As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciando GuardDuty contas com AWS Organizations
<a name="guardduty_organizations"></a>

Em uma AWS organização, a conta de gerenciamento pode designar qualquer conta dentro dessa organização como a conta de GuardDuty administrador delegado. Para essa conta de administrador, GuardDuty é ativada automaticamente somente na conta atual Região da AWS. Por padrão, a conta de administrador pode ativar e gerenciar GuardDuty todas as contas de membros na organização dentro dessa região. A conta do administrador pode visualizar e adicionar membros a essa AWS organização.

As seções a seguir o guiarão por várias tarefas que você pode realizar como uma conta de GuardDuty administrador delegado.

**Topics**
+ [Considerações e recomendações para uso com GuardDuty AWS Organizations](#delegated_admin_important)
+ [Permissões necessárias para designar uma conta de administrador delegado GuardDuty](organizations_permissions.md)
+ [Designação de uma conta de administrador delegado GuardDuty](delegated-admin-designate.md)
+ [Como configurar as preferências de habilitação automática da organização](set-guardduty-auto-enable-preferences.md)
+ [Como adicionar membros à organização](add-member-accounts-guardduty-organization.md)
+ [(Opcional) Ativar planos de proteção para contas-membro existentes](guardduty_quick_protection_plan_config.md)
+ [Gerenciando continuamente suas contas de membros em GuardDuty](maintaining-guardduty-organization-delegated-admin.md)
+ [Suspensão da GuardDuty conta de membro](suspending-guardduty-member-account-from-admin.md)
+ [Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md)
+ [Excluindo contas de membros da organização GuardDuty](delete-member-accounts-guardduty-organization.md)
+ [Alterando a conta do GuardDuty administrador delegado](change-guardduty-delegated-admin.md)

## Considerações e recomendações para uso com GuardDuty AWS Organizations
<a name="delegated_admin_important"></a>

As considerações e recomendações a seguir podem ajudá-lo a entender como uma conta de GuardDuty administrador delegado opera em: GuardDuty

**Uma conta de GuardDuty administrador delegado pode gerenciar no máximo 50.000 membros.**  
Há um limite de 50.000 contas de membros por conta de GuardDuty administrador delegado. Isso inclui contas de membros que foram adicionadas por meio de AWS Organizations ou aquelas que aceitaram o convite da conta de GuardDuty administrador para ingressar na organização. No entanto, pode haver mais de 50.000 contas em sua AWS organização.  
Se você exceder o limite de 50.000 contas de membros, receberá uma notificação e um e-mail para a conta de CloudWatch GuardDuty administrador delegado designada. Health Dashboard

**Uma conta de GuardDuty administrador delegado é regional.**  
Ao contrário AWS Organizations, GuardDuty é um serviço regional. As contas de GuardDuty administrador delegado e suas contas de membros devem ser adicionadas AWS Organizations em cada região desejada em que você GuardDuty ativou. Se a conta de gerenciamento da organização designar uma conta de GuardDuty administrador delegado somente no Leste dos EUA (Norte da Virgínia), a conta de GuardDuty administrador delegado gerenciará somente as contas de membros adicionadas à organização nessa região. Para obter mais informações sobre a paridade de recursos nas regiões onde GuardDuty está disponível, consulte[Regiões e endpoints](guardduty_regions.md).

**Casos especiais para regiões de inclusão**  
+ Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (`NEW`) ou para todas as contas de membros (`ALL`), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra **Contas** no painel de navegação do [GuardDuty console](https://console.aws.amazon.com/guardduty/) ou use a [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API.
+ Ao trabalhar com a configuração de GuardDuty ativação automática definida como`NEW`, certifique-se de que a seguinte sequência seja atendida:

  1. As contas-membro aderem a uma região de inclusão.

  1. Adicione as contas-membro à sua organização em AWS Organizations.

  Se você alterar a ordem dessas etapas, a configuração de GuardDuty ativação automática **não `NEW` funcionará** na região de inscrição específica porque a conta do membro não é mais nova na organização. GuardDuty fornece duas soluções alternativas: 
  + Defina a configuração de GuardDuty ativação automática como`ALL`, que inclui contas de membros novas e existentes. Nesse caso, a ordem das etapas é irrelevante.
  + Se uma conta de membro já fizer parte da sua organização, gerencie a GuardDuty configuração dessa conta individualmente na região de inscrição específica usando o GuardDuty console ou a API.

