View a markdown version of this page

Abilitazione della scansione GuardDuty-initiated antimalware in ambienti con più account - Amazon GuardDuty
Stabilire un accesso affidabile per abilitare la scansione GuardDuty-initiated antimalware

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione della scansione GuardDuty-initiated antimalware in ambienti con più account

In un ambiente con più account, solo gli account GuardDuty amministratore possono abilitare la scansione GuardDuty-initiated antimalware per conto dei propri account membri. Inoltre, un account amministratore che gestisce gli account dei membri con AWS Organizations supporto può scegliere di abilitare automaticamente la scansione GuardDuty-initiated antimalware su tutti gli account esistenti e nuovi dell'organizzazione. Per ulteriori informazioni, consulta Gestione GuardDuty degli account con AWS Organizations.

Stabilire un accesso affidabile per abilitare la scansione GuardDuty-initiated antimalware

Se l'account amministratore GuardDuty delegato non è lo stesso dell'account di gestione dell'organizzazione, l'account di gestione deve abilitare la scansione GuardDuty-initiated antimalware per l'organizzazione. In questo modo, l'account amministratore delegato può creare gli Service-linked autorizzazioni di ruolo per Malware Protection for EC2 account membri interni gestiti tramite. AWS Organizations

Nota

Prima di designare un account GuardDuty amministratore delegato, consulta. Considerazioni e raccomandazioni

Scegliete il metodo di accesso preferito per consentire all'account GuardDuty amministratore delegato di abilitare la scansione GuardDuty-initiated antimalware per gli account dei membri dell'organizzazione.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Per accedere, utilizza l'account di gestione della tua AWS Organizations organizzazione.

    1. Se non hai designato un account GuardDuty amministratore delegato, allora:

      Nella pagina Impostazioni, in Account GuardDuty amministratore delegato, inserisci le 12 cifre account ID che desideri designare per amministrare la politica nella tua organizzazione. GuardDuty Scegli Delega.

      1. Se hai già designato un account GuardDuty amministratore delegato diverso dall'account di gestione, allora:

        Nella pagina Impostazioni, in Amministratore delegato, attiva l'impostazione Autorizzazioni. Questa azione consentirà all'account GuardDuty amministratore delegato di allegare le autorizzazioni pertinenti agli account dei membri e di abilitare la scansione GuardDuty-initiated antimalware in tali account membro.

      2. Se hai già designato un account GuardDuty amministratore delegato uguale all'account di gestione, puoi abilitare direttamente la scansione GuardDuty-initiated antimalware per gli account dei membri. Per ulteriori informazioni, consulta Auto-enable GuardDuty-initiated scansione antimalware per tutti gli account dei membri.

      Suggerimento

      Se l'account GuardDuty amministratore delegato è diverso dal tuo account di gestione, devi fornire le autorizzazioni all'account GuardDuty amministratore delegato per consentire l'attivazione della scansione GuardDuty-initiated antimalware per gli account dei membri.

  3. Se desideri consentire all'account GuardDuty amministratore delegato di abilitare la scansione GuardDuty-initiated antimalware per gli account dei membri in altre regioni, modifica il tuo e ripeti i Regione AWS passaggi precedenti.

API/CLI

  1. Esegui il comando segunte tramite le credenziali dell'account di gestione:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. (Facoltativo) per abilitare la scansione GuardDuty-initiated antimalware per l'account di gestione che non è un account amministratore delegato, l'account di gestione creerà prima la scansione in Service-linked autorizzazioni di ruolo per Malware Protection for EC2 modo esplicito nel proprio account, quindi attiverà la scansione GuardDuty-initiated antimalware dall'account amministratore delegato, analogamente a qualsiasi altro account membro.

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. L'account GuardDuty amministratore delegato è stato designato nell'account attualmente selezionato. Regione AWS Se hai designato un account come account GuardDuty amministratore delegato in una regione, quell'account deve essere il tuo account GuardDuty amministratore delegato in tutte le altre regioni. Ripeti la fase precedente per tutte le altre regioni.

Scegli il metodo di accesso preferito per abilitare o disabilitare la scansione GuardDuty-initiated antimalware per un account amministratore delegato. GuardDuty

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, scegli Malware Protection for EC2.

  3. Nella pagina Malware Protection for EC2, scegli Modifica accanto alla scansione GuardDuty-initiated antimalware.

  4. Esegui una delle seguenti operazioni:

    Utilizzo Abilita per tutti gli account

    • Scegli Abilita per tutti gli account. Ciò abiliterà il piano di protezione per tutti gli GuardDuty account attivi nell' AWS organizzazione, inclusi i nuovi account che entrano a far parte dell'organizzazione.

    • Scegli Save (Salva).

    Utilizzo Configura gli account manualmente

    • Per abilitare il piano di protezione solo per l'account GuardDuty amministratore delegato, scegli Configura gli account manualmente.

    • Scegli Abilita nella sezione Account GuardDuty amministratore delegato (questo account).

    • Scegli Save (Salva).

