro e identifique o serviço de conta principal account.amazonaws.com como parâmetros.

Desabilitar um administrador delegado do Detective

É possível remover a conta de administrador delegado via console ou API do Detective ou usando a operação DeregisterDelegatedAdministrator da CLI ou o SDK do Organizations. Para obter informações sobre como remover administrador delegado usando o console ou a API do Detective ou a API do Organizations, consulte Designar uma conta de administrador do Detective para uma organização no Guia de administração do Amazon Detective.