**Necessário para que uma AWS organização tenha a mesma conta de GuardDuty administrador delegado em todos os Regiões da AWS.**  
Você deve designar uma conta de membro como a conta de GuardDuty administrador delegado em todos os Regiões da AWS lugares GuardDuty ativados. Por exemplo, se você designar uma conta de membro *111122223333* em*Europe (Ireland)*, não poderá designar outra conta de membro em*555555555555*. *Canada (Central)* É necessário que você use a mesma conta da conta de GuardDuty administrador delegado em todas as outras regiões.  
Você pode designar uma nova conta de GuardDuty administrador delegado a qualquer momento. Para obter mais informações sobre como remover a conta de GuardDuty administrador delegado existente, consulte[Alterando a conta do GuardDuty administrador delegado](change-guardduty-delegated-admin.md).

**Não é recomendável definir a conta de gerenciamento da sua organização como a conta de GuardDuty administrador delegado.**  
A conta de gerenciamento da sua organização pode ser a conta de GuardDuty administrador delegado. No entanto, as práticas recomendadas de segurança da AWS seguem o princípio do privilégio mínimo e não recomendam essa configuração.

**Alterar uma conta de GuardDuty administrador delegado não desativa GuardDuty as contas dos membros.**  
Se você remover uma conta de GuardDuty administrador delegado, GuardDuty removerá todas as contas de membros associadas a essa conta de GuardDuty administrador delegado. GuardDuty ainda permanece habilitado para todas essas contas de membros.

# Permissões necessárias para designar uma conta de administrador delegado GuardDuty
<a name="organizations_permissions"></a>

Para começar a usar a Amazon GuardDuty com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta de GuardDuty administrador delegado. Isso permite GuardDuty , como um serviço confiável, em AWS Organizations. Também habilita GuardDuty a conta de GuardDuty administrador delegado e também permite que a conta de administrador delegado habilite e GuardDuty gerencie outras contas na organização na região atual. Para obter informações sobre como essas permissões são concedidas, consulte [Usando AWS Organizations com outros AWS serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Como conta de AWS Organizations gerenciamento, antes de designar a conta de GuardDuty administrador delegado para sua organização, verifique se você pode realizar a seguinte GuardDuty ação:. `guardduty:EnableOrganizationAdminAccount` Essa ação permite que você designe a conta de GuardDuty administrador delegado para sua organização usando. GuardDuty Você também deve garantir que tenha permissão para realizar as AWS Organizations ações que ajudam a recuperar informações sobre sua organização.

Para conceder essas permissões, inclua a seguinte declaração em uma política AWS Identity and Access Management (IAM) da sua conta:

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

Se você quiser designar sua conta AWS Organizations de gerenciamento como conta de GuardDuty administrador delegado, sua conta também precisará da ação IAM:. `CreateServiceLinkedRole` Essa ação permite que você inicialize GuardDuty para a conta de gerenciamento. No entanto, revise [Considerações e recomendações para uso com GuardDuty AWS Organizations](guardduty_organizations.md#delegated_admin_important) antes de prosseguir com a adição das permissões. 

Para continuar a designar a conta de gerenciamento como a conta de GuardDuty administrador delegado, adicione a seguinte declaração à política do IAM e *111122223333* substitua pela Conta da AWS ID da conta de gerenciamento da sua organização:

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# Designação de uma conta de administrador delegado GuardDuty
<a name="delegated-admin-designate"></a>

Esta seção apresenta as etapas para designar um administrador delegado na organização da GuardDuty. 

