Gestion GuardDuty des comptes sur invitation - Amazon GuardDuty
Ajout et gestion des comptes par invitationConsolidation des comptes d' GuardDuty administrateur sous un seul compte d' GuardDuty administrateur délégué de l'organisation GuardDuty Activation simultanée sur plusieurs comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion GuardDuty des comptes sur invitation

Pour gérer des comptes en dehors de votre organisation, vous pouvez utiliser la méthode d'invitation héritée. Lorsque vous utilisez cette méthode, votre compte est désigné comme compte administrateur lorsqu'un autre compte accepte votre invitation à devenir un compte membre.

Si votre compte n'est pas un compte administrateur, vous pouvez accepter une invitation provenant d'un autre compte. Lorsque vous acceptez, votre compte devient un compte membre. Un AWS compte ne peut pas être à la fois un compte GuardDuty administrateur et un compte membre.

Lorsque vous acceptez l'invitation d'un compte, vous ne pouvez pas accepter l'invitation d'un autre compte. Pour accepter une invitation provenant d'un autre compte, vous devez d'abord dissocier votre compte du compte administrateur existant. Le compte administrateur peut également dissocier votre compte de son organisation et le supprimer.

Les comptes associés par invitation ont la même account-to-member relation d'administrateur globale que les comptes associés par AWS Organizations, comme décrit dansComprendre la relation entre le compte GuardDuty administrateur et les comptes membres. Toutefois, les utilisateurs du compte administrateur des invitations ne peuvent pas GuardDuty activer au nom des comptes membres associés ni consulter d'autres comptes non membres au sein de leur AWS Organizations organisation.

Important

Un transfert de données interrégional peut avoir lieu lors de la GuardDuty création de comptes membres à l'aide de cette méthode. Afin de vérifier les adresses e-mail des comptes des membres, GuardDuty utilise un service de vérification des e-mails qui fonctionne uniquement dans la région de l'est des États-Unis (Virginie du Nord).

Ajout et gestion des comptes par invitation

Choisissez l'une des méthodes d'accès pour ajouter et inviter des comptes à devenir des comptes GuardDuty membres en tant que compte GuardDuty administrateur.

Console
Étape 1 : ajouter un compte

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Accounts (Comptes).

  3. Choisissez Ajouter des comptes par invitation dans le panneau supérieur.

  4. Sur la page Ajouter des comptes membres, sous Entrez les détails du compte, entrez l' Compte AWS identifiant et l'adresse e-mail associés au compte que vous souhaitez ajouter.

  5. Pour ajouter une autre ligne afin de saisir les détails du compte un par un, choisissez Ajouter un autre compte. Vous pouvez également choisir Charger un fichier .csv avec les détails du compte pour ajouter des comptes en bloc.

    Important

    La première ligne de votre fichier csv doit contenir l'en-tête, comme illustré dans l'exemple ci-dessous : Account ID,Email. Chaque ligne suivante doit contenir un seul Compte AWS identifiant valide et l'adresse e-mail associée. Le format d'une ligne est valide si elle ne contient qu'un seul Compte AWS identifiant et l'adresse e-mail associée séparés par une virgule. 

    Account ID,Email
                                555555555555,user@example.com

  6. Après avoir ajouté tous les détails des comptes, choisissez Suivant. Vous pouvez consulter les comptes récemment ajoutés dans le tableau Comptes. L'état de ces comptes sera Invitation non envoyée. Pour plus d'informations sur l'envoi d'une invitation à un ou plusieurs comptes ajoutés, veuillez consulter Step 2 - Invite an account.

Étape 2 : inviter un compte

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Accounts (Comptes).

  3. Sélectionnez un ou plusieurs comptes que vous souhaitez inviter sur Amazon GuardDuty.

  4. Choisissez le menu déroulant Actions, puis choisissez Inviter.

  5. Dans la GuardDuty boîte de dialogue Invitation à, entrez un message d'invitation (facultatif).

    Si le compte invité n'a pas accès aux e-mails, sélectionnez Envoyer également une notification par e-mail à l'utilisateur root sur le Compte AWS de l'invité et générer une alerte dans le AWS Health Dashboard de l'invité.

  6. Choisissez Send invitation (Envoyer une invitation). Si les invités ont accès à l'adresse e-mail spécifiée, ils peuvent consulter l'invitation en ouvrant la GuardDuty console à l'adresse. https://console.aws.amazon.com/guardduty/

  7. Lorsqu'un invité accepte l'invitation, la valeur de la colonne Statut devient Invité. Pour plus d'informations sur l'acceptation d'une invitation, veuillez consulter Step 3 - Accept an invitation.

