Como gerenciar contas do GuardDuty com o AWS Organizations
Em uma AWS organização, a conta de gerenciamento pode designar qualquer conta no âmbito dessa organização como a conta de administrador delegado do GuardDuty. Para essa conta de administrador, o GuardDuty é habilitado automaticamente somente na conta atual Região da AWS. Por padrão, a conta de administrador pode habilitar e gerenciar o GuardDuty para todas as contas de membros da organização no âmbito dessa região. A conta de administrador pode visualizar e adicionar membros a essa AWS organização.
As seções a seguir o orientarão em relação a várias tarefas que podem ser executadas como uma conta de administrador delegado do GuardDuty.
Conteúdo
Considerações e recomendações para usar o GuardDuty com AWS Organizations
Permissões necessárias para designar uma conta de administrador delegado do GuardDuty
Como configurar as preferências de habilitação automática da organização
(Opcional) Ativar planos de proteção para contas-membro existentes
Como gerenciar continuamente suas contas-membro no GuardDuty
Como desassociar (remover) a conta-membro da conta de administrador
Considerações e recomendações para usar o GuardDuty com AWS Organizations
As considerações e recomendações a seguir podem ajudar a entender como uma conta de administrador delegado do GuardDuty opera no GuardDuty:
- Um administrador delegado do GuardDuty pode gerenciar no máximo 50.000 membros.
-
O limite é de 50.000 contas de membros por conta de administrador delegado do GuardDuty. Isso inclui contas-membro que foram adicionadas por meio do AWS Organizations ou aquelas que aceitaram o convite da conta do administrador do GuardDuty para ingressar na organização. No entanto, pode haver mais de 50.000 contas em sua AWS organização.
Caso seja excedido o limite de 50.000 contas de membros, será enviada uma notificação do CloudWatch, AWS Health Dashboard, e um e-mail para a conta designada do administrador delegado do GuardDuty.
- Uma conta de administrador delegado do GuardDuty é regional.
-
Diferente do AWS Organizations, o GuardDuty é um serviço regional. As contas de administrador delegados do GuardDuty e suas contas de membros devem ser adicionados ao AWS Organizations em cada região desejada em que se tenha o GuardDuty habilitado. Caso a conta de gerenciamento da organização designe uma conta de administrador delegado do GuardDuty somente no Leste dos EUA (Norte da Virgínia), a conta de administrador delegado do GuardDuty gerenciará somente as contas de membros adicionadas à organização naquela região. Para obter mais informações sobre a paridade de atributos em regiões em que o GuardDuty está disponível, consulte. Regiões e endpoints
- Casos especiais para regiões de inclusão
-
Quando uma conta de administrador delegado do GuardDuty opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de habilitação automática do GuardDuty definida para somente novas contas de membros (
NEW) ou todas as contas de membros (ALL), o GuardDuty não pode ser habilitado para nenhuma conta de membro na organização que atualmente tenha o GuardDuty desabilitado. Para obter informações sobre a configuração de suas contas-membro, abra Contas no painel de navegação do console do GuardDutyou use a API ListMembers. -
Ao trabalhar com a configuração de ativação automática do GuardDuty definida como
NEW, verifique se a seguinte sequência é atendida:-
As contas-membro aderem a uma região de inclusão.
-
Adicione as contas-membro à sua organização em AWS Organizations.
Caso a ordem dessas etapas seja alterada, a configuração
NEWde habilitação automática do GuardDuty não funcionará na região de inscrição específica porque a conta-membro não é mais nova na organização. O GuardDuty oferece duas soluções possíveis:-
Defina a configuração de habilitação automática do GuardDuty para
ALL, o que inclui contas-membro novas e antigas. Nesse caso, a ordem das etapas é irrelevante. -
Caso uma conta-membro já faça parte de sua organização, gerencie a configuração do GuardDuty para essa conta individualmente na região de inclusão específica, utilizando o console do GuardDuty ou a API.
-
- Necessário para que uma AWS organização tenha a mesma conta de administrador delegado do GuardDuty em todas as contas Regiões da AWS.
-
Uma conta-membro deve ser designada como a conta de administrador delegado do GuardDuty em todos os Regiões da AWS locais onde o GuardDuty está habilitado. Por exemplo, ao designar uma conta-membro
111122223333naEuropa (Irlanda), não é possível designar outra conta-membro555555555555noCanadá (Central). É obrigatório que a mesma conta seja utilizada como conta de administrador delegado do GuardDuty em todas as outras regiões.É possível designar uma nova conta de administrador delegado do GuardDuty a qualquer momento. Para obter mais informações sobre como remover a conta de administrador delegado existente do GuardDuty, consulte Alteração da conta do administrador delegado do GuardDuty.
- Não é recomendável definir a conta de gerenciamento da sua organização como a conta de administrador delegado do GuardDuty.
-
Somente a conta de gerenciamento da organização pode ser a conta de administrador delegado do GuardDuty. No entanto, as práticas recomendadas de segurança da AWS seguem o princípio do privilégio mínimo e não recomendam essa configuração.
- A alteração de uma conta de administrador delegado do GuardDuty não desabilita o GuardDuty para contas-membro.
-
Ao remover uma conta de administrador delegado do GuardDuty, o GuardDuty removerá todas as contas-membro associadas a essa conta de administrador delegado do GuardDuty. O GuardDuty ainda permanece habilitado para todas essas contas-membro.