Como conta de gerenciamento da AWS organização, leia atentamente [Considerações e recomendações](guardduty_organizations.md#delegated_admin_important) sobre como uma conta de GuardDuty administrador delegado opera. Antes de continuar, verifique se você tem [Permissões necessárias para designar uma conta de administrador delegado GuardDuty](organizations_permissions.md).

Escolha um método de acesso preferencial para designar uma conta de GuardDuty administrador delegado para sua organização. Somente uma conta de gerenciamento pode executar essa etapa.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para acessar, use as credenciais da conta de gerenciamento de sua organização da AWS Organizations .

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja designar a conta de GuardDuty administrador delegado para sua organização.

1. Siga um destes procedimentos, dependendo se GuardDuty está habilitado para sua conta de gerenciamento na região atual:
   + Se não GuardDuty estiver ativado, selecione **Amazon GuardDuty - todos os recursos** e escolha **Começar**. Essa ação levará você à GuardDuty página **Bem-vindo ao**.
   + Se GuardDuty estiver ativado, escolha **Configurações** no painel de navegação.

1. Em **Administrador delegado**, insira a Conta da AWS ID de 12 dígitos da conta que você deseja designar como a conta de GuardDuty administrador delegado da organização.

   Certifique-se de habilitar sua conta GuardDuty de GuardDuty administrador delegado recém-designada, caso contrário, ela não poderá realizar nenhuma ação.

1. Selecione **Delegar**.

1. (Recomendado) Repita as etapas anteriores para designar a conta de GuardDuty administrador delegado em cada uma Região da AWS onde você ativou. GuardDuty 

------
#### [ API/CLI ]

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)usando as credenciais da conta Conta da AWS de gerenciamento da organização.
   + Como alternativa, você pode usar AWS Command Line Interface para fazer isso. O AWS CLI comando a seguir designa uma conta de GuardDuty administrador delegado somente para sua região atual. Execute o AWS CLI comando a seguir e certifique-se de *111111111111* substituir pela Conta da AWS ID da conta que você deseja designar como conta de GuardDuty administrador delegado:

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     Para designar a conta de GuardDuty administrador delegado para outras regiões, especifique a região no AWS CLI comando. O exemplo a seguir demonstra como habilitar uma conta de GuardDuty administrador delegado no Oeste dos EUA (Oregon). Certifique-se de *us-west-2* substituir pela região à qual você deseja atribuir a conta de GuardDuty administrador delegado.

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     Para obter informações sobre Regiões da AWS onde GuardDuty está disponível, consulte[Regiões e endpoints](guardduty_regions.md).

   Se GuardDuty estiver desativado para sua conta de GuardDuty administrador delegado, não será possível realizar nenhuma ação. Se ainda não tiver feito isso, certifique-se de habilitar a conta GuardDuty de GuardDuty administrador delegado recém-designada.

1. (Recomendado) repita as etapas anteriores para designar a conta de GuardDuty administrador delegado em cada uma Região da AWS onde você ativou. GuardDuty 

------

# Como configurar as preferências de habilitação automática da organização
<a name="set-guardduty-auto-enable-preferences"></a>

O recurso de ativação automática da organização GuardDuty ajuda você a definir o mesmo GuardDuty status dos planos de proteção para contas `ALL` existentes ou `NEW` membros em sua organização, em uma única etapa. Da mesma forma, é possível especificar quando não se deseja realizar nenhuma ação nas contas de membros, selecionando `NONE`. As etapas a seguir explicam essas configurações e também indicam quando é necessário usar uma configuração específica.

**nota**  
Você pode definir preferências de habilitação automática para todos os planos de proteção, exceto [Proteção contra malware para S3](gdu-malware-protection-s3.md).

Selecione um método de acesso preferencial para atualizar as preferências de habilitação automática da organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador.

1. No painel de navegação, selecione **Contas**.

   A página **Contas** fornece opções de configuração para a conta do GuardDuty administrador ser **ativada automaticamente** GuardDuty e os planos de proteção opcionais em nome das contas membros que pertencem à organização.