Étape 3 : accepter une invitation

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Important

    Vous devez l'activer GuardDuty avant de pouvoir consulter ou accepter une invitation d'adhésion.

  2. Procédez comme suit uniquement si vous ne l'avez pas GuardDuty encore activé ; sinon, vous pouvez ignorer cette étape et passer à l'étape suivante.

    Si vous ne l'avez pas encore activé GuardDuty, choisissez Get Started sur la GuardDuty page Amazon.

    Sur la GuardDuty page Bienvenue, sélectionnez Activer GuardDuty.

  3. Après avoir activé GuardDuty votre compte, procédez comme suit pour accepter l'invitation d'adhésion :

    1. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

    2. Choisissez Accounts.

    3. Sur les comptes, assurez-vous de vérifier le propriétaire du compte à partir duquel vous acceptez l'invitation. Activez Accepter pour accepter l'invitation d'adhésion.

  4. Une fois que vous avez accepté l'invitation, votre compte devient un compte GuardDuty membre. Le compte dont le propriétaire a envoyé l'invitation devient le compte GuardDuty administrateur. Le compte administrateur saura que vous avez accepté l'invitation. Le tableau des comptes de leur GuardDuty compte sera mis à jour. La valeur de la colonne État correspondant à votre identifiant de compte de membre deviendra Activé. Le titulaire du compte administrateur peut désormais consulter GuardDuty et gérer les configurations du plan de protection pour le compte de votre compte. Le compte administrateur peut également consulter et gérer les GuardDuty résultats générés pour votre compte membre.

API/CLI

Vous pouvez désigner un compte GuardDuty administrateur et créer ou ajouter des comptes GuardDuty membres sur invitation via les API opérations. Exécutez les GuardDuty API opérations suivantes afin de désigner le compte administrateur et les comptes membres dans GuardDuty.

Effectuez la procédure suivante en utilisant les informations d'identification du compte Compte AWS que vous souhaitez désigner comme compte GuardDuty administrateur.

Création ou ajout de comptes membres

  1. Exécutez l'CreateMembersAPIopération en utilisant les informations d'identification du AWS compte GuardDuty activé. Il s'agit du compte que vous souhaitez utiliser comme GuardDuty compte administrateur.

    Vous devez spécifier l'identifiant du détecteur du AWS compte actuel ainsi que l'identifiant du compte et l'adresse e-mail des comptes dont vous souhaitez devenir GuardDuty membres. Vous pouvez créer un ou plusieurs membres à l'aide de cette API opération.

    Vous pouvez également utiliser les outils de ligne de AWS commande pour désigner un compte administrateur en exécutant la CLI commande suivante. Assurez-vous d'utiliser vos propres ID de détecteur, ID de compte et adresse e-mail valides.

    Pour trouver le detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com

  2. Exécutez InviteMembersen utilisant les informations d'identification du AWS compte GuardDuty activé. Il s'agit du compte que vous souhaitez utiliser comme GuardDuty compte administrateur.

    Vous devez spécifier l'identifiant du détecteur du AWS compte courant et le compte IDs des comptes dont vous souhaitez devenir GuardDuty membres. Vous pouvez inviter un ou plusieurs membres avec cette API opération.

    Note

    Vous pouvez également spécifier un message d'invitation en option à l'aide du paramètre de requête message.

    Vous pouvez également l'utiliser AWS Command Line Interface pour désigner des comptes membres en exécutant la commande suivante. Assurez-vous d'utiliser votre propre identifiant de détecteur valide et votre propre compte valide IDs pour les comptes que vous souhaitez inviter.

    Pour trouver le detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
Acceptation d'invitations

Effectuez la procédure suivante en utilisant les informations d'identification de chaque AWS compte que vous souhaitez désigner comme compte GuardDuty membre.

  1. Exécutez l'CreateDetectorAPIopération pour chaque AWS compte qui a été invité à devenir un compte GuardDuty membre et pour lequel vous souhaitez accepter une invitation.

    Vous devez spécifier si la ressource du détecteur doit être activée à l'aide du GuardDuty service. Un détecteur doit être créé et activé GuardDuty pour être opérationnel. Vous devez d'abord l'activer GuardDuty avant d'accepter une invitation.

    Vous pouvez également le faire en utilisant les outils de ligne de AWS commande à l'aide de la CLI commande suivante.

    aws guardduty create-detector --enable

  2. Exécutez l'AcceptAdministratorInvitationAPIopération pour chaque AWS compte pour lequel vous souhaitez accepter l'invitation d'adhésion, en utilisant les informations d'identification de ce compte.

