View a markdown version of this page

Habilitando a Proteção do S3 em ambientes de várias contas - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando a Proteção do S3 em ambientes de várias contas

Em um ambiente com várias contas, somente a conta do GuardDuty administrador delegado tem a opção de configurar (ativar ou desativar) a Proteção do S3 para as contas dos membros em sua organização. AWS As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. A conta de GuardDuty administrador delegado pode optar por ter o S3 Protection ativado automaticamente em todas as contas, somente em novas contas ou em nenhuma conta na organização. Para obter mais informações, consulte Como gerenciar contas com o AWS Organizations.

Escolha seu método de acesso preferido para habilitar o S3 Protection para a conta de GuardDuty administrador delegado.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Proteção do S3.

  3. Na página Proteção do S3, escolha Editar.

  4. Execute um destes procedimentos:

    Como usar a opção Habilitar para todas as contas

    • Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as GuardDuty contas ativas em sua AWS organização, incluindo as novas contas que ingressam na organização.

    • Escolha Salvar.

    Como usar a opção Configurar contas manualmente

    • Para habilitar o plano de proteção somente para a conta de GuardDuty administrador delegado, escolha Configurar contas manualmente.

    • Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).

    • Escolha Salvar.

API/CLI

Execute updateDetectorusando o ID do detector da conta do GuardDuty administrador delegado da região atual e transmitindo o features objeto name como S3_DATA_EVENTS e status comoENABLED.

Como alternativa, você pode configurar o S3 Protection usando o. AWS Command Line Interface Execute o comando a seguir e certifique-se de 12abc34d567e8fa901bc2d34e56789f0 substituí-lo pelo ID do detector da conta de GuardDuty administrador delegado da região atual.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'

Escolha seu método de acesso preferido para habilitar o S3 Protection para a conta de GuardDuty administrador delegado.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Faça login com sua conta de administrador.

  2. Execute um destes procedimentos:

    Usando a página Proteção do S3

    1. No painel de navegação, escolha Proteção do S3.

    2. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente a Proteção do S3 para contas novas e existentes na organização.

    3. Escolha Salvar.

      nota

      Pode levar até 24 horas para atualizar a configuração das contas-membro.

    Como usar a página Contas

    1. No painel de navegação, selecione Contas.

    2. Na página Contas, escolha Auto-enableas preferências antes de Adicionar contas por convite.

    3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Proteção do S3.

    4. Escolha Salvar.

    Se você não conseguir usar a opção Habilitar para todas as contas, consulte Habilite seletivamente a Proteção do S3 nas contas-membro.

API/CLI

  • Para ativar seletivamente o S3 Protection para suas contas de membros, invoque a operação da updateMemberDetectorsAPI usando a sua própria. detector ID

  • O exemplo a seguir mostra como você pode habilitar a Proteção do S3 para uma conta de membro único. Certifique-se de 12abc34d567e8fa901bc2d34e56789f0 substituir pela conta detector-id do GuardDuty administrador delegado e. 111122223333

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    Também é possível passar uma lista de IDs de conta separados por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar a Proteção do S3 para todas as contas-membro ativas existentes em sua organização.

Console

  1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Faça login usando as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, escolha Proteção do S3.

  3. Na página Proteção do S3, é possível exibir o status atual da configuração. Na seção Contas-membro ativas, escolha Ações.

  4. No menu suspenso Ações, escolha Habilitar para todas as contas-membro ativas existentes.

  5. Escolha Confirmar.

API/CLI

  • Para ativar seletivamente o S3 Protection para suas contas de membros, invoque a operação da updateMemberDetectorsAPI usando a sua própria. detector ID

  • O exemplo a seguir mostra como você pode habilitar a Proteção do S3 para uma conta de membro único. Certifique-se de 12abc34d567e8fa901bc2d34e56789f0 substituir pela conta detector-id do GuardDuty administrador delegado e. 111122223333

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    Também é possível passar uma lista de IDs de conta separados por um espaço.

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Selecione seu método de acesso preferido para habilitar a Proteção do S3 para novas contas que ingressam na sua organização.

Console

A conta de GuardDuty administrador delegado pode habilitar novas contas de membros em uma organização por meio do console, usando a página Proteção do S3 ou Contas.

Para habilitar automaticamente a Proteção do S3 para novas contas-membro

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    • Usando a página Proteção do S3:

      1. No painel de navegação, escolha Proteção do S3.

      2. Na página Proteção do S3, escolha Editar.

      3. Escolha Configurar contas manualmente.

      4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que sempre que uma nova conta ingressar na sua organização, a Proteção do S3 seja habilitada automaticamente para a conta dessa pessoa. Somente a conta do GuardDuty administrador delegado da organização pode modificar essa configuração.

      5. Escolha Salvar.

    • Como usar a página Contas:

      1. No painel de navegação, selecione Contas.

      2. Na página Contas, escolha Auto-enablepreferências.

      3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Proteção do S3.

      4. Escolha Salvar.

API/CLI

  • Para ativar seletivamente o S3 Protection para suas contas de membros, invoque a operação da UpdateOrganizationConfigurationAPI usando a sua própria. detector ID

  • O exemplo a seguir mostra como você pode habilitar a Proteção do S3 para uma conta de membro único. Defina as preferências para habilitar ou desabilitar automaticamente o plano de proteção nessa região para novas contas (NEW) que ingressam na organização, todas as contas (ALL) ou nenhuma das contas (NONE) na organização. Para obter mais informações, consulte auto EnableOrganizationMembers. Com base na sua preferência, talvez seja necessário substituir NEW por ALL ou NONE.

    Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'

  • Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar seletivamente a Proteção do S3 para contas-membro.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, selecione Contas.

    Na página Contas, analise a coluna Proteção do S3 para ver o status da sua conta-membro.

  3. Para habilitar seletivamente a Proteção do S3

    Selecione a conta para a qual deseja configurar a Proteção do S3. Você pode selecionar várias contas ao mesmo tempo. No menu suspenso Editar planos de proteção, selecione S3Pro e escolha a opção apropriada.

API/CLI

Para habilitar ou desabilitar seletivamente a Proteção do S3 para suas contas-membro, execute a operação da API updateMemberDetectors usando seu próprio ID de detector. O exemplo a seguir mostra como você pode habilitar a Proteção do S3 para uma conta de membro único. Para desabilitá-la, substitua true por false.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
nota

Também é possível passar uma lista de IDs de conta separados por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

nota

Se você usa scripts para integrar novas contas e deseja desabilitar a Proteção do S3 em suas novas contas, você pode modificar a operação da API createDetector com o objeto dataSources opcional, conforme descrito neste tópico.