1. Para atualizar as configurações de habilitação automática em vigor, selecione **Editar**.  
![\[Selecionar Editar para atualizar as preferências de habilitação automática em nome das contas de membros da organização.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   Esse suporte está disponível para configuração GuardDuty e para todos os planos de proteção opcionais compatíveis em seu Região da AWS. Você pode selecionar uma das seguintes opções de configuração GuardDuty em nome de suas contas de membros:
   + **Habilitar para todas as contas (`ALL`)**: selecionar para habilitar a respectiva opção para todas as contas em uma organização. Isso inclui novas contas que ingressam na organização e aquelas contas que podem ter sido suspensas ou removidas da organização. Isso também inclui a conta de GuardDuty administrador delegado.
**nota**  
Pode levar até 24 horas para atualizar a configuração de todas as contas-membro.
   + **Ativação automática para novas contas (`NEW`)** — Selecione para ativar GuardDuty ou ativar os planos de proteção opcionais somente para novas contas de membros automaticamente quando elas ingressarem na sua organização.
   + **Não habilitar (`NONE`)**: selecionar para impedir a habilitação da respectiva opção para novas contas em sua organização. Nesse caso, a conta GuardDuty do administrador gerenciará cada conta individualmente. 

     Ao atualizar a configuração de habilitar automática de `ALL` ou `NEW` para `NONE`, essa ação não desabilita a respectiva opção para suas contas existentes. Essa configuração será aplicada às novas contas que ingressam na organização. Depois de atualizar as configurações de habilitação automática, nenhuma nova conta terá a respectiva opção habilitada.
**nota**  
Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (`NEW`) ou para todas as contas de membros (`ALL`), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra **Contas** no painel de navegação do [GuardDuty console](https://console.aws.amazon.com/guardduty/) ou use a [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API.

1. Escolha **Salvar alterações**.

1. (Opcional) caso queira usar as mesmas preferências em cada região, atualize suas preferências em cada uma das regiões atendidas separadamente.

   Alguns dos planos de proteção opcionais podem não estar disponíveis em todos os Regiões da AWS lugares GuardDuty disponíveis. Para obter mais informações, consulte [Regiões e endpoints](guardduty_regions.md).

------
#### [ API/CLI ]

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)usando as credenciais da conta de GuardDuty administrador delegado, para configurar automaticamente planos GuardDuty de proteção opcionais nessa região para sua organização. [Para obter informações sobre as várias configurações de ativação automática, consulte autoEnableOrganization Membros.](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)

   Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   Para definir preferências de habilitação automática para qualquer um dos planos de proteção opcionais compatíveis em sua região, siga as etapas fornecidas nas seções de documentação correspondentes de cada plano de proteção.

1. Você pode validar as preferências da sua organização na região atual. Executar [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html). Certifique-se de especificar o ID do detector da conta do GuardDuty administrador delegado.
**nota**  
Pode levar até 24 horas para atualizar a configuração de todas as contas-membro. 

1. Como alternativa, execute o AWS CLI comando a seguir para definir as preferências a serem ativadas ou desativadas automaticamente GuardDuty nessa região para novas contas (`NEW`) que ingressam na organização, todas as contas (`ALL`) ou nenhuma das contas (`NONE`) na organização. Para obter mais informações, consulte [autoEnableOrganizationMembros](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers). Com base na sua preferência, talvez seja necessário substituir `NEW` por `ALL` ou `NONE`. Se você configurar o plano de proteção com`ALL`, o plano de proteção também será habilitado para a conta de GuardDuty administrador delegado. Certifique-se de especificar o ID do detector da conta do GuardDuty administrador delegado que gerencia a configuração da organização.

   Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. É possível validar as preferências da sua organização na região atual. Execute o AWS CLI comando a seguir usando o ID do detector da conta do GuardDuty administrador delegado.

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

(Recomendado) repita as etapas anteriores em cada região usando o ID delegado do detector da conta de GuardDuty administrador.

