As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Várias contas na Amazon GuardDuty
<a name="guardduty_accounts"></a>

Quando seu AWS ambiente tem várias contas, você pode gerenciá-las designando uma Conta da AWS como a conta de administrador. Em seguida, você pode associar o Contas da AWS múltiplo a essa conta de administrador como suas contas de membros. Com essa configuração, uma conta de GuardDuty administrador designada pode avaliar e monitorar a segurança geral da sua organização. A conta do administrador também pode realizar tarefas de gerenciamento da conta, como revisar todas as descobertas geradas e configurar os planos de proteção nela. GuardDuty 

Em GuardDuty, uma organização consiste em uma conta de GuardDuty administrador delegado e uma ou mais contas de membros associadas. Você pode associar as contas de duas maneiras: integrando ou usando um método antigo de enviar e aceitar convites de associação no console. AWS Organizations GuardDuty GuardDuty recomenda que você se integre com AWS Organizations o. 

AWS Organizations é um serviço global de gerenciamento de contas que permite AWS aos administradores consolidar e gerenciar centralmente várias. Contas da AWS Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. É oferecido sem custo adicional e se integra a vários Serviços da AWS, incluindo Macie e Amazon. AWS Security Hub CSPM GuardDuty Para obter mais informações, consulte o [Guia do usuário do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

**Topics**
+ [Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros](administrator_member_relationships.md)
+ [Gerenciando GuardDuty contas com AWS Organizations](guardduty_organizations.md)
+ [Gerenciando GuardDuty contas por convite](guardduty_invitations.md)
+ [GuardDuty considerações para exportar detalhes da conta do membro no formato CSV](exporting-guardduty-accounts-data-to-csv.md)

# Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros
<a name="administrator_member_relationships"></a>

Quando você usa GuardDuty em um ambiente de várias contas, a conta do administrador pode gerenciar certos aspectos GuardDuty em nome das contas dos membros. Uma conta de administrador pode executar as seguintes funções primárias:
+ **Adicionar e remover contas de membros associadas** — O processo pelo qual uma conta de administrador pode fazer isso difere com base em como você gerencia as contas — por meio AWS Organizations ou pelo método de GuardDuty convite.

  GuardDuty recomenda gerenciar suas contas de membros por meio de AWS Organizations.
+ **Ativação de conta de GuardDuty administrador delegado GuardDuty na conta de gerenciamento** — Se a conta AWS Organizations de gerenciamento alguma vez for desativada GuardDuty, a conta de GuardDuty administrador delegado poderá ser ativada GuardDuty na conta de gerenciamento. No entanto, é necessário que a conta de gerenciamento não tenha excluído explicitamente o [Permissões de função vinculadas ao serviço para GuardDuty](slr-permissions.md).
+ *Configurar o status das contas dos membros* — Uma conta de administrador pode ativar ou desativar o status dos planos de GuardDuty proteção e ativar, suspender ou desativar o status de GuardDuty em nome das contas associadas dos membros.

  A conta de GuardDuty administrador delegado gerenciada com AWS Organizations pode ser ativada automaticamente GuardDuty quando Contas da AWS eles são adicionados como membros.
+ **Personalize quando gerar descobertas** — Uma conta de administrador pode personalizar as descobertas na GuardDuty rede criando e gerenciando regras de supressão, listas de IP confiáveis e listas de ameaças. Em um ambiente de várias contas, o suporte para configurar esses recursos está disponível somente para uma conta de administrador delegado GuardDuty . Uma conta-membro não pode modificar essa configuração.

A tabela a seguir detalha a relação entre a conta GuardDuty do administrador e as contas dos membros.

**Pontos chave da tabela**
+ **Próprio: **a conta só pode realizar a ação em sua própria conta.
+ **Qualquer** — Uma conta pode realizar a ação listada para qualquer conta associada.
+ **Todas** — Uma conta pode realizar a ação listada e ela se aplica a todas as contas associadas. Normalmente, a conta que executa essa ação é uma conta de GuardDuty administrador designada
+ **As células com traços (—)** — As células da tabela com traços (—) indicam que a conta não pode realizar a ação listada.


| 
| 
| **Ação** | **Através AWS Organizations** | **Por convite** | 
| --- |--- |--- |
| **Conta de GuardDuty administrador delegada** | **Conta de membro associada** | **GuardDuty conta de administrador** | **Conta de membro associada** | 
| --- |--- |--- |--- |
| Habilitar GuardDuty | Any | – | Self | Self | 
| Ativar GuardDuty automaticamente para toda a organização (ALL,NEW,NONE) | Todos | – | – | – | 
| Visualize todas as contas dos membros da Organizations, independentemente do GuardDuty status | Any | – | – | – | 
| Gere amostras de descobertas | Self | Self | Self | Self | 
| Veja todas as GuardDuty descobertas | Any | Self | Any | Self | 
| Arquive GuardDuty as descobertas | Any | – | Any | – | 
| Aplicar regras de supressão | Todos | – | Todos | – | 
| Crie uma lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – | 
| Atualize a lista de IPs confiáveis ou as listas de ameaças | Todos | – | Todos | – | 
| Excluir lista de IPs confiáveis ou listas de ameaças | Todos | – | Todos | – | 
| Definir frequência EventBridge de notificação | Todos | – | Todos | – | 
| Definir o local do Amazon S3 para exportar descobertas | Todos | Self | Self | Self | 
|  Habilite um ou mais planos de proteção opcionais para toda a organização (`ALL`, `NEW`, `NONE`) Isso não inclui a Proteção contra malware para o S3.  | Todos | – | – | – | 
| Habilite qualquer plano de GuardDuty proteção para contas individuais Isso não inclui Proteção contra malware para o EC2 e Proteção contra malware para o S3. | Any | – | Any | – | 
|  Proteção contra malware para o EC2  | Any | – | Self | – | 
|  A Proteção contra malware para EC2 – Verificação de malware sob demanda  | Any | Self | Self | Self | 
|  Proteção contra malware para S3  | – | Self | – | Self | 
| Desassociar uma conta de membro | Qualquer \$1 | – | Any | – | 
| Desassociar de uma conta de administrador | – | – | – | Self | 
| Excluir uma conta de membro desassociada | Any | – | Any | – | 
| Suspender GuardDuty | Qualquer \$1 | – | Qualquer \$1 | – | 
| Desativar GuardDuty | Qualquer \$1 | – | Qualquer \$1 | Self | 

\$1 Indica que a conta do GuardDuty administrador delegado pode realizar essa ação somente se não tiver configurado as preferências de ativação automática para `ALL` os membros da organização.

\$1 Indica que uma conta de GuardDuty administrador delegado não pode ser desativada diretamente GuardDuty em uma conta de membro. A conta de GuardDuty administrador delegado deve primeiro desassociar a conta do membro e depois excluí-la. Depois disso, cada conta de membro pode ser GuardDuty desativada em suas próprias contas. Para obter mais informações sobre como executar essas tarefas na sua organização, consulte [Gerenciando continuamente suas contas de membros em GuardDuty](maintaining-guardduty-organization-delegated-admin.md).

