Consolidação das contas de administrador do GuardDuty em uma única organização - Amazon GuardDuty

Consolidação das contas de administrador do GuardDuty em uma única organização

O GuardDuty recomenda usar a associação por meio de AWS Organizations para gerenciar as contas de membros usando uma conta de administrador delegado do GuardDuty. É possível utilizar o exemplo de processo descrito abaixo para consolidar a conta de administrador e de membro associado por convite em uma organização em uma única conta de administrador delegado do GuardDuty.

nota

O GuardDuty recomenda usar AWS Organizations em vez dos convites do GuardDuty para gerenciar suas contas de membros. Para obter mais informações, consulte Gerenciar contas com o AWS Organizations.

Contas que já estão sendo administradas por uma conta de administrador delegado do GuardDuty ou as contas de membros ativos que estão associadas a uma conta de administrador delegado do GuardDuty não podem ser adicionadas a uma outra conta de administrador delegado do GuardDuty. Cada organização pode ter apenas uma conta de administrador delegado do GuardDuty por região, e cada conta de membro pode ter apenas uma conta de administrador delegado do GuardDuty.

Selecione um método de acesso de sua preferência para consolidar as contas de administrador do GuardDuty em uma única conta de administrador delegado do GuardDuty.

Console

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Para fazer login, use as credenciais da conta de gerenciamento da organização.

  2. Todas as contas das quais você deseja gerenciar o GuardDuty devem fazer parte da sua organização. Para obter mais informações sobre como adicionar uma conta à organização, consulte Convidar Conta da AWS para ingressar na organização.

  3. Verifique se todas as contas de membros estão associadas à conta que deseja designar como a única conta de administrador delegado do GuardDuty. Desassocie qualquer conta de membro que ainda esteja associada às contas de administrador preexistentes.

    As etapas a seguir ajudarão você a desassociar contas-membro da conta de administrador preexistente:

    1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    2. Para fazer login, use as credenciais da conta de administrador preexistente.

    3. No painel de navegação, selecione Contas.

    4. Na página Contas, selecione uma ou mais contas que você deseja desassociar da conta de administrador.

    5. Selecione Ações e, em seguida, selecione Desassociar conta.

    6. Selecione Confirmar para finalizar a etapa.

  4. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

    Para fazer login, use as credenciais da conta de gerenciamento.

  5. No painel de navegação, selecione Configurações. Designe uma conta de administrador delegado do GuardDuty para a organização na página Configurações.

  6. Faça login na conta do administrador delegado do GuardDuty designada.

  7. Adicionar membros da organização. Para obter mais informações, consulte Como gerenciar contas do GuardDuty com o AWS Organizations.

API/CLI

  1. Todas as contas das quais você deseja gerenciar o GuardDuty devem fazer parte da sua organização. Para obter mais informações sobre como adicionar uma conta à organização, consulte Convidar Conta da AWS para ingressar na organização.

  2. Verifique se todas as contas de membros estão associadas à conta que deseja designar como a única conta de administrador delegado do GuardDuty.

    1. Execute DisassociateMembers para desassociar qualquer conta de membro que ainda esteja associada às contas de administrador preexistentes.

    2. Outra alternativa é usar AWS Command Line Interface para executar o comando a seguir e substituir 777777777777 pelo ID do detector da conta de administrador preexistente do qual deseja desassociar a conta de membro. Substitua 666666666666 pelo ID da Conta da AWS do membro que deseja desassociar. 

      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666

  3. Execute EnableOrganizationAdminAccount para delegar uma Conta da AWS como conta de administrador delegado do GuardDuty.

    Outra alternativa é usar a AWS Command Line Interface para executar o seguinte comando para delegar uma conta de administrador delegado do GuardDuty:

    aws guardduty enable-organization-admin-account --admin-account-id 777777777777

  4. Adicionar membros da organização. Para obter mais informações, consulte Create or add member member accounts using API.

Importante

É recomendável designar a sua conta de administrador delegado do GuardDuty e adicionar todas as suas contas de membros em cada região para maximizar a eficácia do GuardDuty, um serviço regional.