**nota**  
Quando uma conta de GuardDuty administrador delegado opta por não participar de uma região opcional, mesmo que sua organização tenha a configuração de ativação GuardDuty automática definida apenas para novas contas de membros (`NEW`) ou para todas as contas de membros (`ALL`), GuardDuty não pode ser habilitada para nenhuma conta membro na organização que esteja atualmente desativada. GuardDuty Para obter informações sobre a configuração de suas contas de membros, abra **Contas** no painel de navegação do [GuardDuty console](https://console.aws.amazon.com/guardduty/) ou use a [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API.

------

# Como adicionar membros à organização
<a name="add-member-accounts-guardduty-organization"></a>

Como conta de GuardDuty administrador delegado, você pode adicionar uma ou mais Contas da AWS à GuardDuty organização. Quando você adiciona uma conta como GuardDuty membro, ela será GuardDuty ativada automaticamente nessa região. Há uma exceção na conta de gerenciamento da organização. Antes que a conta de gerenciamento seja adicionada como GuardDuty membro, ela deve estar GuardDuty ativada.

Escolha um método preferido para adicionar uma conta de membro à sua GuardDuty organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

   A tabela de contas exibe todas as contas de membros que estão ativas (não suspensas Contas da AWS) e podem estar associadas à conta de GuardDuty administrador delegado. Caso a conta-membro esteja associada à conta de administrador da organização, o **Tipo** será um dos seguintes: **Via organizações** ou **Por convite**. Se uma conta de membro não estiver associada à conta de GuardDuty administrador da organização, o **Tipo** dessa conta de membro será **Não membro**.

1. Selecione uma ou mais contas IDs que você deseja adicionar como membros. Essas contas IDs devem ter o **tipo de** **Via Organizations**.

   As contas adicionadas por meio de convite não fazem parte da sua organização. Você pode gerenciar essas contas individualmente. Para obter mais informações, consulte [Gerenciar contas por convite](guardduty_invitations.md).

1. Escolha no menu suspenso **Ações** e selecione **Adicionar membro**. Depois de adicionar essa conta como membro, a GuardDuty configuração de ativação automática será aplicada. Com base nas configurações em[Como configurar as preferências de habilitação automática da organização](set-guardduty-auto-enable-preferences.md), a GuardDuty configuração dessas contas pode mudar. 

1. Você pode selecionar a seta para baixo da coluna **Status** para classificar as contas pelo status **Não é membro** e, em seguida, escolher cada conta que não GuardDuty esteja ativada na região atual.

   Se nenhuma das contas listadas na tabela de contas ainda tiver sido adicionada como membro, você poderá habilitar GuardDuty na região atual todas as contas da organização. Escolha a opção para **habilitar** na faixa na parte superior da página. Essa ação ativa automaticamente a GuardDuty configuração de **ativação automática** para que seja GuardDuty habilitada para qualquer nova conta que ingresse na organização.

1. Selecione **Confirmar** para adicionar as contas como membros. Essa ação também é GuardDuty ativada para todas as contas selecionadas. O **Status** das contas convidadas será alterado para **Habilitado**.

1. (Recomendado) Repita essas etapas em cada uma Região da AWS. Isso garante que a conta de GuardDuty administrador delegado possa gerenciar descobertas e outras configurações para contas de membros em todas as regiões em que GuardDuty você habilitou.

   O recurso de ativação automática habilita todos GuardDuty os futuros membros de sua organização. Isso permite que sua conta de GuardDuty administrador delegado gerencie quaisquer novos membros criados ou adicionados à organização. Quando o número de contas-membro atingir o limite de 50.000, o atributo Habilitar automaticamente será desabilitado. Ao remover uma conta-membro e o número total de membros diminuir para menos de 50.000, o atributo Habilitar automaticamente será reativado. 

------
#### [ API/CLI ]
+ Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)usando as credenciais da conta de GuardDuty administrador delegado.

