Como habilitar a Proteção do RDS em ambientes com várias contas - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como habilitar a Proteção do RDS em ambientes com várias contas

Em um ambiente de várias contas, somente a conta de GuardDuty administrador delegado tem a opção de ativar ou desativar o recurso de Proteção RDS para as contas membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Essa conta de GuardDuty administrador delegado pode optar por ativar automaticamente o monitoramento da atividade de login do RDS para todas as novas contas à medida que elas ingressam na organização. Para obter mais informações sobre ambientes com várias contas, consulte Várias contas em GuardDuty.

Escolha seu método de acesso preferido para configurar o RDS Login Activity Monitoring para a conta de GuardDuty administrador delegado.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Proteção do RDS.

  3. Na página Proteção do RDS, escolha Editar.

  4. Execute um destes procedimentos:

    Como usar a opção Habilitar para todas as contas

    • Escolha Habilitar para todas as contas. Isso habilitará o plano de proteção para todas as GuardDuty contas ativas em sua AWS organização, incluindo as novas contas que ingressam na organização.

    • Escolha Salvar.

    Como usar a opção Configurar contas manualmente

    • Para ativar o plano de proteção somente para a conta de GuardDuty administrador delegado, escolha Configurar contas manualmente.

    • Escolha Habilitar na seção Conta de GuardDuty administrador delegado (esta conta).

    • Escolha Salvar.

API/CLI

Execute a updateDetectorOperação de API usando seu próprio ID de detector regional e transmitindo o features objeto name como RDS_LOGIN_EVENTS e status comoENABLED.

Como alternativa, você pode usar AWS CLI para ativar a Proteção RDS. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção RDS.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Escolha seu método de acesso preferido para habilitar o recurso de Proteção do RDS para todas as contas-membro. Isso inclui contas-membro existentes e as novas contas que ingressam na organização.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    Como usar a página Proteção do RDS

    1. No painel de navegação, escolha Proteção do RDS.

    2. Escolha Habilitar para todas as contas. Essa ação habilita automaticamente a Proteção do RDS para contas novas e existentes na organização.

    3. Escolha Salvar.

      nota

      Pode levar até 24 horas para atualizar a configuração das contas-membro.

    Como usar a página Contas

    1. No painel de navegação, selecione Contas.

    2. Na página Contas, escolha Habilitar automaticamente as preferências antes de Adicionar contas por convite.

    3. Na janela Gerenciar preferências de habilitação automática, escolha Habilitar para todas as contas em Monitoramento de atividades de login do RDS.

    4. Escolha Salvar.

    Se você não conseguir usar a opção Habilitar para todas as contas, consulte Habilitar ou desabilitar seletivamente a Proteção do RDS para contas de membros.

API/CLI

Para ativar ou desativar seletivamente a Proteção RDS para suas contas de membros, invoque o updateMemberDetectorsOperação de API usando a sua própriadetector ID.

Como alternativa, você pode usar AWS CLI para ativar a Proteção RDS. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção RDS.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar a Proteção do RDS para todas as contas-membro ativas existentes em sua organização. As contas de membros que já foram GuardDuty ativadas são chamadas de membros ativos existentes.

Console

  1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Faça login usando as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, escolha Proteção do RDS.

  3. Na página Proteção do RDS, você pode ver o status atual da configuração. Na seção Contas-membro ativas, escolha Ações.

  4. No menu suspenso Ações, escolha Habilitar para todas as contas-membro ativas existentes.

  5. Escolha Confirmar.

API/CLI

Execute a updateMemberDetectorsOperação de API usando a sua própriadetector ID.

Como alternativa, você pode usar AWS CLI para ativar a Proteção RDS. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção RDS.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Escolha seu método de acesso preferido para habilitar a atividade de login do RDS para novas contas que ingressarem na sua organização.

Console

A conta de GuardDuty administrador delegado pode habilitar novas contas de membros em uma organização por meio do console, usando a página Proteção do RDS ou Contas.

Para habilitar automaticamente a Proteção do RDS para novas contas-membro

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. Execute um destes procedimentos:

    • Como usar a página Proteção do RDS:

      1. No painel de navegação, escolha Proteção do RDS.

      2. Na página Proteção do RDS, escolha Editar.

      3. Escolha Configurar contas manualmente.

      4. Selecione Habilitar automaticamente para novas contas-membro. Essa etapa garante que, sempre que uma nova conta ingressar na sua organização, a Proteção do RDS seja habilitada automaticamente para a conta dessa pessoa. Somente a conta do GuardDuty administrador delegado da organização pode modificar essa configuração.

      5. Escolha Salvar.

    • Como usar a página Contas:

      1. No painel de navegação, selecione Contas.

      2. Na página Contas, escolha Habilitar automaticamente as preferências.

      3. Na janela Gerenciar preferências de habilitação automática, selecione Habilitar para novas contas em Monitoramento de atividades de login do RDS.

      4. Escolha Salvar.

API/CLI

Para ativar ou desativar seletivamente a Proteção RDS para suas contas de membros, invoque o UpdateOrganizationConfigurationOperação de API usando a sua própriadetector ID.

Como alternativa, você pode usar AWS CLI para ativar a Proteção RDS. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção RDS. Se não quiser habilitá-lo para todas as novas contas que ingressarem na organização, defina autoEnable como NONE.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectorsAPI.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.

Selecione o método de acesso de sua preferência para habilitar seletivamente o monitoramento da atividade de login do RDS para contas de membros.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    Certifique-se de usar as credenciais da conta de GuardDuty administrador delegado.

  2. No painel de navegação, selecione Contas.

    Na página Contas, revise a coluna Atividade de login do RDS para ver o status da sua conta-membro.

  3. Para habilitar ou desabilitar seletivamente a atividade de login do RDS

    Selecione a conta para a qual deseja configurar a Proteção do RDS. Você pode selecionar várias contas ao mesmo tempo. No menu suspenso Editar planos de proteção, escolha Atividade de login do RDS e escolha a opção apropriada.

API/CLI

Para ativar ou desativar seletivamente a Proteção RDS para suas contas de membros, invoque o updateMemberDetectorsOperação de API usando a sua própriadetector ID.

Como alternativa, você pode usar AWS CLI para ativar a Proteção RDS. Execute o comando a seguir e 12abc34d567e8fa901bc2d34e56789f0 substitua pelo ID do detector da sua conta e us-east-1 pela região em que você deseja ativar a Proteção RDS.

Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
nota

Você também pode passar uma lista de contas IDs separadas por um espaço.

Quando o código é executado com êxito, ele retorna uma lista vazia de UnprocessedAccounts. Se houver algum problema na alteração das configurações do detector de uma conta, esse ID de conta será listado junto com um resumo do problema.