Como adicionar membros à organização - Amazon GuardDuty

Como adicionar membros à organização

Na qualidade de uma conta de administrador delegado do GuardDuty, é possível adicionar uma ou mais Contas da AWS à organização do GuardDuty. Ao adicionar uma conta como membro do GuardDuty, ela automaticamente habilita o GuardDuty nessa região. Há uma exceção na conta de gerenciamento da organização. Antes que a conta de gerenciamento seja adicionada como membro do GuardDuty, ela deve ter o GuardDuty habilitado.

Selecione um método de preferência para adicionar uma conta- membro do GuardDuty à sua organização.

Console

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Para acessar, use as credenciais da conta de administrador delegado do GuardDuty.

  2. No painel de navegação, selecione Contas.

    A tabela de contas exibe todas as contas-membro que estão ativas (não suspensas Contas da AWS) e que podem ser associadas à conta de administrador delegado do GuardDuty. Caso a conta-membro esteja associada à conta de administrador da organização, o Tipo será um dos seguintes: Via organizações ou Por convite. Caso uma conta-membro não esteja associada à conta de administrador do GuardDuty da organização, o Status dessa conta-membro será Não é um membro.

  3. Selecione um ou mais IDs de conta que deseja adicionar como membros. Esses IDs de conta devem ter o Tipo de Via Organizações.

    As contas adicionadas por meio de convite não fazem parte da sua organização. Você pode gerenciar essas contas individualmente. Para obter mais informações, consulte Gerenciar contas por convite.

  4. Escolha no menu suspenso Ações e selecione Adicionar membro. Depois de adicionar essa conta como membro, a configuração de habilitação automática do GuardDuty será aplicada. Com base nas configurações em Como configurar as preferências de habilitação automática da organização, a configuração do GuardDuty dessas contas pode mudar.

  5. Você pode selecionar a seta para baixo da coluna Status para classificar as contas pelo status Não é membro e, em seguida, escolher cada conta que não tenha o GuardDuty habilitado na região atual.

    Se nenhuma das contas listadas na tabela de contas ainda tiver sido adicionada como membro, você pode habilitar o GuardDuty na região atual para todas as contas da organização. Escolha a opção para habilitar na faixa na parte superior da página. Essa ação habilita automaticamente a configuração de habilitação automática do GuardDuty para que o GuardDuty seja habilitado para qualquer nova conta que ingresse na organização.

  6. Selecione Confirmar para adicionar as contas como membros. Essa ação também habilita o GuardDuty para todas as contas selecionadas. O Status das contas convidadas será alterado para Habilitado.

  7. (Recomendado) Repita essas etapas em cada Região da AWS. Isso garante que a conta de administrador delegado do GuardDuty possa gerenciar as descobertas e outras configurações das contas-membro em todas as regiões em que o GuardDuty foi habilitado.

    O recurso de habilitação automática habilita o GuardDuty para todos os futuros membros da sua organização. Isso permite que sua conta de administrador delegado do GuardDuty gerencie quaisquer novos membros criados ou adicionados à organização. Quando o número de contas-membro atingir o limite de 50.000, o atributo Habilitar automaticamente será desabilitado. Ao remover uma conta-membro e o número total de membros diminuir para menos de 50.000, o atributo Habilitar automaticamente será reativado.

API/CLI

  • Execute CreateMembers utilizando as credenciais da conta de administrador delegado do GuardDuty.

    Especifique o ID do detector regional da conta do administrador delegado do GuardDuty e os detalhes da conta (IDs de Conta da AWS e endereços de e-mail correspondentes) das contas que deseja adicionar como membros do GuardDuty. É possível criar um ou mais membros com essa operação de API.

    Ao executar CreateMembers na sua organização, as preferências de habilitação automática para novos membros serão aplicadas à medida que novas contas de membros ingressarem na sua organização. Ao executar CreateMembers com uma conta-membro existente, a configuração da organização também se aplicará aos membros existentes. Isso pode alterar a configuração atual das contas-membro existentes.

    Execute ListAccounts na Referência da API do AWS Organizations para ver todas as contas na organização AWS.

    • Outra alternativa é usar a AWS Command Line Interface. Execute o comando AWS CLI a seguir e certifique-se de usar seu próprio ID de detector válido, ID de Conta da AWS e endereço de e-mail associado ao ID da conta.

      Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

      aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com

      Para exibir uma lista de todos os membros da organização, execute o seguinte AWS CLI comando:

      aws organizations list-accounts

    Depois de adicionar essa conta como membro, a configuração de habilitação automática do GuardDuty será aplicada.