# Gerenciando GuardDuty contas com AWS Organizations
<a name="guardduty_organizations"></a>

Em uma AWS organização, a conta de gerenciamento pode designar qualquer conta dentro dessa organização como a conta de GuardDuty administrador delegado. Para essa conta de administrador, GuardDuty é ativada automaticamente somente na conta atual Região da AWS. Por padrão, a conta de administrador pode ativar e gerenciar GuardDuty todas as contas de membros na organização dentro dessa região. A conta do administrador pode visualizar e adicionar membros a essa AWS organização.

As seções a seguir o guiarão por várias tarefas que você pode realizar como uma conta de GuardDuty administrador delegado.

**Topics**
+ [Considerações e recomendações para uso com GuardDuty AWS Organizations](#delegated_admin_important)
+ [Permissões necessárias para designar uma conta de administrador delegado GuardDuty](organizations_permissions.md)
+ [Designação de uma conta de administrador delegado GuardDuty](delegated-admin-designate.md)
+ [Como configurar as preferências de habilitação automática da organização](set-guardduty-auto-enable-preferences.md)
+ [Como adicionar membros à organização](add-member-accounts-guardduty-organization.md)
+ [(Opcional) Ativar planos de proteção para contas-membro existentes](guardduty_quick_protection_plan_config.md)
+ [Gerenciando continuamente suas contas de membros em GuardDuty](maintaining-guardduty-organization-delegated-admin.md)
+ [Suspensão da GuardDuty conta de membro](suspending-guardduty-member-account-from-admin.md)
+ [Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md)
+ [Excluindo contas de membros da organização GuardDuty](delete-member-accounts-guardduty-organization.md)
+ [Alterando a conta do GuardDuty administrador delegado](change-guardduty-delegated-admin.md)

## Considerações e recomendações para uso com GuardDuty AWS Organizations
<a name="delegated_admin_important"></a>

As considerações e recomendações a seguir podem ajudá-lo a entender como uma conta de GuardDuty administrador delegado opera em: GuardDuty

**Uma conta de GuardDuty administrador delegado pode gerenciar no máximo 50.000 membros.**  
Há um limite de 50.000 contas de membros por conta de GuardDuty administrador delegado. Isso inclui contas de membros que foram adicionadas por meio de AWS Organizations ou aquelas que aceitaram o convite da conta de GuardDuty administrador para ingressar na organização. No entanto, pode haver mais de 50.000 contas em sua AWS organização.  
Se você exceder o limite de 50.000 contas de membros, receberá uma notificação e um e-mail para a conta de CloudWatch GuardDuty administrador delegado designada. Health Dashboard

**Uma conta de GuardDuty administrador delegado é regional.**  
Ao contrário AWS Organizations, GuardDuty é um serviço regional. As contas de GuardDuty administrador delegado e suas contas de membros devem ser adicionadas AWS Organizations em cada região desejada em que você GuardDuty ativou. Se a conta de gerenciamento da organização designar uma conta de GuardDuty administrador delegado somente no Leste dos EUA (Norte da Virgínia), a conta de GuardDuty administrador delegado gerenciará somente as contas de membros adicionadas à organização nessa região. Para obter mais informações sobre a paridade de recursos nas regiões onde GuardDuty está disponível, consulte[Regiões e endpoints](guardduty_regions.md).

**Casos especiais para regiões de inclusão**  
+ Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (`NEW`) ou para todas as contas de membros (`ALL`), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra **Contas** no painel de navegação do [GuardDuty console](https://console.aws.amazon.com/guardduty/) ou use a [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API.
+ Ao trabalhar com a configuração de GuardDuty ativação automática definida como`NEW`, certifique-se de que a seguinte sequência seja atendida:

  1. As contas-membro aderem a uma região de inclusão.

  1. Adicione as contas-membro à sua organização em AWS Organizations.

  Se você alterar a ordem dessas etapas, a configuração de GuardDuty ativação automática **não `NEW` funcionará** na região de inscrição específica porque a conta do membro não é mais nova na organização. GuardDuty fornece duas soluções alternativas: 
  + Defina a configuração de GuardDuty ativação automática como`ALL`, que inclui contas de membros novas e existentes. Nesse caso, a ordem das etapas é irrelevante.
  + Se uma conta de membro já fizer parte da sua organização, gerencie a GuardDuty configuração dessa conta individualmente na região de inscrição específica usando o GuardDuty console ou a API.

**Necessário para que uma AWS organização tenha a mesma conta de GuardDuty administrador delegado em todos os Regiões da AWS.**  
Você deve designar uma conta de membro como a conta de GuardDuty administrador delegado em todos os Regiões da AWS lugares GuardDuty ativados. Por exemplo, se você designar uma conta de membro *111122223333* em*Europe (Ireland)*, não poderá designar outra conta de membro em*555555555555*. *Canada (Central)* É necessário que você use a mesma conta da conta de GuardDuty administrador delegado em todas as outras regiões.  
Você pode designar uma nova conta de GuardDuty administrador delegado a qualquer momento. Para obter mais informações sobre como remover a conta de GuardDuty administrador delegado existente, consulte[Alterando a conta do GuardDuty administrador delegado](change-guardduty-delegated-admin.md).

**Não é recomendável definir a conta de gerenciamento da sua organização como a conta de GuardDuty administrador delegado.**  
A conta de gerenciamento da sua organização pode ser a conta de GuardDuty administrador delegado. No entanto, as práticas recomendadas de segurança da AWS seguem o princípio do privilégio mínimo e não recomendam essa configuração.

**Alterar uma conta de GuardDuty administrador delegado não desativa GuardDuty as contas dos membros.**  
Se você remover uma conta de GuardDuty administrador delegado, GuardDuty removerá todas as contas de membros associadas a essa conta de GuardDuty administrador delegado. GuardDuty ainda permanece habilitado para todas essas contas de membros.

# Permissões necessárias para designar uma conta de administrador delegado GuardDuty
<a name="organizations_permissions"></a>

Para começar a usar a Amazon GuardDuty com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta de GuardDuty administrador delegado. Isso permite GuardDuty , como um serviço confiável, em AWS Organizations. Também habilita GuardDuty a conta de GuardDuty administrador delegado e também permite que a conta de administrador delegado habilite e GuardDuty gerencie outras contas na organização na região atual. Para obter informações sobre como essas permissões são concedidas, consulte [Usando AWS Organizations com outros AWS serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Como conta de AWS Organizations gerenciamento, antes de designar a conta de GuardDuty administrador delegado para sua organização, verifique se você pode realizar a seguinte GuardDuty ação:. `guardduty:EnableOrganizationAdminAccount` Essa ação permite que você designe a conta de GuardDuty administrador delegado para sua organização usando. GuardDuty Você também deve garantir que tenha permissão para realizar as AWS Organizations ações que ajudam a recuperar informações sobre sua organização.

