View a markdown version of this page

Abilitazione della protezione S3 in ambienti con più account - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione della protezione S3 in ambienti con più account

In un ambiente con più account, solo l'account GuardDuty amministratore delegato ha la possibilità di configurare (abilitare o disabilitare) S3 Protection per gli account dei membri della propria organizzazione. AWS GuardDutyGli account membri non possono modificare questa configurazione dai propri account. L'account GuardDuty amministratore delegato gestisce i propri account membro utilizzando AWS Organizations. L'account GuardDuty amministratore delegato può scegliere di abilitare automaticamente S3 Protection su tutti gli account, solo sui nuovi account o su nessun account dell'organizzazione. Per ulteriori informazioni, consulta Gestione degli account con AWS Organizations.

Scegli il metodo di accesso preferito per abilitare S3 Protection per l'account amministratore delegato GuardDuty .

Console

  1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

  2. Nel riquadro di navigazione, scegli Protezione S3.

  3. Nella pagina Protezione S3, scegli Modifica.

  4. Esegui una delle seguenti operazioni:

    Utilizzando Abilita per tutti gli account

    • Scegli Abilita per tutti gli account. Ciò abiliterà il piano di protezione per tutti gli GuardDuty account attivi AWS dell'organizzazione, inclusi i nuovi account che entrano a far parte dell'organizzazione.

    • Scegli Save (Salva).

    Utilizzando Configura gli account manualmente

    • Per abilitare il piano di protezione solo per l'account GuardDuty amministratore delegato, scegli Configura gli account manualmente.

    • Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).

    • Scegli Save (Salva).

API/CLI

Esegui updateDetectorutilizzando l'ID del rilevatore dell'account GuardDuty amministratore delegato per la regione corrente e passando l'featuresoggetto di tanto in name tantoS3_DATA_EVENTS. status ENABLED

In alternativa, puoi configurare S3 Protection utilizzando. AWS Command Line Interface Esegui il comando seguente e assicurati di sostituirlo 12abc34d567e8fa901bc2d34e56789f0 con l'ID del rilevatore dell'account GuardDuty amministratore delegato per la regione corrente.

Per trovare il codice detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'

Scegli il metodo di accesso preferito per abilitare S3 Protection per l'account amministratore delegato. GuardDuty

Console

  1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

    Accedi utilizzando il tuo account amministratore.

  2. Esegui una delle seguenti operazioni:

    Utilizzando la pagina Protezione S3

    1. Nel riquadro di navigazione, scegli Protezione S3.

    2. Scegli Abilita per tutti gli account. Questa operazione abilita automaticamente la Protezione S3 per gli account dell'organizzazione esistenti e per quelli nuovi.

    3. Scegli Save (Salva).

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

    Utilizzando la pagina Account

    1. Dal riquadro di navigazione, selezionare Accounts (Account).

    2. Nella pagina Account, scegli Auto-enablele preferenze prima di Aggiungere account su invito.

    3. Nella finestra Gestisci le preferenze di abilitazione automatica, scegli Abilita per tutti gli account in Protezione S3.

    4. Scegli Save (Salva).

    Se non puoi utilizzare l'opzione Abilita per tutti gli account, consulta Abilita selettivamente S3 Protection negli account dei membri.

API/CLI

  • Per abilitare in modo selettivo S3 Protection per i tuoi account membro, richiama l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

  • L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Assicurati di sostituirlo 12abc34d567e8fa901bc2d34e56789f0 con detector-id l' GuardDuty account amministratore delegato e. 111122223333

    Per trovare l'detectorIdaccount e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    Nota

    Puoi anche trasmettere un elenco di ID account separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare la Protezione S3 per tutti gli account membri attivi esistenti dell'organizzazione.

Console

  1. Accedi Console di gestione AWS e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Accedi utilizzando le credenziali GuardDuty dell'account amministratore delegato.

  2. Nel riquadro di navigazione, scegli Protezione S3.

  3. Nella pagina Protezione S3, puoi visualizzare lo stato attuale della configurazione. Nella sezione Account membri attivi, scegli Operazioni.

  4. Dal menu a discesa Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.

  5. Scegli Conferma.

API/CLI

  • Per abilitare in modo selettivo S3 Protection per i tuoi account membro, richiama l'operazione updateMemberDetectorsAPI utilizzando le tue. detector ID

  • L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Assicurati di sostituirlo 12abc34d567e8fa901bc2d34e56789f0 con detector-id l' GuardDuty account amministratore delegato e. 111122223333

    Per trovare l'detectorIdaccount e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    Nota

    Puoi anche trasmettere un elenco di ID account separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso che preferisci per abilitare la Protezione S3 per i nuovi account che entrano a far parte dell'organizzazione.

Console

L'account GuardDuty amministratore delegato può abilitare nuovi account membro in un'organizzazione tramite la console, utilizzando la pagina S3 Protection o Account.

Per abilitare automaticamente la Protezione S3 per i nuovi account membri

  1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una delle seguenti operazioni:

    • Utilizzando la pagina Protezione S3:

      1. Nel riquadro di navigazione, scegli Protezione S3.

      2. Nella pagina Protezione S3, scegli Modifica.

      3. Scegli Configura gli account manualmente.

      4. Seleziona Abilita automaticamente per i nuovi account membri. Questa fase garantisce l'abilitazione automatica della Protezione S3 per ogni nuovo account che entra a far parte dell'organizzazione. Solo l'account GuardDuty amministratore delegato dell'organizzazione può modificare questa configurazione.

      5. Scegli Save (Salva).

    • Utilizzando la pagina Account:

      1. Dal riquadro di navigazione, selezionare Accounts (Account).

      2. Nella pagina Account, scegli Auto-enablele preferenze.

      3. Nella finestra Gestisci le preferenze di abilitazione automatica, seleziona Abilita per nuovi account in Protezione S3.

      4. Scegli Save (Salva).

API/CLI

  • Per abilitare in modo selettivo S3 Protection per i tuoi account membro, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando la tua. detector ID

  • L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Imposta le preferenze in modo da abilitare o disabilitare automaticamente il piano di protezione in una determinata regione per i nuovi account che entrano a far parte dell'organizzazione (NEW), per tutti gli account (ALL) o per nessuno degli account dell'organizzazione (NONE). Per ulteriori informazioni, vedere auto EnableOrganizationMembers. In base alle tue preferenze, potrebbe essere necessario sostituire NEW con ALL o NONE.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il metodo di accesso preferito per abilitare in modo selettivo S3 Protection per gli account dei membri.

Console

  1. Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Dal riquadro di navigazione, selezionare Accounts (Account).

    Nella pagina Account, consulta la colonna Protezione S3 per visualizzare lo stato del tuo account membro.

  3. Per abilitare selettivamente S3 Protection

    Seleziona l'account per il quale desideri abilitare S3 Protection. Puoi selezionare più account alla volta. Nel menu a discesa Modifica piani di protezione, scegli S3Pro, quindi scegli l'opzione appropriata.

API/CLI

Per abilitare in modo selettivo S3 Protection per i tuoi account membro, esegui l'operazione updateMemberDetectorsAPI utilizzando il tuo ID di rilevamento. L'esempio seguente mostra come abilitare la Protezione S3 per un singolo account membro. Per disabilitarla, sostituisci true con false.

Per trovare il codice detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'API. ListDetectors

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
Nota

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Nota

Se utilizzi script per aggiungere nuovi account nei quali desideri disabilitare la Protezione S3, puoi modificare l'operazione API createDetector con l'oggetto dataSources facoltativo, come descritto in questo argomento.