    Vous devez spécifier l'ID de détecteur de ce AWS compte pour le compte membre, l'ID de compte du compte administrateur qui a envoyé l'invitation et l'ID d'invitation de l'invitation que vous acceptez. Vous pouvez trouver l'identifiant du compte administrateur dans l'e-mail d'invitation ou en ListInvitationsutilisant leAPI.

    Vous pouvez également accepter une invitation à l'aide des outils de ligne de AWS commande en exécutant la CLI commande suivante. Assurez-vous d'utiliser un ID de détecteur, un ID de compte administrateur et un ID d'invitation valides.

    Pour trouver le detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5

Consolidation des comptes d' GuardDuty administrateur sous un seul compte d' GuardDuty administrateur délégué de l'organisation

GuardDuty recommande d'utiliser le service d'association AWS Organizations pour gérer les comptes des membres sous un compte d' GuardDuty administrateur délégué. Vous pouvez utiliser l'exemple de processus décrit ci-dessous pour consolider le compte administrateur et le membre associé sur invitation dans une organisation sous un seul compte d' GuardDuty administrateur GuardDuty délégué.

Note

Les comptes déjà gérés par un compte d' GuardDuty administrateur délégué ou les comptes de membres actifs associés à un compte d' GuardDuty administrateur délégué ne peuvent pas être ajoutés à un autre compte d' GuardDuty administrateur délégué. Chaque organisation ne peut avoir qu'un seul compte d' GuardDuty administrateur délégué par région, et chaque compte de membre ne peut avoir qu'un seul compte d' GuardDuty administrateur délégué.

Choisissez l'une des méthodes d'accès pour consolider les comptes d' GuardDuty administrateur sous un seul compte d' GuardDuty administrateur délégué.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Pour vous connecter, utilisez les informations d'identification du compte de gestion de l'organisation.

  2. Tous les comptes que vous souhaitez gérer GuardDuty doivent faire partie de votre organisation. Pour plus d'informations sur l'ajout d'un compte à votre organisation, voir Inviter un Compte AWS homme à rejoindre votre organisation.

  3. Assurez-vous que tous les comptes de membre sont associés au compte que vous souhaitez désigner comme compte d' GuardDuty administrateur délégué unique. Dissociez tout compte membre toujours associé aux comptes administrateur préexistants.

    Les étapes suivantes vous aideront à dissocier les comptes membres du compte administrateur préexistant :

    1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    2. Pour vous connecter, utilisez les informations d'identification du compte administrateur préexistant.

    3. Dans le panneau de navigation, choisissez Accounts (Comptes).

    4. Sur la page Comptes, sélectionnez un ou plusieurs comptes que vous souhaitez dissocier du compte administrateur.

    5. Choisissez Actions, puis Dissocier le compte.

    6. Choisissez Confirmer pour finaliser l'étape.

  4. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Pour vous connecter, utilisez les informations d'identification du compte de gestion .

  5. Dans le panneau de navigation, sélectionnez Settings (Paramètres). Sur la page Paramètres, désignez le compte GuardDuty d'administrateur délégué pour l'organisation.

  6. Connectez-vous au compte d' GuardDuty administrateur délégué désigné.

  7. Ajoutez des membres de l'organisation. Pour plus d’informations, consultez Gérer des GuardDuty comptes avec AWS Organizations.

API/CLI

  1. Tous les comptes que vous souhaitez gérer GuardDuty doivent faire partie de votre organisation. Pour plus d'informations sur l'ajout d'un compte à votre organisation, voir Inviter un Compte AWS homme à rejoindre votre organisation.

  2. Assurez-vous que tous les comptes de membre sont associés au compte que vous souhaitez désigner comme compte d' GuardDuty administrateur délégué unique.

    1. Exécutez DisassociateMemberspour dissocier tout compte de membre toujours associé aux comptes d'administrateur préexistants.

    2. Vous pouvez également AWS Command Line Interface exécuter la commande suivante et remplacer 777777777777 avec l'identifiant du détecteur du compte administrateur préexistant dont vous souhaitez dissocier le compte membre. Remplacez 666666666666 avec l' Compte AWS identifiant du compte membre que vous souhaitez dissocier. 

      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666

  3. Exécutez EnableOrganizationAdminAccountpour déléguer un compte Compte AWS en tant GuardDuty qu'administrateur délégué.