  Você deve especificar o ID do detector regional da conta do GuardDuty administrador delegado e os detalhes da conta (Conta da AWS IDs e endereços de e-mail correspondentes) das contas que você deseja adicionar como GuardDuty membros. É possível criar um ou mais membros com essa operação de API.

  Ao executar CreateMembers na sua organização, as preferências de habilitação automática para novos membros serão aplicadas à medida que novas contas de membros ingressarem na sua organização. Ao executar CreateMembers com uma conta-membro existente, a configuração da organização também se aplicará aos membros existentes. Isso pode alterar a configuração atual das contas-membro antigas.

  Execute [https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)na *Referência AWS Organizations da API* para ver todas as contas na AWS organização.
  + Como alternativa, você pode usar AWS Command Line Interface. Execute o comando AWS CLI a seguir e certifique-se de usar seu próprio ID de detector válido, ID de Conta da AWS e endereço de e-mail associado ao ID da conta. 

    Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    Você pode ver uma lista de todos os membros da organização executando o seguinte AWS CLI comando:

    ```
    aws organizations list-accounts
    ```

  Depois de adicionar essa conta como membro, a GuardDuty configuração de ativação automática será aplicada.

------

# (Opcional) Ativar planos de proteção para contas-membro existentes
<a name="guardduty_quick_protection_plan_config"></a>

O procedimento a seguir inclui etapas para habilitar planos de proteção para contas-membro existentes usando a página **Contas**. Para ver as etapas para fazer isso usando a API ou AWS CLI consulte os documentos relacionados ao plano de proteção específico.

Pode-se habilitar planos de proteção para contas individuais na página **Contas**.

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Selecione uma ou mais contas para as quais você deseja configurar um plano de proteção. Repita as etapas a seguir para cada plano de proteção que você deseja configurar:

   1. Selecione **Editar planos de proteção**. 

   1. Na lista de planos de proteção, escolha um plano de proteção que deseja configurar.

   1. Selecione uma das ações que você deseja realizar para esse plano de proteção e, em seguida, selecione **Confirmar**.

   1. Para a conta selecionada, a coluna correspondente ao plano de proteção configurado mostrará a configuração atualizada como **Habilitada** ou **Não habilitada**.

# Gerenciando continuamente suas contas de membros em GuardDuty
<a name="maintaining-guardduty-organization-delegated-admin"></a>

Como conta de GuardDuty administrador delegado, você é responsável por manter a configuração GuardDuty e seus planos de proteção opcionais para todas as contas da sua organização em cada uma das contas suportadas Região da AWS. As seções a seguir fornecem as opções para manter o status da configuração GuardDuty ou de qualquer um de seus planos de proteção opcionais:

**Para manter o status de configuração de toda a sua organização em cada região**
+ **Defina preferências de ativação automática para toda a organização usando o GuardDuty console** — Você pode habilitar GuardDuty automaticamente para todos (`ALL`) os membros da organização ou para os novos (`NEW`) membros que ingressam na organização, ou optar por não (`NONE`) ativá-la automaticamente para nenhum dos membros da organização.

  Você também pode definir as mesmas configurações ou configurações diferentes para qualquer um dos planos de proteção incluídos GuardDuty.

  Pode levar até 24 horas para atualizar a configuração de todas as contas-membro da organização.
+ **Atualize as preferências de ativação automática usando a API** — Execute [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para configurar automaticamente GuardDuty e seus planos de proteção opcionais para a organização. Quando você corre [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)para adicionar novas contas de membros em sua organização, as configurações definidas serão aplicadas automaticamente. Ao executar CreateMembers com uma conta-membro existente, a configuração da organização também se aplica aos membros existentes. Isso pode alterar a configuração atual das contas-membro antigas.

  Para ver todas as contas em sua organização, execute [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)na *Referência da AWS Organizations API*.

**Para manter o status de configuração das contas-membro individualmente em cada região**
+ Para ver todas as contas em sua organização, execute [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)na *Referência da AWS Organizations API*.
+ Quando você quiser que contas de membros seletivas tenham um status de configuração diferente, execute [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)para cada conta de membro individualmente.