Para conceder essas permissões, inclua a seguinte declaração em uma política AWS Identity and Access Management (IAM) da sua conta:

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

Se você quiser designar sua conta AWS Organizations de gerenciamento como conta de GuardDuty administrador delegado, sua conta também precisará da ação IAM:. `CreateServiceLinkedRole` Essa ação permite que você inicialize GuardDuty para a conta de gerenciamento. No entanto, revise [Considerações e recomendações para uso com GuardDuty AWS Organizations](guardduty_organizations.md#delegated_admin_important) antes de prosseguir com a adição das permissões. 

Para continuar a designar a conta de gerenciamento como a conta de GuardDuty administrador delegado, adicione a seguinte declaração à política do IAM e *111122223333* substitua pela Conta da AWS ID da conta de gerenciamento da sua organização:

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# Designação de uma conta de administrador delegado GuardDuty
<a name="delegated-admin-designate"></a>

Esta seção apresenta as etapas para designar um administrador delegado na organização da GuardDuty. 

Como conta de gerenciamento da AWS organização, leia atentamente [Considerações e recomendações](guardduty_organizations.md#delegated_admin_important) sobre como uma conta de GuardDuty administrador delegado opera. Antes de continuar, verifique se você tem [Permissões necessárias para designar uma conta de administrador delegado GuardDuty](organizations_permissions.md).

Escolha um método de acesso preferencial para designar uma conta de GuardDuty administrador delegado para sua organização. Somente uma conta de gerenciamento pode executar essa etapa.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para acessar, use as credenciais da conta de gerenciamento de sua organização da AWS Organizations .

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja designar a conta de GuardDuty administrador delegado para sua organização.

1. Siga um destes procedimentos, dependendo se GuardDuty está habilitado para sua conta de gerenciamento na região atual:
   + Se não GuardDuty estiver ativado, selecione **Amazon GuardDuty - todos os recursos** e escolha **Começar**. Essa ação levará você à GuardDuty página **Bem-vindo ao**.
   + Se GuardDuty estiver ativado, escolha **Configurações** no painel de navegação.

1. Em **Administrador delegado**, insira a Conta da AWS ID de 12 dígitos da conta que você deseja designar como a conta de GuardDuty administrador delegado da organização.

   Certifique-se de habilitar sua conta GuardDuty de GuardDuty administrador delegado recém-designada, caso contrário, ela não poderá realizar nenhuma ação.

1. Selecione **Delegar**.

1. (Recomendado) Repita as etapas anteriores para designar a conta de GuardDuty administrador delegado em cada uma Região da AWS onde você ativou. GuardDuty 

------
#### [ API/CLI ]

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)usando as credenciais da conta Conta da AWS de gerenciamento da organização.
   + Como alternativa, você pode usar AWS Command Line Interface para fazer isso. O AWS CLI comando a seguir designa uma conta de GuardDuty administrador delegado somente para sua região atual. Execute o AWS CLI comando a seguir e certifique-se de *111111111111* substituir pela Conta da AWS ID da conta que você deseja designar como conta de GuardDuty administrador delegado:

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     Para designar a conta de GuardDuty administrador delegado para outras regiões, especifique a região no AWS CLI comando. O exemplo a seguir demonstra como habilitar uma conta de GuardDuty administrador delegado no Oeste dos EUA (Oregon). Certifique-se de *us-west-2* substituir pela região à qual você deseja atribuir a conta de GuardDuty administrador delegado.

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     Para obter informações sobre Regiões da AWS onde GuardDuty está disponível, consulte[Regiões e endpoints](guardduty_regions.md).

   Se GuardDuty estiver desativado para sua conta de GuardDuty administrador delegado, não será possível realizar nenhuma ação. Se ainda não tiver feito isso, certifique-se de habilitar a conta GuardDuty de GuardDuty administrador delegado recém-designada.

1. (Recomendado) repita as etapas anteriores para designar a conta de GuardDuty administrador delegado em cada uma Região da AWS onde você ativou. GuardDuty 

------

# Como configurar as preferências de habilitação automática da organização
<a name="set-guardduty-auto-enable-preferences"></a>

O recurso de ativação automática da organização GuardDuty ajuda você a definir o mesmo GuardDuty status dos planos de proteção para contas `ALL` existentes ou `NEW` membros em sua organização, em uma única etapa. Da mesma forma, é possível especificar quando não se deseja realizar nenhuma ação nas contas de membros, selecionando `NONE`. As etapas a seguir explicam essas configurações e também indicam quando é necessário usar uma configuração específica.

**nota**  
Você pode definir preferências de habilitação automática para todos os planos de proteção, exceto [Proteção contra malware para S3](gdu-malware-protection-s3.md).

Selecione um método de acesso preferencial para atualizar as preferências de habilitação automática da organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador.

1. No painel de navegação, selecione **Contas**.

   A página **Contas** fornece opções de configuração para a conta do GuardDuty administrador ser **ativada automaticamente** GuardDuty e os planos de proteção opcionais em nome das contas membros que pertencem à organização.

1. Para atualizar as configurações de habilitação automática em vigor, selecione **Editar**.  
![\[Selecionar Editar para atualizar as preferências de habilitação automática em nome das contas de membros da organização.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   Esse suporte está disponível para configuração GuardDuty e para todos os planos de proteção opcionais compatíveis em seu Região da AWS. Você pode selecionar uma das seguintes opções de configuração GuardDuty em nome de suas contas de membros:
   + **Habilitar para todas as contas (`ALL`)**: selecionar para habilitar a respectiva opção para todas as contas em uma organização. Isso inclui novas contas que ingressam na organização e aquelas contas que podem ter sido suspensas ou removidas da organização. Isso também inclui a conta de GuardDuty administrador delegado.
**nota**  
Pode levar até 24 horas para atualizar a configuração de todas as contas-membro.
   + **Ativação automática para novas contas (`NEW`)** — Selecione para ativar GuardDuty ou ativar os planos de proteção opcionais somente para novas contas de membros automaticamente quando elas ingressarem na sua organização.
   + **Não habilitar (`NONE`)**: selecionar para impedir a habilitação da respectiva opção para novas contas em sua organização. Nesse caso, a conta GuardDuty do administrador gerenciará cada conta individualmente. 

     Ao atualizar a configuração de habilitar automática de `ALL` ou `NEW` para `NONE`, essa ação não desabilita a respectiva opção para suas contas existentes. Essa configuração será aplicada às novas contas que ingressam na organização. Depois de atualizar as configurações de habilitação automática, nenhuma nova conta terá a respectiva opção habilitada.
**nota**  
Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (`NEW`) ou para todas as contas de membros (`ALL`), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra **Contas** no painel de navegação do [GuardDuty console](https://console.aws.amazon.com/guardduty/) ou use a [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API.

1. Escolha **Salvar alterações**.

1. (Opcional) caso queira usar as mesmas preferências em cada região, atualize suas preferências em cada uma das regiões atendidas separadamente.

   Alguns dos planos de proteção opcionais podem não estar disponíveis em todos os Regiões da AWS lugares GuardDuty disponíveis. Para obter mais informações, consulte [Regiões e endpoints](guardduty_regions.md).

