Amazon GuardDuty e AWS Organizations - AWS Organizations

Amazon GuardDuty e AWS Organizations

O Amazon GuardDuty é um serviço contínuo de monitoramento de segurança que analisa e processa uma variedade de fontes de dados, usando feeds de inteligência sobre ameaças e machine learning para identificar atividades inesperadas e potencialmente não autorizadas e maliciosas dentro do seu ambiente da AWS. Isso pode incluir problemas como escalonamentos de privilégios, uso de credenciais expostas, comunicação com endereços IP, URLs ou domínios mal-intencionados ou presença de malware nas instâncias e workloads de contêiner do Amazon Elastic Compute Cloud.

Você pode ajudar a simplificar o gerenciamento do GuardDuty usando o Organizations para gerenciar o GuardDuty em todas as contas de sua organização.

Para obter mais informações, consulte Gerenciar contas do GuardDuty com o AWS Organizations no Guia do usuário do Amazon GuardDuty

Use as informações a seguir para ajudá-lo a integrar o Amazon GuardDuty ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

As funções vinculadas ao serviço a seguir são criadas automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Elas permitem que o GuardDuty realize as operações suportadas nas contas de sua organização. Você só pode excluir uma função se desabilitar o acesso confiável entre o GuardDuty e o Organizations, ou se você remover a conta-membro da organização.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

  • guardduty.amazonaws.com, usado pela função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty.

  • malware-protection.guardduty.amazonaws.com, usado pela função vinculada ao serviço AmazonGuardDutyMalwareProtectionServiceRolePolicy.

Habilitar o acesso confiável no GuardDuty

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando apenas o Amazon GuardDuty.

O Amazon GuardDuty requer acesso confiável ao AWS Organizations para você poder designar uma conta-membro como administrador do GuardDuty para a sua organização. Se você configurar um administrador delegado usando o console do GuardDuty, o GuardDuty habilita automaticamente o acesso confiável para você.

No entanto, se você desejar configurar uma conta de administrador delegado usando a AWS CLI ou um dos AWS SDKs, chame explicitamente a operação EnableAWSServiceAccess e forneça a entidade de serviço primária como um parâmetro. Então, você pode chamar EnableOrganizationAdminAccount para delegar a conta de administrador do GuardDuty.

Desabilitar o acesso confiável no GuardDuty

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o Amazon GuardDuty como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal guardduty.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Habilitar uma conta de administrador delegado para o GuardDuty

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o GuardDuty que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do GuardDuty.

Permissões mínimas

Para obter informações sobre as permissões necessárias para designar uma conta-membro como administrador delegado, consulte Permissões necessárias para designar um administrador delegado no Guia do usuário do Amazon GuardDuty

Para designar uma conta-membro como administrador delegado do GuardDuty

Consulte Designar um administrador delegado e adicionar contas-membro (console) e Designar um administrador delegado e adicionar contas-membro (API)