  Você pode usar o GuardDuty console para realizar a mesma tarefa navegando até a página **Contas** no GuardDuty console.

  Para obter informações sobre como habilitar planos de proteção para contas individuais usando o console ou a API, consulte a página de configuração do respectivo plano de proteção.

# Suspensão da GuardDuty conta de membro
<a name="suspending-guardduty-member-account-from-admin"></a>

Como conta de GuardDuty administrador delegado, você pode suspender o GuardDuty serviço de uma conta de membro em sua organização. Se você fizer isso, a conta do membro ainda permanecerá na sua GuardDuty organização. Você também pode reativar GuardDuty essas contas de membros posteriormente. No entanto, caso queira eventualmente desassociar (remover) essa conta-membro, **depois** de seguir as etapas desta seção, deve-se seguir as etapas em [Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md).

Ao suspender uma conta GuardDuty de membro, você pode esperar as seguintes alterações:
+ GuardDuty não monitora mais a segurança do AWS ambiente nem gera novas descobertas.
+ As descobertas existentes na conta-membro permanecem intactas.
+ Uma conta de membro GuardDuty suspensa não incorre em nenhuma cobrança por. GuardDuty

  Se a conta do membro tiver ativado a Proteção contra Malware para S3 para um ou mais buckets em sua conta, a suspensão GuardDuty não afetará a configuração da Proteção contra Malware para S3. A conta do membro continuará incorrendo no custo de uso da Proteção contra Malware para o S3. Para que a conta-membro pare de usar a Proteção contra Malware para o S3, ela deve desabilitar esse recurso para os buckets protegidos. Para obter mais informações, consulte [Desativando a proteção contra malware para S3 em um bucket protegido](disable-malware-s3-protected-bucket.md).

Escolha um método preferencial para suspender GuardDuty uma conta de membro em sua organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Na página Contas, selecione uma ou mais contas que você deseja suspender GuardDuty.

1. **Escolha o menu suspenso **Ações** e, em seguida, escolha Suspender. GuardDuty**

1. Escolha **Suspender GuardDuty** para confirmar a seleção.

   Isso mudará o **status** da conta-membro para **Desativada (suspensa)**.

   Repita as etapas anteriores em cada região adicional em que deseja desassociar ou remover a conta-membro.

------
#### [ API ]

1. Para recuperar o ID da conta do membro que você deseja suspender GuardDuty, use a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API. Inclua o parâmetro `OnlyAssociated` na sua solicitação. Se você definir o valor desse parâmetro como`true`, GuardDuty retornará uma `members` matriz que fornece detalhes somente sobre as contas que atualmente são GuardDuty membros.

   Como alternativa, você pode usar AWS Command Line Interface (AWS CLI) para executar o seguinte comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja suspender GuardDuty essa conta.

1. Para suspender uma ou mais contas de GuardDuty membros, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html) GuardDuty para suspender uma conta de membro.

   Como alternativa, você pode usar AWS CLI para executar o seguinte comando:

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja suspender essa conta. Se você tiver uma lista de contas IDs que deseja remover, separe-as por um caractere de espaço.

------

Caso queira ainda desassociar (remover) essa conta-membro, siga as etapas em [Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md).

# Como desassociar (remover) a conta-membro da conta de administrador
<a name="disassociate-remove-member-account-from-admin"></a>

Quando você quiser parar de definir as GuardDuty configurações e acessar os dados de uma conta de membro, remova essa conta como conta de GuardDuty membro. Você pode fazer isso desassociando (removendo) essa conta da conta de GuardDuty administrador. 

Quando você desassocia uma conta de GuardDuty membro, acontece o seguinte:
+ GuardDuty permanece ativada para a conta atual Região da AWS, mas a conta é desassociada da conta de GuardDuty administrador delegado.
+ A conta desassociada continua sendo exibida no inventário de contas.
+ A conta GuardDuty do administrador não tem mais acesso às descobertas dessa conta independente.
+ O proprietário da conta não é notificado da desassociação.