------
#### [ API/CLI ]

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)usando as credenciais da conta de GuardDuty administrador delegado, para configurar automaticamente planos GuardDuty de proteção opcionais nessa região para sua organização. [Para obter informações sobre as várias configurações de ativação automática, consulte autoEnableOrganization Membros.](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)

   Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   Para definir preferências de habilitação automática para qualquer um dos planos de proteção opcionais compatíveis em sua região, siga as etapas fornecidas nas seções de documentação correspondentes de cada plano de proteção.

1. Você pode validar as preferências da sua organização na região atual. Executar [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html). Certifique-se de especificar o ID do detector da conta do GuardDuty administrador delegado.
**nota**  
Pode levar até 24 horas para atualizar a configuração de todas as contas-membro. 

1. Como alternativa, execute o AWS CLI comando a seguir para definir as preferências a serem ativadas ou desativadas automaticamente GuardDuty nessa região para novas contas (`NEW`) que ingressam na organização, todas as contas (`ALL`) ou nenhuma das contas (`NONE`) na organização. Para obter mais informações, consulte [autoEnableOrganizationMembros](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers). Com base na sua preferência, talvez seja necessário substituir `NEW` por `ALL` ou `NONE`. Se você configurar o plano de proteção com`ALL`, o plano de proteção também será habilitado para a conta de GuardDuty administrador delegado. Certifique-se de especificar o ID do detector da conta do GuardDuty administrador delegado que gerencia a configuração da organização.

   Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. É possível validar as preferências da sua organização na região atual. Execute o AWS CLI comando a seguir usando o ID do detector da conta do GuardDuty administrador delegado.

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

(Recomendado) repita as etapas anteriores em cada região usando o ID delegado do detector da conta de GuardDuty administrador.

**nota**  
Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (`NEW`) ou para todas as contas de membros (`ALL`), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra **Contas** no painel de navegação do [GuardDuty console](https://console.aws.amazon.com/guardduty/) ou use a [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API.

------

# Como adicionar membros à organização
<a name="add-member-accounts-guardduty-organization"></a>

Como conta de GuardDuty administrador delegado, você pode adicionar uma ou mais Contas da AWS à GuardDuty organização. Quando você adiciona uma conta como GuardDuty membro, ela será GuardDuty ativada automaticamente nessa região. Há uma exceção na conta de gerenciamento da organização. Antes que a conta de gerenciamento seja adicionada como GuardDuty membro, ela deve estar GuardDuty ativada.

Escolha um método preferido para adicionar uma conta de membro à sua GuardDuty organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

   A tabela de contas exibe todas as contas de membros que estão ativas (não suspensas Contas da AWS) e podem estar associadas à conta de GuardDuty administrador delegado. Caso a conta-membro esteja associada à conta de administrador da organização, o **Tipo** será um dos seguintes: **Via organizações** ou **Por convite**. Se uma conta de membro não estiver associada à conta de GuardDuty administrador da organização, o **Tipo** dessa conta de membro será **Não membro**.

1. Selecione uma ou mais contas IDs que você deseja adicionar como membros. Essas contas IDs devem ter o **tipo de** **Via Organizations**.

   As contas adicionadas por meio de convite não fazem parte da sua organização. Você pode gerenciar essas contas individualmente. Para obter mais informações, consulte [Gerenciar contas por convite](guardduty_invitations.md).

1. Escolha no menu suspenso **Ações** e selecione **Adicionar membro**. Depois de adicionar essa conta como membro, a GuardDuty configuração de ativação automática será aplicada. Com base nas configurações em[Como configurar as preferências de habilitação automática da organização](set-guardduty-auto-enable-preferences.md), a GuardDuty configuração dessas contas pode mudar. 

1. Você pode selecionar a seta para baixo da coluna **Status** para classificar as contas pelo status **Não é membro** e, em seguida, escolher cada conta que não GuardDuty esteja ativada na região atual.

   Se nenhuma das contas listadas na tabela de contas ainda tiver sido adicionada como membro, você poderá habilitar GuardDuty na região atual todas as contas da organização. Escolha a opção para **habilitar** na faixa na parte superior da página. Essa ação ativa automaticamente a GuardDuty configuração de **ativação automática** para que seja GuardDuty habilitada para qualquer nova conta que ingresse na organização.

1. Selecione **Confirmar** para adicionar as contas como membros. Essa ação também é GuardDuty ativada para todas as contas selecionadas. O **Status** das contas convidadas será alterado para **Habilitado**.

1. (Recomendado) Repita essas etapas em cada uma Região da AWS. Isso garante que a conta de GuardDuty administrador delegado possa gerenciar descobertas e outras configurações para contas de membros em todas as regiões em que GuardDuty você habilitou.

   O recurso de ativação automática habilita todos GuardDuty os futuros membros de sua organização. Isso permite que sua conta de GuardDuty administrador delegado gerencie quaisquer novos membros criados ou adicionados à organização. Quando o número de contas-membro atingir o limite de 50.000, o atributo Habilitar automaticamente será desabilitado. Ao remover uma conta-membro e o número total de membros diminuir para menos de 50.000, o atributo Habilitar automaticamente será reativado. 

------
#### [ API/CLI ]
+ Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)usando as credenciais da conta de GuardDuty administrador delegado.

  Você deve especificar o ID do detector regional da conta do GuardDuty administrador delegado e os detalhes da conta (Conta da AWS IDs e endereços de e-mail correspondentes) das contas que você deseja adicionar como GuardDuty membros. É possível criar um ou mais membros com essa operação de API.

  Ao executar CreateMembers na sua organização, as preferências de habilitação automática para novos membros serão aplicadas à medida que novas contas de membros ingressarem na sua organização. Ao executar CreateMembers com uma conta-membro existente, a configuração da organização também se aplicará aos membros existentes. Isso pode alterar a configuração atual das contas-membro antigas.

  Execute [https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)na *Referência AWS Organizations da API* para ver todas as contas na AWS organização.
  + Como alternativa, você pode usar AWS Command Line Interface. Execute o comando AWS CLI a seguir e certifique-se de usar seu próprio ID de detector válido, ID de Conta da AWS e endereço de e-mail associado ao ID da conta. 

    Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    Você pode ver uma lista de todos os membros da organização executando o seguinte AWS CLI comando:

    ```
    aws organizations list-accounts
    ```

  Depois de adicionar essa conta como membro, a GuardDuty configuração de ativação automática será aplicada.

------

# (Opcional) Ativar planos de proteção para contas-membro existentes
<a name="guardduty_quick_protection_plan_config"></a>

O procedimento a seguir inclui etapas para habilitar planos de proteção para contas-membro existentes usando a página **Contas**. Para ver as etapas para fazer isso usando a API ou AWS CLI consulte os documentos relacionados ao plano de proteção específico.

Pode-se habilitar planos de proteção para contas individuais na página **Contas**.

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Selecione uma ou mais contas para as quais você deseja configurar um plano de proteção. Repita as etapas a seguir para cada plano de proteção que você deseja configurar:

   1. Selecione **Editar planos de proteção**. 

   1. Na lista de planos de proteção, escolha um plano de proteção que deseja configurar.

   1. Selecione uma das ações que você deseja realizar para esse plano de proteção e, em seguida, selecione **Confirmar**.

   1. Para a conta selecionada, a coluna correspondente ao plano de proteção configurado mostrará a configuração atualizada como **Habilitada** ou **Não habilitada**.

