Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion GuardDuty des comptes sur invitation
<a name="guardduty_invitations"></a>

Pour gérer des comptes en dehors de votre organisation, vous pouvez utiliser la méthode d'invitation héritée. Lorsque vous utilisez cette méthode, votre compte est désigné comme compte administrateur lorsqu'un autre compte accepte votre invitation à devenir un compte membre. 

**Note**  
GuardDuty recommande d'utiliser AWS Organizations plutôt que des GuardDuty invitations pour gérer vos comptes de membres. Pour de plus amples informations, veuillez consulter [Gestion de comptes avec AWS Organizations](guardduty_organizations.md).

Si votre compte n'est pas un compte administrateur, vous pouvez accepter une invitation provenant d'un autre compte. Lorsque vous acceptez, votre compte devient un compte membre. Un AWS compte ne peut pas être à la fois un compte GuardDuty administrateur et un compte membre.

Lorsque vous acceptez l'invitation d'un compte, vous ne pouvez pas accepter l'invitation d'un autre compte. Pour accepter une invitation provenant d'un autre compte, vous devez d'abord dissocier votre compte du compte administrateur existant. Le compte administrateur peut également dissocier votre compte de son organisation et le supprimer.

Les comptes associés par invitation ont la même account-to-member relation d'administrateur globale que les comptes associés par AWS Organizations, comme décrit dans[Comprendre la relation entre le compte GuardDuty administrateur et les comptes membres](administrator_member_relationships.md). Toutefois, les utilisateurs du compte administrateur des invitations ne peuvent pas GuardDuty activer au nom des comptes membres associés ni consulter d'autres comptes non membres au sein de leur AWS Organizations organisation.

**Important**  
Un transfert de données interrégional peut avoir lieu lors de la GuardDuty création de comptes membres à l'aide de cette méthode. Afin de vérifier les adresses e-mail des comptes des membres, GuardDuty utilise un service de vérification des e-mails qui fonctionne uniquement dans la région de l'est des États-Unis (Virginie du Nord).

**Topics**
+ [Ajouter des comptes sur invitation](guardduty_become_console.md)
+ [Consolidation des comptes d' GuardDuty administrateurs au sein d'une seule organisation](consolidate-orgs.md)

# Ajouter des comptes sur invitation
<a name="guardduty_become_console"></a>

En tant que compte administrateur déjà GuardDuty activé, vous pouvez ajouter des membres à utiliser GuardDuty. Après avoir ajouté les membres, vous pouvez les inviter à vous rejoindre GuardDuty et ils peuvent choisir de répondre à votre invitation.

**Note**  
GuardDuty recommande d'utiliser AWS Organizations plutôt que des GuardDuty invitations pour gérer vos comptes de membres. Pour de plus amples informations, veuillez consulter [Gestion de comptes avec AWS Organizations](guardduty_organizations.md).

Choisissez une méthode d'accès préférée pour ajouter des comptes de GuardDuty membre en tant que compte d' GuardDuty administrateur. 

------
#### [ Console ]

**Étape 1 : ajouter un compte**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. 

1. Choisissez **Ajouter des comptes par invitation** dans le panneau supérieur.

1. Sur la page **Ajouter des comptes membres**, sous **Entrer les détails du compte**, saisissez l'ID d' Compte AWS et l'adresse e-mail associée au compte que vous souhaitez ajouter. 

1. Pour ajouter une autre ligne afin de saisir les détails du compte un par un, choisissez **Ajouter un autre compte**. Vous pouvez également choisir **Charger un fichier .csv avec les détails du compte** pour ajouter des comptes en bloc.
**Important**  
La première ligne de votre fichier csv doit contenir l'en-tête, comme illustré dans l'exemple ci-dessous : `Account ID,Email`. Chaque ligne suivante doit contenir un seul Compte AWS identifiant valide et l'adresse e-mail associée. Le format d'une ligne est valide si elle ne contient qu'un seul ID Compte AWS et l'adresse e-mail associée séparés par une virgule.   

   ```
   Account ID,Email
                                   555555555555,user@example.com
   ```

1. Après avoir ajouté tous les détails des comptes, choisissez **Suivant**. Vous pouvez consulter les comptes récemment ajoutés dans le tableau Comptes. L'**état** de ces comptes sera **Invitation non envoyée**. Pour plus d'informations sur l'envoi d'une invitation à un ou plusieurs comptes ajoutés, veuillez consulter [Step 2 - Invite an account](#guardduty_invite_member_proc).

**Étape 2 : inviter un compte**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. 

1. Sélectionnez un ou plusieurs comptes que vous souhaitez inviter sur Amazon GuardDuty. 

1. Choisissez le menu déroulant **Actions**, puis choisissez **Inviter**.

1. Dans la GuardDuty boîte **de dialogue Invitation à**, entrez un message d'invitation (facultatif).

   Si le compte invité n'a pas accès au courrier électronique, cochez la case **Envoyer également une notification par e-mail à l'utilisateur root sur celui de l'invité Compte AWS et générer une alerte sur celui de l'**invité. Tableau de bord AWS Health

1. Choisissez **Send invitation** (Envoyer une invitation). Si les invités ont accès à l'adresse e-mail spécifiée, ils peuvent consulter l'invitation en ouvrant la GuardDuty console à l'adresse. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. Lorsqu'un invité accepte l'invitation, la valeur de la colonne **Statut** devient **Invité**. Pour plus d'informations sur l'acceptation d'une invitation, veuillez consulter [Step 3 - Accept an invitation](#guardduty_accept_invite_proc).