API/CLI

Esegui l'operazione updateDetectorAPI utilizzando il tuo ID di rilevamento regionale e passando l'featuresoggetto di tanto in name tantoEBS_MALWARE_PROTECTION. status ENABLED

È possibile abilitare la scansione GuardDuty-initiated antimalware eseguendo il AWS CLI comando seguente. Assicurati di utilizzare un account GuardDuty amministratore delegato validodetector ID.

Per trovare l'detectorIdaccount e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Scegli il tuo metodo di accesso preferito per abilitare la funzionalità di scansione GuardDuty-initiated antimalware per tutti gli account membri. inclusi gli account membri esistenti e i nuovi account che entrano a far parte dell'organizzazione.

Console

  1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una delle seguenti operazioni:

    Utilizzo di Protezione da malware per EC2 page

    1. Nel riquadro di navigazione, scegli Malware Protection for EC2.

    2. Nella pagina Malware Protection for EC2, scegli Modifica nella sezione di scansione del GuardDuty-initiated malware.

    3. Scegli Abilita per tutti gli account. Questa azione abilita automaticamente la scansione GuardDuty-initiated antimalware sia per gli account esistenti che per quelli nuovi dell'organizzazione.

    4. Scegli Save (Salva).

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

    Utilizzo di Account page

    1. Dal riquadro di navigazione, selezionare Accounts (Account).

    2. Nella pagina Account, scegli Auto-enablele preferenze prima di Aggiungere account su invito.

    3. Nella finestra Gestisci le preferenze di attivazione automatica, scegli Abilita per tutti gli account sottoposti a scansione GuardDuty-initiated antimalware.

    4. Nella pagina Malware Protection for EC2, scegli Modifica nella sezione di scansione del GuardDuty-initiated malware.

    5. Scegli Abilita per tutti gli account. Questa azione abilita automaticamente la scansione GuardDuty-initiated antimalware sia per gli account esistenti che per quelli nuovi dell'organizzazione.

    6. Scegli Save (Salva).

      Nota

      L'aggiornamento della configurazione per gli account membri può richiedere fino a 24 ore.

    Utilizzo di Account page

    1. Dal riquadro di navigazione, selezionare Accounts (Account).

    2. Nella pagina Account, scegli Auto-enablele preferenze prima di Aggiungere account su invito.

    3. Nella finestra Gestisci le preferenze di attivazione automatica, scegli Abilita per tutti gli account sottoposti a scansione GuardDuty-initiated antimalware.

    4. Scegli Save (Salva).

    Se non puoi utilizzare l'opzione Abilita per tutti gli account, consulta Abilita selettivamente la scansione GuardDuty-initiated antimalware per gli account dei membri.

API/CLI

  • Per abilitare selettivamente la scansione GuardDuty-initiated antimalware per i tuoi account membri, richiama l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

  • L'esempio seguente mostra come abilitare la scansione GuardDuty-initiated antimalware per un singolo account membro. Per disabilitare un account membro, sostituisci ENABLED con DISABLED.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    Puoi anche trasmettere un elenco di ID account separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il tuo metodo di accesso preferito per abilitare la scansione GuardDuty-initiated antimalware per tutti gli account dei membri attivi esistenti nell'organizzazione.

Per configurare la scansione GuardDuty-initiated antimalware per tutti gli account dei membri attivi esistenti

  1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Accedi utilizzando le credenziali GuardDuty dell'account amministratore delegato.

  2. Nel riquadro di navigazione, scegli Malware Protection for EC2.

  3. In Malware Protection for EC2, puoi visualizzare lo stato corrente della configurazione della scansione GuardDuty-initiated antimalware. Nella sezione Account membri attivi, scegli Operazioni.

  4. Dal menu a discesa Operazioni, scegli Abilita per tutti gli account membri attivi esistenti.

  5. Scegli Save (Salva).

Gli account membro appena aggiunti devono essere abilitati GuardDuty prima di selezionare la configurazione della scansione GuardDuty-initiated antimalware. Gli account membri gestiti su invito possono configurare manualmente la scansione GuardDuty-initiated antimalware per i propri account. Per ulteriori informazioni, consulta Step 3 - Accept an invitation.

Scegli il metodo di accesso preferito per abilitare la scansione GuardDuty-initiated antimalware dei nuovi account che entrano a far parte della tua organizzazione.

Console

L'account GuardDuty amministratore delegato può abilitare la scansione GuardDuty-initiated antimalware per gli account dei nuovi membri di un'organizzazione, utilizzando la pagina Malware Protection for EC2 o Accounts.

Per abilitare automaticamente la scansione GuardDuty-initiated antimalware per gli account dei nuovi membri

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    Assicurati di utilizzare le credenziali GuardDuty dell'account amministratore delegato.