# Gerenciando continuamente suas contas de membros em GuardDuty
<a name="maintaining-guardduty-organization-delegated-admin"></a>

Como conta de GuardDuty administrador delegado, você é responsável por manter a configuração GuardDuty e seus planos de proteção opcionais para todas as contas da sua organização em cada uma das contas suportadas Região da AWS. As seções a seguir fornecem as opções para manter o status da configuração GuardDuty ou de qualquer um de seus planos de proteção opcionais:

**Para manter o status de configuração de toda a sua organização em cada região**
+ **Defina preferências de ativação automática para toda a organização usando o GuardDuty console** — Você pode habilitar GuardDuty automaticamente para todos (`ALL`) os membros da organização ou para os novos (`NEW`) membros que ingressam na organização, ou optar por não (`NONE`) ativá-la automaticamente para nenhum dos membros da organização.

  Você também pode definir as mesmas configurações ou configurações diferentes para qualquer um dos planos de proteção incluídos GuardDuty.

  Pode levar até 24 horas para atualizar a configuração de todas as contas-membro da organização.
+ **Atualize as preferências de ativação automática usando a API** — Execute [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para configurar automaticamente GuardDuty e seus planos de proteção opcionais para a organização. Quando você corre [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)para adicionar novas contas de membros em sua organização, as configurações definidas serão aplicadas automaticamente. Ao executar CreateMembers com uma conta-membro existente, a configuração da organização também se aplica aos membros existentes. Isso pode alterar a configuração atual das contas-membro antigas.

  Para ver todas as contas em sua organização, execute [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)na *Referência da AWS Organizations API*.

**Para manter o status de configuração das contas-membro individualmente em cada região**
+ Para ver todas as contas em sua organização, execute [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)na *Referência da AWS Organizations API*.
+ Quando você quiser que contas de membros seletivas tenham um status de configuração diferente, execute [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)para cada conta de membro individualmente.

  Você pode usar o GuardDuty console para realizar a mesma tarefa navegando até a página **Contas** no GuardDuty console.

  Para obter informações sobre como habilitar planos de proteção para contas individuais usando o console ou a API, consulte a página de configuração do respectivo plano de proteção.

# Suspensão da GuardDuty conta de membro
<a name="suspending-guardduty-member-account-from-admin"></a>

Como conta de GuardDuty administrador delegado, você pode suspender o GuardDuty serviço de uma conta de membro em sua organização. Se você fizer isso, a conta do membro ainda permanecerá na sua GuardDuty organização. Você também pode reativar GuardDuty essas contas de membros posteriormente. No entanto, caso queira eventualmente desassociar (remover) essa conta-membro, **depois** de seguir as etapas desta seção, deve-se seguir as etapas em [Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md).

Ao suspender uma conta GuardDuty de membro, você pode esperar as seguintes alterações:
+ GuardDuty não monitora mais a segurança do AWS ambiente nem gera novas descobertas.
+ As descobertas existentes na conta-membro permanecem intactas.
+ Uma conta de membro GuardDuty suspensa não incorre em nenhuma cobrança por. GuardDuty

  Se a conta do membro tiver ativado a Proteção contra Malware para S3 para um ou mais buckets em sua conta, a suspensão GuardDuty não afetará a configuração da Proteção contra Malware para S3. A conta do membro continuará incorrendo no custo de uso da Proteção contra Malware para o S3. Para que a conta-membro pare de usar a Proteção contra Malware para o S3, ela deve desabilitar esse recurso para os buckets protegidos. Para obter mais informações, consulte [Desativando a proteção contra malware para S3 em um bucket protegido](disable-malware-s3-protected-bucket.md).

Escolha um método preferencial para suspender GuardDuty uma conta de membro em sua organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Na página Contas, selecione uma ou mais contas que você deseja suspender GuardDuty.

1. **Escolha o menu suspenso **Ações** e, em seguida, escolha Suspender. GuardDuty**

1. Escolha **Suspender GuardDuty** para confirmar a seleção.

   Isso mudará o **status** da conta-membro para **Desativada (suspensa)**.

   Repita as etapas anteriores em cada região adicional em que deseja desassociar ou remover a conta-membro.

------
#### [ API ]

1. Para recuperar o ID da conta do membro que você deseja suspender GuardDuty, use a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API. Inclua o parâmetro `OnlyAssociated` na sua solicitação. Se você definir o valor desse parâmetro como`true`, GuardDuty retornará uma `members` matriz que fornece detalhes somente sobre as contas que atualmente são GuardDuty membros.

   Como alternativa, você pode usar AWS Command Line Interface (AWS CLI) para executar o seguinte comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja suspender GuardDuty essa conta.

1. Para suspender uma ou mais contas de GuardDuty membros, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html) GuardDuty para suspender uma conta de membro.

   Como alternativa, você pode usar AWS CLI para executar o seguinte comando:

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja suspender essa conta. Se você tiver uma lista de contas IDs que deseja remover, separe-as por um caractere de espaço.

------

Caso queira ainda desassociar (remover) essa conta-membro, siga as etapas em [Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md).

# Como desassociar (remover) a conta-membro da conta de administrador
<a name="disassociate-remove-member-account-from-admin"></a>

Quando você quiser parar de definir as GuardDuty configurações e acessar os dados de uma conta de membro, remova essa conta como conta de GuardDuty membro. Você pode fazer isso desassociando (removendo) essa conta da conta de GuardDuty administrador. 

Quando você desassocia uma conta de GuardDuty membro, acontece o seguinte:
+ GuardDuty permanece ativada para a conta atual Região da AWS, mas a conta é desassociada da conta de GuardDuty administrador delegado.
+ A conta desassociada continua sendo exibida no inventário de contas.
+ A conta GuardDuty do administrador não tem mais acesso às descobertas dessa conta independente.
+ O proprietário da conta não é notificado da desassociação.

Você pode adicionar a conta desassociada à sua organização de novo posteriormente.

Escolha um método de sua preferência para desassociar (remover) uma conta de associado da sua organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Na tabela **Contas**, remova uma conta que tenha **Tipo** como **Via Organizações** e **Status** como **Habilitada**.

   Selecione uma ou mais contas com o mesmo **Tipo** e **Status**.

1. No menu suspenso **Ações**, selecione **Desassociar conta**.

1. Selecione **Desassociar conta** para confirmar sua seleção.

1. O valor do **Status** das contas selecionadas será alterado para **Não é membro**. A contagem de **Via Organizações (Ativas/Todas)** no canto superior direito da página Contas será alterada para refletir a atualização.

   Repita as etapas anteriores em cada região adicional em que deseja desassociar a conta-membro.

------
#### [ API ]

1. Para recuperar o ID da conta-membro que deseja remover, use a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Inclua o `OnlyAssociated` parâmetro na solicitação. Se você definir o valor desse parâmetro como`true`, GuardDuty retornará uma `members` matriz que fornece detalhes somente sobre as contas que atualmente são GuardDuty membros.