**Étape 3 : accepter une invitation**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
**Important**  
Vous devez l'activer GuardDuty avant de pouvoir consulter ou accepter une invitation d'adhésion.

1. Procédez comme suit uniquement si vous ne l'avez pas GuardDuty encore activé ; sinon, vous pouvez ignorer cette étape et passer à l'étape suivante.

   Si vous ne l'avez pas encore activé GuardDuty, choisissez **Get Started** sur la GuardDuty page Amazon. 

   Sur la page **Bienvenue dans GuardDuty**, choisissez **Activer GuardDuty**.

1. Après avoir activé GuardDuty votre compte, procédez comme suit pour accepter l'invitation d'adhésion : 

   1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

   1. Choisissez **Accounts**.

   1. Sur les **comptes**, assurez-vous de vérifier le propriétaire du compte à partir duquel vous acceptez l'invitation. Activez **Accepter** pour accepter l'invitation d'adhésion. 

1. Après avoir accepté l'invitation, votre compte devient un compte GuardDuty membre. Le compte dont le propriétaire a envoyé l'invitation devient le compte GuardDuty administrateur. Le compte administrateur saura que vous avez accepté l'invitation. Le tableau **des comptes** de leur GuardDuty compte sera mis à jour. La valeur de la colonne **État** correspondant à votre identifiant de compte de membre deviendra **Activé**. Le titulaire du compte administrateur peut désormais consulter GuardDuty et gérer les configurations du plan de protection pour le compte de votre compte. Le compte administrateur peut également consulter et gérer les GuardDuty résultats générés pour votre compte membre.

------
#### [ API/CLI ]

Vous pouvez désigner un compte GuardDuty administrateur et créer ou ajouter des comptes GuardDuty membres sur invitation via les opérations de l'API. Exécutez les opérations GuardDuty d'API suivantes afin de désigner le compte administrateur et les comptes membres dans GuardDuty.

Effectuez la procédure suivante en utilisant les informations d'identification du compte Compte AWS que vous souhaitez désigner comme compte GuardDuty administrateur.

**Création ou ajout de comptes membres**

1. Exécutez l'opération [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)API en utilisant les informations d'identification du AWS compte GuardDuty activé. Il s'agit du compte que vous souhaitez utiliser comme GuardDuty compte administrateur.

   Vous devez spécifier l'identifiant du détecteur du AWS compte actuel ainsi que l'identifiant du compte et l'adresse e-mail des comptes dont vous souhaitez devenir GuardDuty membres. Vous pouvez créer un ou plusieurs membres avec cette opération d'API.

   Vous pouvez également utiliser les outils de ligne de AWS commande pour désigner un compte administrateur en exécutant la commande CLI suivante. Assurez-vous d'utiliser vos propres ID de détecteur, ID de compte et adresse e-mail valides.

   `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
   ```

1. Exécutez [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html)en utilisant les informations d'identification du AWS compte GuardDuty activé. Il s'agit du compte que vous souhaitez utiliser comme GuardDuty compte administrateur.

    Vous devez spécifier l'identifiant du détecteur du AWS compte courant et le compte IDs des comptes dont vous souhaitez devenir GuardDuty membres. Vous pouvez inviter un ou plusieurs membres avec cette opération d'API.
**Note**  
Vous pouvez également spécifier un message d'invitation en option à l'aide du paramètre de requête `message`.

   Vous pouvez également l'utiliser AWS Command Line Interface pour désigner des comptes membres en exécutant la commande suivante. Assurez-vous d'utiliser votre propre identifiant de détecteur valide et votre compte valide IDs pour les comptes que vous souhaitez inviter. 

   `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
   ```

**Acceptation d'invitations**

Effectuez la procédure suivante en utilisant les informations d'identification de chaque AWS compte que vous souhaitez désigner comme compte GuardDuty membre.

1. Exécutez l'opération [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html)API pour chaque AWS compte qui a été invité à devenir un compte GuardDuty membre et pour lequel vous souhaitez accepter une invitation. 

   Vous devez spécifier si la ressource du détecteur doit être activée à l'aide du GuardDuty service. Un détecteur doit être créé et activé GuardDuty pour être opérationnel. Vous devez d'abord l'activer GuardDuty avant d'accepter une invitation.

   Vous pouvez également le faire en utilisant les outils de ligne de AWS commande à l'aide de la commande CLI suivante.

   ```
   aws guardduty create-detector --enable
   ```

1. Exécutez l'opération [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html)API pour chaque AWS compte pour lequel vous souhaitez accepter l'invitation d'adhésion, en utilisant les informations d'identification de ce compte. 

