View a markdown version of this page

Como habilitar a proteção Lambda em ambientes com várias contas - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como habilitar a proteção Lambda em ambientes com várias contas

Em um ambiente com várias contas, somente a conta do GuardDuty administrador delegado tem a opção de ativar ou desativar a Proteção Lambda para as contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia as contas dos membros usando AWS Organizations. A conta de GuardDuty administrador delegado pode optar por habilitar automaticamente o Lambda Network Activity Monitoring para todas as novas contas à medida que elas ingressam na organização. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciamento de várias contas na Amazon. GuardDuty

Escolha seu método de acesso preferido para ativar ou desativar o Lambda Network Activity Monitoring para uma conta de administrador delegado GuardDuty .

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, em Configurações, escolha Proteção do Lambda.

  3. Na página Proteção do Lambda, escolha Editar.

  4. Execute um destes procedimentos:

    Como usar a opção Habilitar para todas as contas

    • Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as GuardDuty contas ativas em sua AWS organização, incluindo as novas contas que ingressam na organização.

    • Escolha Salvar.

    Como usar a opção Configurar contas manualmente

    • Para ativar o plano de proteção somente para a conta de GuardDuty administrador delegado, escolha Configurar contas manualmente.

    • Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).

    • Escolha Salvar.

API/CLI

Execute a operação da API updateDetector usando seu próprio ID de detector regional e transmitindo o name do objeto features como LAMBDA_NETWORK_LOGS e status comoENABLED.

Como alternativa, você pode usar AWS CLI para ativar a Proteção Lambda. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção Lambda.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Escolha seu método de acesso preferido para habilitar o recurso Monitoramento de atividades de rede do Lambda para todas as contas-membro. Isso inclui contas-membro existentes e as novas contas que ingressam na organização.

Console

  1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    Usando a página Planos de Proteção

    1. No painel de navegação, escolha Planos de proteção.

    2. Escolha Configurar todas as habilitações.

    3. Em Proteção Lambda, escolha Ativar para todas as contas. Essa ação habilita automaticamente o Monitoramento de atividades de rede do Lambda para contas existentes e novas na organização.

    4. Escolha Salvar tudo e, em seguida, escolha Confirmar e salvar.

      nota

      Pode levar até 24 horas para atualizar a configuração das contas-membro.

    Como usar a página Contas

    1. No painel de navegação, selecione Contas.

    2. Na página Contas, escolha Auto-enableas preferências antes de Adicionar contas por convite.

    3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Monitoramento de atividades de rede do Lambda.

      nota

      Por padrão, essa ação ativa automaticamente a opção Auto-enable GuardDuty para novas contas de membros.

    4. Escolha Salvar.

    Se você não conseguir usar a opção Habilitar para todas as contas, consulte Habilite ou desabilite seletivamente o Monitoramento de atividades de rede do Lambda para contas-membro.

API/CLI

Para ativar ou desativar seletivamente o Lambda Network Activity Monitoring para suas contas de membros, invoque a operação updateMemberDetectorsda API usando a sua própria. detector ID

Como alternativa, você pode usar AWS CLI para ativar a Proteção Lambda. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção Lambda.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Também é possível passar uma lista de IDs de conta separados por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar o Monitoramento de atividades de rede do Lambda para todas as contas-membro ativas existentes na organização.

Console
Para configurar o Monitoramento de atividades de rede do Lambda para todas as contas-membro ativas existentes

  1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Faça login usando as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, escolha Planos de proteção.

  3. Escolha Configurar todas as habilitações. Em Proteção Lambda, você pode ver o status atual da configuração. Na seção Contas-membro ativas, escolha Ações.

  4. No menu suspenso Ações, escolha Habilitar para todas as contas-membro ativas existentes.

  5. Escolha Confirmar.

API/CLI

Para ativar ou desativar seletivamente o Lambda Network Activity Monitoring para suas contas de membros, invoque a operação updateMemberDetectorsda API usando a sua própria. detector ID

Como alternativa, você pode usar AWS CLI para ativar a Proteção Lambda. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção Lambda. 

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Também é possível passar uma lista de IDs de conta separados por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar o Monitoramento de atividades de rede do Lambda para novas contas que ingressam na sua organização.

Console

A conta de GuardDuty administrador delegado pode habilitar o Lambda Network Activity Monitoring para novas contas de membros em uma organização, usando a página Lambda Protection ou Accounts.

Para habilitar automaticamente o Monitoramento de atividades de rede do Lambda para novas contas-membro

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    • Usando a página Planos de Proteção:

      1. No painel de navegação, escolha Planos de proteção.

      2. Escolha Configurar todas as habilitações.

      3. Escolha Configurar contas manualmente.

      4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que sempre que uma nova conta ingressar na sua organização, a Proteção do Lambda seja habilitada automaticamente para a conta dessa pessoa. Somente a conta do GuardDuty administrador delegado da organização pode modificar essa configuração.

      5. Escolha Salvar.

    • Como usar a página Contas:

      1. No painel de navegação, selecione Contas.

      2. Na página Contas, escolha Auto-enablepreferências.

      3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Monitoramento de atividades de rede do Lambda.

      4. Escolha Salvar.

API/CLI

Para habilitar o Lambda Network Activity Monitoring para novas contas de membros, invoque a operação da UpdateOrganizationConfigurationAPI usando a sua própria. detector ID

Como alternativa, você pode usar AWS CLI para ativar a Proteção Lambda. O exemplo a seguir mostra como você pode habilitar o Monitoramento de atividades de rede do Lambda para uma única conta de membro. 12abc34d567e8fa901bc2d34e56789f0Substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção Lambda. Se não quiser habilitá-lo para todas as novas contas que ingressarem na organização, defina AutoEnable como NONE.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar ou desabilitar seletivamente o Monitoramento de atividades de rede do Lambda para contas-membro.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, em Settings, selecione Accounts.

    Na página Contas, revise a coluna Monitoramento de atividades de rede do Lambda. Ele indica se o Monitoramento de atividades de rede do Lambda está habilitado ou não.

  3. Escolha a conta para a qual deseja configurar a Proteção do Lambda. É possível escolher várias contas ao mesmo tempo.

  4. No menu suspenso Editar planos de proteção, escolha Monitoramento de atividades de rede do Lambda e escolha uma ação apropriada.

API/CLI

Invoque a updateMemberDetectorsAPI usando a sua própria. detector ID

Como alternativa, você pode usar AWS CLI para ativar a Proteção Lambda. 12abc34d567e8fa901bc2d34e56789f0Substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção Lambda.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Também é possível passar uma lista de IDs de conta separados por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.