    Vous pouvez également exécuter la commande suivante AWS Command Line Interface pour déléguer un compte d' GuardDuty administrateur délégué :

    aws guardduty enable-organization-admin-account --admin-account-id 777777777777

  4. Ajoutez des membres de l'organisation. Pour plus d’informations, consultez Create or add member member accounts using API.
Important

Pour optimiser l'efficacité d' GuardDutyun service régional, nous vous recommandons de désigner votre compte d' GuardDuty administrateur délégué et d'ajouter tous vos comptes de membre dans chaque région.

GuardDuty Activation simultanée sur plusieurs comptes

Utilisez la méthode suivante pour l'activer GuardDuty dans plusieurs comptes en même temps.

Utilisez des scripts Python pour activer GuardDuty simultanément plusieurs comptes

Vous pouvez automatiser l'activation ou la désactivation de plusieurs comptes à l'aide des scripts du référentiel d'exemples GuardDuty sur Amazon GuardDuty Multiaccount Scripts. Utilisez le processus décrit dans cette section GuardDuty pour activer la liste des comptes de membres utilisant AmazonEC2. Pour plus d'informations sur l'utilisation du script de désactivation ou sur sa configuration locale, reportez-vous aux instructions figurant dans le lien partagé.

Le enableguardduty.py script active GuardDuty, envoie des invitations depuis le compte administrateur et accepte les invitations dans tous les comptes membres. Le résultat est un GuardDuty compte administrateur qui contient tous les résultats de sécurité pour tous les comptes membres. Étant donné qu' GuardDuty il est isolé par région, les résultats pour chaque compte membre sont répercutés sur la région correspondante dans le compte administrateur. Par exemple, la région us-east-1 de GuardDuty votre compte administrateur contient les résultats de sécurité relatifs à tous les résultats us-east-1 provenant de tous les comptes membres associés.

Ces scripts dépendent d'un IAM rôle partagé avec la politique gérée —AWS politique gérée : AmazonGuardDutyFullAccess. Cette politique permet aux entités d'accéder au compte administrateur GuardDuty et doit être présente sur celui-ci et dans chaque compte pour lequel vous souhaitez l'activer GuardDuty.

Le processus suivant est activé par défaut GuardDuty dans toutes les régions disponibles. Vous pouvez l'activer GuardDuty dans les régions spécifiées uniquement en utilisant l'--enabled_regionsargument facultatif et en fournissant une liste de régions séparées par des virgules. Vous pouvez également personnaliser le message d'invitation envoyé aux comptes membres en ouvrant enableguardduty.py et en modifiant la chaîne gd_invite_message.

  1. Créez un IAM rôle dans le compte GuardDuty administrateur et associez la AWS politique gérée : AmazonGuardDutyFullAccess politique à activer GuardDuty.

  2. Créez un IAM rôle dans chaque compte de membre que vous souhaitez voir gérer par votre compte GuardDuty d'administrateur. Ce rôle doit porter le même nom que le rôle créé à l'étape 1, il doit autoriser le compte administrateur en tant qu'entité de confiance et il doit avoir la même politique AmazonGuardDutyFullAccess gérée décrite précédemment.

  3. Lancez une nouvelle instance Amazon Linux avec un rôle attaché ayant la relation d'approbation suivante, qui permet à l'instance d'assumer un rôle de service.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. Connectez-vous à la nouvelle instance et exécutez les commandes suivantes pour la configurer.

    sudo yum install git python 
sudo yum install python-pip
pip install boto3 
aws configure 
git clone https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.git
cd amazon-guardduty-multiaccount-scripts 
sudo chmod +x disableguardduty.py enableguardduty.py

  5. Créez un CSV fichier contenant la liste des comptes IDs et des e-mails des comptes de membres auxquels vous avez ajouté un rôle à l'étape 2. Chaque compte doit figurer sur une ligne distincte, et l'ID de compte et l'adresse e-mail doivent être séparés par une virgule, comme illustré dans l'exemple suivant.

    111122223333,guardduty-member@organization.com
    Note

    Le CSV fichier doit se trouver au même emplacement que votre enableguardduty.py script. Vous pouvez copier un CSV fichier existant depuis Amazon S3 vers votre répertoire actuel à l'aide de la méthode suivante. 

    aws s3 cp s3://my-bucket/my_key_name example.csv

  6. Exécutez le script python. Assurez-vous de fournir votre identifiant de compte GuardDuty administrateur, le nom du rôle créé lors des premières étapes et le nom de votre CSV fichier comme arguments.

    python enableguardduty.py --master_account 444455556666 --assume_role roleName accountID.csv