   Como alternativa, você pode usar AWS Command Line Interface (AWS CLI) para executar o seguinte comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja remover essa conta.

1. Para remover uma ou mais contas de GuardDuty membros, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)para remover a conta de membro associada à conta de administrador.

   Como alternativa, você pode usar AWS CLI para executar o seguinte comando:

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja remover essa conta. Se você tiver uma lista de contas IDs que deseja remover, separe-as por um caractere de espaço.

------

# Excluindo contas de membros da organização GuardDuty
<a name="delete-member-accounts-guardduty-organization"></a>

Como conta de GuardDuty administrador delegado, depois de desassociar uma conta de membro e não querer mais manter essa conta de membro na GuardDuty organização, você pode excluir essa conta de membro da sua GuardDuty organização. Essa conta-membro não aparecerá mais no inventário da sua conta. No entanto, se não GuardDuty foi suspenso nessa conta de membro, a configuração GuardDuty e os planos de proteção dedicados permanecem os mesmos. Essa conta agora se tornará uma conta independente e poderá GuardDuty se [desativar](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html) sozinha. 

Essa etapa não excluirá a conta do membro da sua AWS organização.

Escolha um método preferido para excluir uma conta de membro da sua GuardDuty organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Na tabela **Contas**, remova uma conta que tenha **Tipo** como **Via Organizações** e **Status** como **Removido (desassociado)**.

   Selecione uma ou mais contas com o mesmo **Tipo** e **Status**.

1. No menu suspenso **Ações**, selecione **Excluir conta**.

1. Selecione **Excluir contas** para confirmar sua seleção. O membro da conta selecionado não aparecerá mais em sua tabela de Contas.

   Repita as etapas anteriores em cada região adicional onde deseja excluir essa conta-membro.

------
#### [ API/CLI ]

1. Para recuperar o ID da conta-membro que deseja excluir, use a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Inclua o parâmetro `OnlyAssociated` na sua solicitação. Se você definir o valor desse parâmetro como`false`, GuardDuty retornará uma `members` matriz que fornece detalhes somente sobre as contas que atualmente são GuardDuty membros desassociados.

   Como alternativa, você pode usar AWS Command Line Interface (AWS CLI) para executar o seguinte comando:

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Substitua pelo ID do detector da conta de GuardDuty administrador *us-east-1* delegado e pela região em que você deseja remover essa conta.

1. Para excluir uma ou mais contas de GuardDuty membros, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)para excluir a conta de membro da GuardDuty organização.

   Como alternativa, você pode usar AWS CLI para executar o seguinte comando:

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Substitua pelo ID do detector da conta de GuardDuty administrador delegado e *us-east-1* pela região em que você deseja remover essa conta. Se você tiver uma lista de contas IDs que deseja remover, separe-as por um caractere de espaço.

------

# Alterando a conta do GuardDuty administrador delegado
<a name="change-guardduty-delegated-admin"></a>

Você pode remover a conta de GuardDuty administrador delegado da sua organização em cada região e, em seguida, delegar um novo administrador em cada região. Para manter a postura de segurança das contas dos membros da sua organização em uma região, você deve ter uma conta de GuardDuty administrador delegada nessa região.

**Observação**  
Antes de remover uma conta de GuardDuty administrador delegado, você deve desassociar todas as contas de membros associadas à conta de GuardDuty administrador delegado e, em seguida, excluí-las da organização. GuardDuty Para obter mais informações sobre essas etapas, consulte os documentos a seguir:  
[Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md)
[Excluindo contas de membros da organização GuardDuty](delete-member-accounts-guardduty-organization.md)

## Removendo a conta de GuardDuty administrador delegado existente
<a name="remove-existing-guardduty-delegated-admin"></a>

**Etapa 1 - Para remover a conta de GuardDuty administrador delegado existente em cada região**

1. Como conta de GuardDuty administrador delegado existente, liste todas as contas de membros associadas à sua conta de administrador. Executar [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) com `OnlyAssociated=false`.

1. Se a preferência de ativação automática GuardDuty ou qualquer um dos planos de proteção opcionais estiver definida como`ALL`, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para atualizar a configuração da organização para `NEW` ou`NONE`. Essa ação evitará um erro ao desassociar todas as contas-membro na próxima etapa.

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) para desassociar todas as contas-membro associadas à conta do administrador.

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) para excluir as associações entre a conta do administrador e as contas-membro.

1. Como conta de gerenciamento da organização, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)para remover a conta de GuardDuty administrador delegado existente.

1. Repita essas etapas em cada um Região da AWS em que você tenha essa conta de GuardDuty administrador delegado.

**Etapa 2 - Para cancelar o registro da conta de GuardDuty administrador delegado existente em AWS Organizations (ação global única)**
+ Execute [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)na *Referência da AWS Organizations API* para cancelar o registro da conta de GuardDuty administrador delegado existente em. AWS Organizations

  Como alternativa, você pode executar o seguinte AWS CLI comando:

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  Certifique-se de *111122223333* substituir pela conta de GuardDuty administrador delegado existente.

  Depois de cancelar o registro da antiga conta de GuardDuty administrador delegado, você pode adicioná-la como uma conta de membro à nova conta de administrador delegado GuardDuty .

## Designação de uma nova conta de GuardDuty administrador delegado em cada região
<a name="designate-new-guardduty-delegated-admin"></a>

1. Designe uma nova conta de GuardDuty administrador delegado em cada região usando seu método de acesso preferido: GuardDuty console, API ou. AWS CLI Para obter mais informações, consulte [Designação de uma conta de administrador delegado GuardDuty](delegated-admin-designate.md).

1. Execute [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)para ver a configuração atual de ativação automática da sua organização.
**Importante**  
Antes de adicionar qualquer membro à nova conta de GuardDuty administrador delegado, você deve verificar a configuração de ativação automática da sua organização. Essa configuração é específica para a nova conta de GuardDuty administrador delegado e para a região selecionada, e não está relacionada a. AWS Organizations Quando você adiciona uma conta de membro da organização (nova ou existente) à nova conta de GuardDuty administrador delegado, a configuração de ativação automática da nova conta de GuardDuty administrador delegado será aplicada no momento da ativação GuardDuty ou de qualquer um de seus planos de proteção opcionais.

   Altere a configuração da organização para a nova conta de GuardDuty administrador delegado usando seu método de acesso preferido: GuardDuty console, API ou AWS CLI. Para obter mais informações, consulte [Como configurar as preferências de habilitação automática da organização](set-guardduty-auto-enable-preferences.md).

# Gerenciando GuardDuty contas por convite
<a name="guardduty_invitations"></a>

Para gerenciar contas externas à organização, é possível usar o método de convite legado. Ao usar esse método, sua conta é designada como uma conta de administrador quando outra conta aceita seu convite para se tornar uma conta de membro. 

**nota**  
GuardDuty recomenda usar, AWS Organizations em vez de GuardDuty convites, para gerenciar suas contas de membros. Para obter mais informações, consulte [Como gerenciar contas com o AWS Organizations](guardduty_organizations.md).

