View a markdown version of this page

Abilitazione della protezione Lambda in ambienti con più account - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione della protezione Lambda in ambienti con più account

In un ambiente con più account, solo l'account GuardDuty amministratore delegato ha la possibilità di abilitare o disabilitare Lambda Protection per gli account dei membri della propria organizzazione. GuardDuty Gli account membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce gli account dei membri utilizzando AWS Organizations. L'account GuardDuty amministratore delegato può scegliere di abilitare automaticamente il monitoraggio dell'attività di rete Lambda per tutti i nuovi account quando entrano a far parte dell'organizzazione. Per ulteriori informazioni sugli ambienti con più account, consulta Gestione di più account in Amazon. GuardDuty

Scegli il tuo metodo di accesso preferito per abilitare o disabilitare il monitoraggio dell'attività di rete Lambda per l'account amministratore delegato GuardDuty .

Console

  1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

  2. Nel riquadro di navigazione, in Impostazioni, scegli Protezione Lambda.

  3. Nella pagina Protezione Lambda, scegli Modifica.

  4. Esegui una delle seguenti operazioni:

    Utilizzando Abilita per tutti gli account

    • Scegli Abilita per tutti gli account. Ciò abiliterà il piano di protezione per tutti gli GuardDuty account attivi AWS dell'organizzazione, inclusi i nuovi account che entrano a far parte dell'organizzazione.

    • Scegli Save (Salva).

    Utilizzando Configura gli account manualmente

    • Per abilitare il piano di protezione solo per l'account GuardDuty amministratore delegato, scegli Configura gli account manualmente.

    • Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).

    • Scegli Save (Salva).

API/CLI

Esegui l'operazione updateDetectorAPI utilizzando il tuo ID di rilevamento regionale e passando l'featuresoggetto di tanto in name tantoLAMBDA_NETWORK_LOGS. status ENABLED

In alternativa, puoi usare AWS CLI per abilitare la protezione Lambda. Esegui il comando seguente e sostituiscilo 12abc34d567e8fa901bc2d34e56789f0 con l'ID del rilevatore del tuo account e us-east-1 con la regione in cui desideri abilitare la protezione Lambda.

Per trovare il codice detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Scegli il metodo di accesso che preferisci per abilitare la funzionalità di monitoraggio delle attività di rete Lambda per tutti gli account membri, inclusi gli account membri esistenti e i nuovi account che entrano a far parte dell'organizzazione.

Console

  1. Accedi Console di gestione AWS e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una delle seguenti operazioni:

    Utilizzo della pagina Piani di protezione

    1. Nel riquadro di navigazione, scegli Piani di protezione.

    2. Scegli Configura tutte le abilitazioni.

    3. In Lambda Protection, scegli Abilita per tutti gli account. Questa operazione abilita automaticamente il monitoraggio delle attività di rete Lambda per gli account dell'organizzazione esistenti e per quelli nuovi.

    4. Scegli Salva tutto, quindi scegli Conferma e salva.

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

    Utilizzando la pagina Account

    1. Dal riquadro di navigazione, selezionare Accounts (Account).

    2. Nella pagina Account, scegli Auto-enablele preferenze prima di Aggiungere account su invito.

    3. Nella finestra Gestisci le preferenze di abilitazione automatica, scegli Abilita per tutti gli account in Monitoraggio delle attività di rete Lambda.

      Nota

      Per impostazione predefinita, questa azione attiva automaticamente l'opzione Auto-enable GuardDuty Per nuovi account membro.

    4. Scegli Save (Salva).

    Se non puoi utilizzare l'opzione Abilita per tutti gli account, consulta Abilitare o disabilitare in modo selettivo il monitoraggio delle attività di rete Lambda per gli account membri.

API/CLI

Per abilitare o disabilitare selettivamente il monitoraggio dell'attività di rete Lambda per i tuoi account membro, richiama l'operazione API updateMemberDetectorsutilizzando la tua. detector ID

In alternativa, puoi usare AWS CLI per abilitare la protezione Lambda. Esegui il comando seguente e sostituiscilo 12abc34d567e8fa901bc2d34e56789f0 con l'ID del rilevatore del tuo account e us-east-1 con la regione in cui desideri abilitare la protezione Lambda.

Per trovare il codice detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare il monitoraggio delle attività di rete Lambda per tutti gli account membri attivi esistenti dell'organizzazione.

