Como habilitar a proteção Lambda em ambientes com várias contas

Em um ambiente com várias contas, somente a conta do GuardDuty administrador delegado tem a opção de ativar ou desativar a Proteção Lambda para as contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia as contas dos membros usando AWS Organizations. A conta de GuardDuty administrador delegado pode optar por habilitar automaticamente o Lambda Network Activity Monitoring para todas as novas contas à medida que elas ingressam na organização. Para obter mais informações sobre ambientes com várias contas, consulte Gerenciamento de várias contas na Amazon. GuardDuty

Escolha seu método de acesso preferido para ativar ou desativar o Lambda Network Activity Monitoring para uma conta de administrador delegado GuardDuty .

Console

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
No painel de navegação, em Configurações, escolha Proteção do Lambda.
Na página Proteção do Lambda, escolha Editar.
Execute um destes procedimentos:
Como usar a opção Habilitar para todas as contas
- Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as GuardDuty contas ativas em sua AWS organização, incluindo as novas contas que ingressam na organização.
- Escolha Salvar.
Como usar a opção Configurar contas manualmente
- Para habilitar o plano de proteção somente para a conta de GuardDuty administrador delegado, escolha Configurar contas manualmente.
- Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).
- Escolha Salvar.

API/CLI

Execute a updateDetectorAPIoperação usando seu próprio ID de detector regional e passando o features objeto name como LAMBDA_NETWORK_LOGS e status comoENABLED.

Como alternativa, você pode usar AWS CLI para ativar a Proteção Lambda. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção Lambda.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.


aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Escolha seu método de acesso preferido para habilitar o recurso Monitoramento de atividades de rede do Lambda para todas as contas-membro. Isso inclui contas-membro existentes e as novas contas que ingressam na organização.

Console

Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.
Execute um destes procedimentos:
Usando a página de Proteção do Lambda
1. No painel de navegação, escolha Proteção do Lambda.
2. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente o Monitoramento de atividades de rede do Lambda para contas existentes e novas na organização.
3. Escolha Salvar.
  
  nota
  Pode levar até 24 horas para atualizar a configuração das contas-membro.
Como usar a página Contas
1. No painel de navegação, selecione Contas.
2. Na página Contas, escolha Habilitar automaticamente as preferências antes de Adicionar contas por convite.
3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Monitoramento de atividades de rede do Lambda.
  
  nota
  Por padrão, essa ação ativa automaticamente a opção Ativar automaticamente GuardDuty para novas contas de membros.
4. Escolha Salvar.
Se você não conseguir usar a opção Habilitar para todas as contas, consulte Habilite ou desabilite seletivamente o Monitoramento de atividades de rede do Lambda para contas-membro.

API/CLI

Para ativar ou desativar seletivamente o Lambda Network Activity Monitoring para suas contas de membros, invoque o updateMemberDetectorsAPIoperação usando a sua própriadetector ID.


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar o Monitoramento de atividades de rede do Lambda para todas as contas-membro ativas existentes na organização.

Escolha seu método de acesso preferido para habilitar o Monitoramento de atividades de rede do Lambda para novas contas que ingressam na sua organização.

Console

A conta de GuardDuty administrador delegado pode habilitar o Lambda Network Activity Monitoring para novas contas de membros em uma organização, usando a página Lambda Protection ou Accounts.

Para habilitar automaticamente o Monitoramento de atividades de rede do Lambda para novas contas-membro

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.
Execute um destes procedimentos:
- Usando a página de Proteção do Lambda:
  1. No painel de navegação, escolha Proteção do Lambda.
  2. Na página Proteção do Lambda, escolha Editar.
  3. Escolha Configurar contas manualmente.
  4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que sempre que uma nova conta ingressar na sua organização, a Proteção do Lambda seja habilitada automaticamente para a conta dessa pessoa. Somente a conta do GuardDuty administrador delegado da organização pode modificar essa configuração.
  5. Escolha Salvar.
- Como usar a página Contas:
  1. No painel de navegação, selecione Contas.
  2. Na página Contas, escolha Habilitar automaticamente as preferências.
  3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Monitoramento de atividades de rede do Lambda.
  4. Escolha Salvar.

API/CLI

Para habilitar o Lambda Network Activity Monitoring para novas contas de membros, invoque o UpdateOrganizationConfigurationAPIoperação usando a sua própriadetector ID.

Como alternativa, você pode usar AWS CLI para ativar a Proteção Lambda. O exemplo a seguir mostra como você pode habilitar o Monitoramento de atividades de rede do Lambda para uma única conta de membro. 12abc34d567e8fa901bc2d34e56789f0Substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção Lambda. Se não quiser habilitá-lo para todas as novas contas que ingressarem na organização, defina AutoEnable como NONE.


aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

Escolha seu método de acesso preferido para habilitar ou desabilitar seletivamente o Monitoramento de atividades de rede do Lambda para contas-membro.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Proteção do Lambda

Como habilitar a Proteção Lambda para uma conta autônoma

Como habilitar a proteção Lambda em ambientes com várias contas

Como usar a opção Habilitar para todas as contas

Como usar a opção Configurar contas manualmente

Usando a página de Proteção do Lambda

nota

Como usar a página Contas

nota

Para configurar o Monitoramento de atividades de rede do Lambda para todas as contas-membro ativas existentes

Para habilitar automaticamente o Monitoramento de atividades de rede do Lambda para novas contas-membro