  2. Esegui una delle seguenti operazioni:

    • Utilizzo della pagina Malware Protection for EC2:

      1. Nel pannello di navigazione, scegli Malware Protection for EC2.

      2. Nella pagina Malware Protection for EC2, scegli Modifica nella scansione del GuardDuty-initiated malware.

      3. Scegli Configura gli account manualmente.

      4. Seleziona Abilita automaticamente per i nuovi account membri. Questo passaggio garantisce che ogni volta che un nuovo account si unisce alla tua organizzazione, la scansione GuardDuty-initiated antimalware venga abilitata automaticamente per tale account. Solo l'account GuardDuty amministratore delegato dell'organizzazione può modificare questa configurazione.

      5. Scegli Save (Salva).

    • Utilizzando la pagina Account:

      1. Dal riquadro di navigazione, selezionare Accounts (Account).

      2. Nella pagina Account, scegli Auto-enablele preferenze.

      3. Nella finestra Gestisci le preferenze di attivazione automatica, seleziona Abilita per nuovi account nell'ambito della scansione GuardDuty-initiated antimalware.

      4. Scegli Save (Salva).

API/CLI

  • Per abilitare o disabilitare la scansione GuardDuty-initiated antimalware per gli account dei nuovi membri, richiama l'operazione UpdateOrganizationConfigurationAPI utilizzando la tua. detector ID

  • L'esempio seguente mostra come abilitare la scansione GuardDuty-initiated antimalware per un account con un solo membro. Per disabilitarlo, consulta Abilita selettivamente la scansione GuardDuty-initiated antimalware per gli account dei membri. Se non desideri abilitarlo per tutti i nuovi account che entrano a far parte dell'organizzazione, imposta AutoEnable su NONE.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    Puoi anche trasmettere un elenco di ID account separati da uno spazio.

  • Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Scegli il tuo metodo di accesso preferito per configurare selettivamente la scansione GuardDuty-initiated antimalware per gli account dei membri.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Dal riquadro di navigazione, selezionare Accounts (Account).

  3. Nella pagina Account, controlla lo stato del tuo account membro nella colonna relativa alla scansione GuardDuty-initiated antimalware.

  4. Seleziona l'account per il quale desideri configurare la scansione GuardDuty-initiated antimalware. Puoi selezionare più account alla volta.

  5. Dal menu Modifica piani di protezione, scegli l'opzione appropriata per la scansione GuardDuty-initiated antimalware.

API/CLI

Per abilitare o disabilitare in modo selettivo la scansione GuardDuty-initiated antimalware per i tuoi account membri, richiama l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID

L'esempio seguente mostra come abilitare la scansione GuardDuty-initiated antimalware per un account con un solo membro.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Per abilitare selettivamente la scansione GuardDuty-initiated antimalware per i tuoi account membri, esegui l'operazione updateMemberDetectorsAPI utilizzando la tua. detector ID L'esempio seguente mostra come abilitare la scansione GuardDuty-initiated antimalware per un singolo account membro.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

Puoi anche trasmettere un elenco di ID account separati da uno spazio.

Se il codice viene eseguito correttamente, restituisce un elenco vuoto di UnprocessedAccounts. Se si verifica qualsiasi problema durante la modifica delle impostazioni del rilevatore di un account, l'ID dell'account viene elencato insieme a un riepilogo del problema.

Il ruolo collegato al servizio (SLR) di GuardDuty Malware Protection for EC2 deve essere creato negli account dei membri. L'account amministratore non può abilitare la funzionalità di scansione GuardDuty-initiated antimalware negli account dei membri che non sono gestiti da. AWS Organizations

Attualmente, è possibile eseguire i seguenti passaggi tramite la GuardDuty console all'indirizzo per https://console.aws.amazon.com/guardduty/abilitare la scansione GuardDuty-initiated antimalware per gli account membri esistenti.

Console

  1. Apri la GuardDuty console su https://console.aws.amazon.com/guardduty/.

    Accedi utilizzando le credenziali del tuo account amministratore.

  2. Dal riquadro di navigazione, selezionare Accounts (Account).

  3. Seleziona l'account membro per il quale desideri abilitare la scansione GuardDuty-initiated antimalware. Puoi selezionare più account alla volta.

  4. Scegli Azioni.

  5. Scegli Disassocia membro.

  6. Nel tuo account membro, nel riquadro di navigazione, scegli Protezione da malware in Piani di protezione.

  7. Scegli Abilita scansione GuardDuty-initiated malware. GuardDuty creerà una reflex per l'account del membro. Per ulteriori informazioni sul ruolo collegato ai servizi, consulta Service-linked autorizzazioni di ruolo per Malware Protection for EC2.

  8. Nel tuo account amministratore, scegli Account nel pannello di navigazione.

  9. Scegli l'account membro da aggiungere nuovamente all'organizzazione.

  10. Scegli Operazioni, quindi Aggiungi membro.

API/CLI

  1. Utilizza l'account amministratore per eseguire l'DisassociateMembersAPI sugli account dei membri che desiderano abilitare la scansione GuardDuty-initiated antimalware.

  2. Usa il tuo account membro per richiamare e UpdateDetectorabilitare la scansione GuardDuty-initiated antimalware.

    Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. Utilizza l'account amministratore per eseguire l'CreateMembersAPI e aggiungere nuovamente il membro all'organizzazione.