   Vous devez spécifier l'ID de détecteur de ce AWS compte pour le compte membre, l'ID de compte du compte administrateur qui a envoyé l'invitation et l'ID d'invitation de l'invitation que vous acceptez. Vous trouverez l'ID de compte du compte administrateur dans l'e-mail d'invitation ou en utilisant l'opération [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html) de l'API.

   Vous pouvez également accepter une invitation à l'aide des outils de ligne de AWS commande en exécutant la commande CLI suivante. Assurez-vous d'utiliser un ID de détecteur, un ID de compte administrateur et un ID d'invitation valides.

   `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
   ```

------

# Consolidation des comptes d' GuardDuty administrateurs au sein d'une seule organisation
<a name="consolidate-orgs"></a>

GuardDuty recommande d'utiliser le service d'association AWS Organizations pour gérer les comptes des membres sous un compte d' GuardDuty administrateur délégué. Vous pouvez utiliser l'exemple de processus décrit ci-dessous pour consolider le compte administrateur et le membre associé sur invitation dans une organisation sous un seul compte GuardDuty administrateur GuardDuty délégué.

**Note**  
GuardDuty recommande d'utiliser AWS Organizations plutôt que des GuardDuty invitations pour gérer vos comptes de membres. Pour de plus amples informations, veuillez consulter [Gestion de comptes avec AWS Organizations](guardduty_organizations.md).

Les comptes déjà gérés par un compte d' GuardDuty administrateur délégué ou les comptes de membres actifs associés à un compte d' GuardDuty administrateur délégué ne peuvent pas être ajoutés à un autre compte d' GuardDuty administrateur délégué. Chaque organisation ne peut avoir qu'un seul compte d' GuardDuty administrateur délégué par région, et chaque compte de membre ne peut avoir qu'un seul compte d' GuardDuty administrateur délégué.

Choisissez une méthode d'accès préférée pour consolider les comptes d' GuardDuty administrateur sous un seul compte d' GuardDuty administrateur délégué.

------
#### [ Console ]

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Pour vous connecter, utilisez les informations d'identification du compte de gestion de l'organisation.

1. Tous les comptes que vous souhaitez gérer GuardDuty doivent faire partie de votre organisation. Pour plus d'informations sur l'ajout d'un compte à votre organisation, voir [Inviter un Compte AWS homme à rejoindre votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). 

1. Assurez-vous que tous les comptes de membre sont associés au compte que vous souhaitez désigner comme compte d' GuardDuty administrateur délégué unique. Dissociez tout compte membre toujours associé aux comptes administrateur préexistants.

   Les étapes suivantes vous aideront à dissocier les comptes membres du compte administrateur préexistant :

   1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   1. Pour vous connecter, utilisez les informations d'identification du compte administrateur préexistant.

   1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

   1. Sur la page **Comptes**, sélectionnez un ou plusieurs comptes que vous souhaitez dissocier du compte administrateur.

   1. Choisissez **Actions**, puis **Dissocier le compte**.

   1. Choisissez **Confirmer** pour finaliser l'étape.

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Pour vous connecter, utilisez les informations d'identification du compte de gestion .

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres). Sur la page **Paramètres**, désignez le compte GuardDuty d'administrateur délégué pour l'organisation.

1. Connectez-vous au compte d' GuardDuty administrateur délégué désigné.

1. Ajoutez des membres de l'organisation. Pour de plus amples informations, veuillez consulter [Gérer des GuardDuty comptes avec AWS Organizations](guardduty_organizations.md).

------
#### [ API/CLI ]

1. Tous les comptes que vous souhaitez gérer GuardDuty doivent faire partie de votre organisation. Pour plus d'informations sur l'ajout d'un compte à votre organisation, voir [Inviter un Compte AWS homme à rejoindre votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). 

1. Assurez-vous que tous les comptes de membre sont associés au compte que vous souhaitez désigner comme compte d' GuardDuty administrateur délégué unique. 

   1. Exécutez [DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)pour dissocier tout compte de membre toujours associé aux comptes d'administrateur préexistants.

   1. Vous pouvez également AWS Command Line Interface exécuter la commande suivante et la *777777777777* remplacer par l'ID de détecteur du compte administrateur préexistant dont vous souhaitez dissocier le compte membre. *666666666666*Remplacez-le par l' Compte AWS ID du compte membre que vous souhaitez dissocier. 

      ```
      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666    
      ```

1. Exécutez [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)pour déléguer un compte Compte AWS en tant GuardDuty qu'administrateur délégué.

   Vous pouvez également exécuter la commande suivante AWS Command Line Interface pour déléguer un compte d' GuardDuty administrateur délégué :

   ```
   aws guardduty enable-organization-admin-account --admin-account-id 777777777777
   ```

1. Ajoutez des membres de l'organisation. Pour de plus amples informations, veuillez consulter [Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api).

------

**Important**  
Pour optimiser l'efficacité d' GuardDutyun service régional, nous vous recommandons de désigner votre compte d' GuardDuty administrateur délégué et d'ajouter tous vos comptes de membre dans chaque région.