Console
Per configurare il monitoraggio delle attività di rete Lambda per tutti gli account membri attivi esistenti

  1. Accedi Console di gestione AWS e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Accedi utilizzando le credenziali GuardDuty dell'account amministratore delegato.

  2. Nel riquadro di navigazione, scegli Piani di protezione.

  3. Scegli Configura tutte le abilitazioni. In Lambda Protection, puoi visualizzare lo stato corrente della configurazione. Nella sezione Account membri attivi, scegli Operazioni.

  4. Dal menu a discesa Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.

  5. Scegli Conferma.

API/CLI

Per abilitare o disabilitare selettivamente il monitoraggio dell'attività di rete Lambda per i tuoi account membro, richiama l'operazione API updateMemberDetectorsutilizzando la tua. detector ID

In alternativa, puoi usare AWS CLI per abilitare la protezione Lambda. Esegui il comando seguente e sostituiscilo 12abc34d567e8fa901bc2d34e56789f0 con l'ID del rilevatore del tuo account e us-east-1 con la regione in cui desideri abilitare la protezione Lambda. 

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare il monitoraggio delle attività di rete Lambda per i nuovi account che entrano a far parte dell'organizzazione.

Console

L'account GuardDuty amministratore delegato può abilitare il monitoraggio dell'attività di rete Lambda per i nuovi account membro di un'organizzazione, utilizzando la pagina Lambda Protection o Account.

Per abilitare automaticamente il monitoraggio delle attività di rete Lambda per i nuovi account membri

  1. Apri la console all' GuardDuty indirizzo. https://console.aws.amazon.com/guardduty/

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una delle seguenti operazioni:

    • Utilizzando la pagina Piani di protezione:

      1. Nel riquadro di navigazione, scegli Piani di protezione.

      2. Scegli Configura tutte le abilitazioni.

      3. Scegli Configura gli account manualmente.

      4. Seleziona Abilita automaticamente per i nuovi account membri. Questa fase garantisce l'abilitazione automatica della Protezione Lambda per ogni nuovo account che entra a far parte dell'organizzazione. Solo l'account GuardDuty amministratore delegato dell'organizzazione può modificare questa configurazione.

      5. Scegli Save (Salva).

    • Utilizzando la pagina Account:

      1. Dal riquadro di navigazione, selezionare Accounts (Account).

      2. Nella pagina Account, scegli Auto-enablele preferenze.

      3. Nella finestra Gestisci le preferenze di abilitazione automatica, seleziona Abilita per nuovi account in Monitoraggio delle attività di rete Lambda.

      4. Scegli Save (Salva).

API/CLI

Per abilitare il monitoraggio dell'attività di rete Lambda per i nuovi account membro, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando la tua. detector ID

In alternativa, puoi usare AWS CLI per abilitare la protezione Lambda. L'esempio seguente mostra come abilitare il monitoraggio delle attività di rete Lambda per un singolo account membro. Sostituiscilo 12abc34d567e8fa901bc2d34e56789f0 con l'ID del rilevatore del tuo account e us-east-1 con la regione in cui desideri abilitare la protezione Lambda. Se non desideri abilitarlo per tutti i nuovi account che entrano a far parte dell'organizzazione, imposta AutoEnable su NONE.

Per trovare l'indirizzo detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare o disabilitare in modo selettivo il monitoraggio delle attività di rete Lambda per gli account membri.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Nel riquadro di navigazione, in Settings (Impostazioni), scegliere Accounts (Account).

    Nella pagina Account, consulta la colonna Monitoraggio delle attività di rete Lambda, che indica se il monitoraggio delle attività di rete Lambda è abilitato o meno.

  3. Scegli l'account per il quale desideri configurare la Protezione Lambda. Puoi scegliere più account alla volta.

  4. Dal menu a discesa Modifica piani di protezione, scegli Monitoraggio delle attività di rete Lambda, quindi scegli l'operazione appropriata.

API/CLI

Invoca l'updateMemberDetectorsAPI usando le tue. detector ID

In alternativa, puoi usare AWS CLI per abilitare la protezione Lambda. Sostituiscilo 12abc34d567e8fa901bc2d34e56789f0 con l'ID del rilevatore del tuo account e us-east-1 con la regione in cui desideri abilitare la protezione Lambda.

Per trovare l'indirizzo detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.