Perfis vinculados a serviço Entidades de serviço primárias Habilitar acesso confiável Desabilitar acesso confiável Habilitar uma conta de administrador delegado

Amazon GuardDuty e AWS Organizations

O Amazon GuardDuty é um serviço contínuo de monitoramento de segurança que analisa e processa uma variedade de fontes de dados, usando feeds de inteligência sobre ameaças e machine learning para identificar atividades inesperadas e potencialmente não autorizadas e maliciosas dentro do seu ambiente da AWS. Isso pode incluir problemas como escalonamentos de privilégios, uso de credenciais expostas, comunicação com endereços IP, URLs ou domínios mal-intencionados ou presença de malware nas instâncias e workloads de contêiner do Amazon Elastic Compute Cloud.

Você pode ajudar a simplificar o gerenciamento do GuardDuty usando o Organizations para gerenciar o GuardDuty em todas as contas de sua organização.

Para obter mais informações, consulte Gerenciar contas do GuardDuty com o AWS Organizations no Guia do usuário do Amazon GuardDuty

Use as informações a seguir para ajudá-lo a integrar o Amazon GuardDuty ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

As funções vinculadas ao serviço a seguir são criadas automaticamente na conta gerencial de sua organização quando você habilita o acesso confiável. Elas permitem que o GuardDuty realize as operações suportadas nas contas de sua organização. Você só pode excluir uma função se desabilitar o acesso confiável entre o GuardDuty e o Organizations, ou se você remover a conta-membro da organização.

A função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty é criada automaticamente em contas que integraram o GuardDuty com o Organizations. Para obter mais informações, consulte Gerenciar contas do GuardDuty com o Organizations no Guia do usuário do Amazon GuardDuty
A função vinculada ao serviço AmazonGuardDutyMalwareProtectionServiceRolePolicy é automaticamente criada nas contas que ativaram GuardDuty Malware Protection. Para obter mais informações, consulte Permissões da função vinculada ao serviço para o GuardDuty Malware Protection no Guia do usuário do Amazon GuardDuty

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

guardduty.amazonaws.com, usado pela função vinculada ao serviço AWSServiceRoleForAmazonGuardDuty.
malware-protection.guardduty.amazonaws.com, usado pela função vinculada ao serviço AmazonGuardDutyMalwareProtectionServiceRolePolicy.

Habilitar o acesso confiável no GuardDuty

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você só pode habilitar o acesso confiável usando o Amazon GuardDuty.

O Amazon GuardDuty requer acesso confiável ao AWS Organizations para você poder designar uma conta-membro como administrador do GuardDuty para a sua organização. Se você configurar um administrador delegado usando o console do GuardDuty, o GuardDuty habilita automaticamente o acesso confiável para você.

No entanto, se você desejar configurar uma conta de administrador delegado usando a AWS CLI ou um dos AWS SDKs, chame explicitamente a operação EnableAWSServiceAccess e forneça a entidade de serviço primária como um parâmetro. Então, você pode chamar EnableOrganizationAdminAccount para delegar a conta de administrador do GuardDuty.

Desabilitar o acesso confiável no GuardDuty

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você só pode desabilitar o acesso confiável usando as ferramentas do Organizations.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

Habilitar uma conta de administrador delegado para o GuardDuty

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o GuardDuty que, de outra forma, só podem ser executadas por usuários ou funções na conta gerencial da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do GuardDuty.

Permissões mínimas

Para obter informações sobre as permissões necessárias para designar uma conta-membro como administrador delegado, consulte Permissões necessárias para designar um administrador delegado no Guia do usuário do Amazon GuardDuty

Para designar uma conta-membro como administrador delegado do GuardDuty

Consulte Designar um administrador delegado e adicionar contas-membro (console) e Designar um administrador delegado e adicionar contas-membro (API)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Firewall Manager

AWS Health