Caso sua conta não seja uma conta de administrador, você pode aceitar um convite de outra conta. Ao aceitar, sua conta se tornará uma conta de membro. Uma AWS conta não pode ser uma conta de GuardDuty administrador e uma conta de membro ao mesmo tempo.

Ao aceitar um convite de uma conta, você não pode aceitar um convite de outra conta. Para aceitar um convite de outra conta, primeiro é preciso desassociar sua conta da conta de administrador vigente. Outra alternativa é que a conta de administrador também pode desassociar e remover sua conta da organização.

As contas associadas por convite têm o account-to-member relacionamento geral de administrador semelhante ao das contas associadas por AWS Organizations, conforme descrito em[Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros](administrator_member_relationships.md). No entanto, os usuários da conta de administrador de convites não podem habilitar GuardDuty em nome de contas de membros associados ou visualizar outras contas de não membros em sua AWS Organizations organização.

**Importante**  
A transferência de dados entre regiões pode ocorrer ao GuardDuty criar contas de membros usando esse método. Para verificar os endereços de e-mail das contas dos membros, GuardDuty usa um serviço de verificação de e-mail que opera somente na região Leste dos EUA (Norte da Virgínia).

**Topics**
+ [Adição de contas por convite](guardduty_become_console.md)
+ [Consolidação de contas de GuardDuty administrador em uma única organização](consolidate-orgs.md)

# Adição de contas por convite
<a name="guardduty_become_console"></a>

Como uma conta de administrador que já foi GuardDuty ativada, você pode adicionar membros para começar a usar GuardDuty. Depois de adicionar os membros, você pode convidá-los a participar GuardDuty e eles podem escolher responder ao seu convite.

**nota**  
GuardDuty recomenda usar, AWS Organizations em vez de GuardDuty convites, para gerenciar suas contas de membros. Para obter mais informações, consulte [Como gerenciar contas com o AWS Organizations](guardduty_organizations.md).

Escolha um método de acesso preferido para adicionar contas de GuardDuty membros como conta de GuardDuty administrador. 

------
#### [ Console ]

**Etapa 1 – Adicionar uma conta**

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, selecione **Contas**. 

1. Selecione **Adicionar contas por convite** no painel superior.

1. Na página **Adicionar contas-membro**, em **Inserir detalhes da conta**, digite o ID e o endereço de e-mail da Conta da AWS associados à conta que você deseja adicionar. 

1. Para adicionar outra linha para inserir os detalhes da conta, um por vez, escolha **Adicionar outra conta**. Você também pode escolher **Carregar arquivo.csv com detalhes da conta** para adicionar contas em massa.
**Importante**  
A primeira linha do arquivo .csv deve conter o cabeçalho, como ilustrado no exemplo a seguir: `Account ID,Email`. Cada linha subsequente deve conter uma única Conta da AWS ID válida e o endereço de e-mail associado. O formato de uma linha é válido se ela contiver somente um ID de Conta da AWS e o endereço de e-mail associado separados por uma vírgula.   

   ```
   Account ID,Email
                                   555555555555,user@example.com
   ```

1. Depois de adicionar todos os detalhes das contas, escolha **Próximo**. Você pode ver as contas recém-adicionadas na tabela Contas. O **status** dessas contas será **Convite não enviado**. Para obter informações sobre como enviar um convite para uma ou mais contas adicionadas, consulte [Step 2 - Invite an account](#guardduty_invite_member_proc).

**Etapa 2: convidar uma conta**

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, selecione **Contas**. 

1. Selecione uma ou mais contas que você deseja convidar para a Amazon GuardDuty. 

1. Selecione o menu suspenso **Ações** e, em seguida, selecione **Convidar**.

1. Na caixa de GuardDuty diálogo **Convite para**, insira uma mensagem de convite (opcional).

   Se a conta convidada não tiver acesso ao e-mail, marque a caixa de seleção **Também enviar uma notificação por e-mail para o usuário raiz na conta do convidado Conta da AWS e gerar um alerta na conta do** convidado. AWS Health Dashboard

1. Selecione **Enviar convite**. Se os convidados tiverem acesso ao endereço de e-mail especificado, eles poderão ver o convite abrindo o GuardDuty console em. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. Quando um convidado aceita o convite, o valor na coluna **Status** muda para **Convidado**. Para obter informações sobre como gerenciar um convite, consulte [Step 3 - Accept an invitation](#guardduty_accept_invite_proc).

**Etapa 3: aceitar um convite**

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
**Importante**  
Você deve habilitar GuardDuty antes de poder ver ou aceitar um convite de associação.

1. Faça o seguinte somente se você GuardDuty ainda não tiver ativado; caso contrário, você pode pular essa etapa e continuar com a próxima etapa.

   Se você ainda não habilitou GuardDuty, escolha **Get Started** na GuardDuty página da Amazon. 

   Na página **Bem-vindo GuardDuty**, escolha **Habilitar GuardDuty**.

1. Depois de ativar GuardDuty sua conta, use as etapas a seguir para aceitar o convite de associação: 

   1. No painel de navegação, selecione **Configurações**.

   1. Selecione **Contas**.

   1. Em **Contas**, certifique-se de verificar o proprietário da conta da qual você aceita o convite. Habilite a opção **Aceitar** para aceitar o convite de membro. 

1. Depois de aceitar o convite, sua conta se torna uma conta de GuardDuty membro. A conta cujo proprietário enviou o convite se torna a conta GuardDuty do administrador. A conta do administrador saberá que você aceitou o convite. A tabela de **contas** em sua GuardDuty conta será atualizada. O valor na coluna **Status** correspondente ao ID da sua conta de membro será alterado para **Habilitado**. O proprietário da conta de administrador agora pode visualizar GuardDuty e gerenciar as configurações do plano de proteção em nome da sua conta. A conta do administrador também pode visualizar e gerenciar GuardDuty as descobertas geradas para sua conta de membro.

------
#### [ API/CLI ]

Você pode designar uma conta de GuardDuty administrador e criar ou adicionar contas de GuardDuty membros por convite por meio das operações da API. Execute as seguintes operações de GuardDuty API para designar contas de administrador e contas de membros em GuardDuty.

Conclua o procedimento a seguir usando as credenciais da Conta da AWS que você deseja designar como conta de GuardDuty administrador.

**Criação ou adição de contas-membro**

1. Execute a operação da [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)API usando as credenciais da AWS conta que foi GuardDuty ativada. Essa é a conta que você deseja que seja a GuardDuty conta de administrador.

   Você deve especificar o ID do detector da AWS conta atual e o ID da conta e o endereço de e-mail das contas das quais você deseja que se tornem GuardDuty membros. É possível criar um ou mais membros com essa operação de API.

   Você também pode usar as ferramentas de linha de AWS comando para designar uma conta de administrador executando o seguinte comando da CLI. Use seu próprio ID de detector válido, ID da conta e e-mail.

   Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
   ```

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html)usando as credenciais da AWS conta que foi GuardDuty ativada. Essa é a conta que você deseja que seja a GuardDuty conta de administrador.

    Você deve especificar o ID do detector da AWS conta corrente e a conta IDs das contas das quais você deseja que se tornem GuardDuty membros. Você pode convidar um ou mais membros com essa operação de API.
**nota**  
Você também pode especificar uma mensagem de convite opcional usando o parâmetro de solicitação `message`.

   Você também pode usar AWS Command Line Interface para designar contas de membros executando o comando a seguir. Certifique-se de usar seu próprio ID de detector válido e uma conta válida IDs para as contas que você deseja convidar. 

   Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
   ```

**Como aceitar convites**

Conclua o procedimento a seguir usando as credenciais de cada AWS conta que você deseja designar como conta de GuardDuty membro.

1. Execute a operação da [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html)API para cada AWS conta que foi convidada para se tornar uma conta GuardDuty membro e que você deseja aceitar um convite. 

   Você deve especificar se o recurso do detector deve ser ativado usando o GuardDuty serviço. Um detector deve ser criado e ativado para que ele GuardDuty se torne operacional. Você deve primeiro habilitar GuardDuty antes de aceitar um convite.

   Você também pode fazer isso usando as ferramentas de linha de AWS comando usando o seguinte comando da CLI.

   ```
   aws guardduty create-detector --enable
   ```

1. Execute a operação da [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html)API para cada AWS conta em que você deseja aceitar o convite de associação, usando as credenciais dessa conta. 

   Você deve especificar o ID do detector dessa AWS conta para a conta do membro, o ID da conta do administrador que enviou o convite e o ID do convite que você está aceitando. É possível encontrar o ID da conta de administrador no e-mail de convite ou usando a operação de API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html).

   Você também pode aceitar um convite usando as ferramentas de linha de AWS comando executando o seguinte comando da CLI. Use um ID de detector válido, um ID de conta de administrador e um ID de convite.

   Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
   ```

------

# Consolidação de contas de GuardDuty administrador em uma única organização
<a name="consolidate-orgs"></a>

GuardDuty recomenda usar a associação AWS Organizations para gerenciar contas de membros em uma conta de GuardDuty administrador delegado. Você pode usar o processo de exemplo descrito abaixo para consolidar a conta de administrador e o membro associado por convite em uma organização em uma única conta de administrador GuardDuty delegado GuardDuty .

**nota**  
GuardDuty recomenda usar, AWS Organizations em vez de GuardDuty convites, para gerenciar suas contas de membros. Para obter mais informações, consulte [Como gerenciar contas com o AWS Organizations](guardduty_organizations.md).

Contas que já estão sendo gerenciadas por uma conta de GuardDuty administrador delegado ou contas de membros ativas associadas à conta de GuardDuty administrador delegado não podem ser adicionadas a uma conta de administrador delegado GuardDuty diferente. Cada organização pode ter somente uma conta de GuardDuty administrador delegado por região, e cada conta de membro pode ter somente uma conta de GuardDuty administrador delegado.

Escolha um método de acesso preferencial para consolidar contas de GuardDuty administrador em uma única conta de GuardDuty administrador delegado.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para fazer login, use as credenciais da conta de gerenciamento da organização.

1. Todas as contas que você deseja gerenciar GuardDuty devem fazer parte da sua organização. Para obter informações sobre como adicionar uma conta à sua organização, consulte [Convidar um Conta da AWS para participar da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). 

1. Verifique se todas as contas dos membros estão associadas à conta que você deseja designar como a única conta de GuardDuty administrador delegado. Desassocie qualquer conta de membro que ainda esteja associada às contas de administrador preexistentes.

   As etapas a seguir ajudarão você a desassociar contas-membro da conta de administrador preexistente:

   1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   1. Para fazer login, use as credenciais da conta de administrador preexistente.

   1. No painel de navegação, selecione **Contas**.

   1. Na página **Contas**, selecione uma ou mais contas que você deseja desassociar da conta de administrador.

   1. Selecione **Ações** e, em seguida, selecione **Desassociar conta**.

   1. Selecione **Confirmar** para finalizar a etapa.

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para fazer login, use as credenciais da conta de gerenciamento.

1. No painel de navegação, selecione **Configurações**. Na página **Configurações**, designe a conta de GuardDuty administrador delegado para a organização.

1. Faça login na conta de GuardDuty administrador delegado designada.

1. Adicionar membros da organização. Para obter mais informações, consulte [Gerenciando GuardDuty contas com AWS Organizations](guardduty_organizations.md).

------
#### [ API/CLI ]

1. Todas as contas que você deseja gerenciar GuardDuty devem fazer parte da sua organização. Para obter informações sobre como adicionar uma conta à sua organização, consulte [Convidar um Conta da AWS para participar da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). 

1. Verifique se todas as contas dos membros estão associadas à conta que você deseja designar como a única conta de GuardDuty administrador delegado. 

   1. Execute [DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)para desassociar qualquer conta de membro que ainda esteja associada às contas de administrador preexistentes.

   1. Como alternativa, você pode usar AWS Command Line Interface para executar o comando a seguir e *777777777777* substituí-lo pelo ID do detector da conta de administrador preexistente da qual você deseja desassociar a conta do membro. *666666666666*Substitua pelo Conta da AWS ID da conta de membro que você deseja desassociar. 

      ```
      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666    
      ```

1. Execute [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)para delegar uma Conta da AWS como conta de GuardDuty administrador delegado.

   Como alternativa, você pode usar AWS Command Line Interface para executar o seguinte comando para delegar uma conta de GuardDuty administrador delegado:

   ```
   aws guardduty enable-organization-admin-account --admin-account-id 777777777777
   ```

1. Adicionar membros da organização. Para obter mais informações, consulte [Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api).

------

**Importante**  
Para maximizar a eficácia de GuardDuty um serviço regional, recomendamos que você designe sua conta de GuardDuty administrador delegado e adicione todas as suas contas de membros em cada região.

# GuardDuty considerações para exportar detalhes da conta do membro no formato CSV
<a name="exporting-guardduty-accounts-data-to-csv"></a>

Como conta de GuardDuty administrador, você pode exportar os detalhes da conta do membro em formato CSV. Esses detalhes incluem o ID da conta do membro, nome, tipo (adicionado por AWS Organizations ou por meio de convite) e status de configuração GuardDuty e planos de proteção dedicados.

A opção **Exportar CSV** é exibida na página GuardDuty **Contas** com base em como você gerencia as contas de vários membros. Ao usar a opção **Exportar CSV**, você pode identificar quais contas de membros têm um plano de proteção específico ativado. 

A lista a seguir fornece os critérios para saber se o **CSV de exportação** estará ou não disponível na sua página GuardDuty **Contas**:
+ Você usa apenas AWS Organizations para gerenciar várias contas de membros e o número total de contas de membros em sua GuardDuty organização é de até 5.000.
+ Você usa o método de convites AWS Organizations e o número total de contas de membros em sua GuardDuty organização é de até 5.000.

  Nesse cenário, o CSV exportado incluirá se uma conta de membro foi adicionada por meio de AWS Organizations ou usando o método baseado em convite.
+ Quando você usa somente o método baseado em convite para gerenciar várias contas de membros, não há a opção de **Exportar CSV**.