Você pode adicionar a conta desassociada à sua organização de novo posteriormente.

Escolha um método de sua preferência para desassociar (remover) uma conta de associado da sua organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Na tabela **Contas**, remova uma conta que tenha **Tipo** como **Via Organizações** e **Status** como **Habilitada**.

   Selecione uma ou mais contas com o mesmo **Tipo** e **Status**.

1. No menu suspenso **Ações**, selecione **Desassociar conta**.

1. Selecione **Desassociar conta** para confirmar sua seleção.

1. O valor do **Status** das contas selecionadas será alterado para **Não é membro**. A contagem de **Via Organizações (Ativas/Todas)** no canto superior direito da página Contas será alterada para refletir a atualização.

   Repita as etapas anteriores em cada região adicional em que deseja desassociar a conta-membro.

------
#### [ API ]

1. Para recuperar o ID da conta-membro que deseja remover, use a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Inclua o `OnlyAssociated` parâmetro na solicitação. Se você definir o valor desse parâmetro como`true`, GuardDuty retornará uma `members` matriz que fornece detalhes somente sobre as contas que atualmente são GuardDuty membros.

   Como alternativa, você pode usar AWS Command Line Interface (AWS CLI) para executar o seguinte comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja remover essa conta.

1. Para remover uma ou mais contas de GuardDuty membros, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)para remover a conta de membro associada à conta de administrador.

   Como alternativa, você pode usar AWS CLI para executar o seguinte comando:

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Substitua *us-east-1* pela região em que você deseja remover essa conta. Se você tiver uma lista de contas IDs que deseja remover, separe-as por um caractere de espaço.

------

# Excluindo contas de membros da organização GuardDuty
<a name="delete-member-accounts-guardduty-organization"></a>

Como conta de GuardDuty administrador delegado, depois de desassociar uma conta de membro e não querer mais manter essa conta de membro na GuardDuty organização, você pode excluir essa conta de membro da sua GuardDuty organização. Essa conta-membro não aparecerá mais no inventário da sua conta. No entanto, se não GuardDuty foi suspenso nessa conta de membro, a configuração GuardDuty e os planos de proteção dedicados permanecem os mesmos. Essa conta agora se tornará uma conta independente e poderá GuardDuty se [desativar](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html) sozinha. 

Essa etapa não excluirá a conta do membro da sua AWS organização.

Escolha um método preferido para excluir uma conta de membro da sua GuardDuty organização.

------
#### [ Console ]

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para entrar, use as credenciais da conta de GuardDuty administrador delegado.

1. No painel de navegação, selecione **Contas**.

1. Na tabela **Contas**, remova uma conta que tenha **Tipo** como **Via Organizações** e **Status** como **Removido (desassociado)**.

   Selecione uma ou mais contas com o mesmo **Tipo** e **Status**.

1. No menu suspenso **Ações**, selecione **Excluir conta**.

1. Selecione **Excluir contas** para confirmar sua seleção. O membro da conta selecionado não aparecerá mais em sua tabela de Contas.

   Repita as etapas anteriores em cada região adicional onde deseja excluir essa conta-membro.

------
#### [ API/CLI ]

1. Para recuperar o ID da conta-membro que deseja excluir, use a API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Inclua o parâmetro `OnlyAssociated` na sua solicitação. Se você definir o valor desse parâmetro como`false`, GuardDuty retornará uma `members` matriz que fornece detalhes somente sobre as contas que atualmente são GuardDuty membros desassociados.

   Como alternativa, você pode usar AWS Command Line Interface (AWS CLI) para executar o seguinte comando:

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Substitua pelo ID do detector da conta de GuardDuty administrador *us-east-1* delegado e pela região em que você deseja remover essa conta.

1. Para excluir uma ou mais contas de GuardDuty membros, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)para excluir a conta de membro da GuardDuty organização.

   Como alternativa, você pode usar AWS CLI para executar o seguinte comando:

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Substitua pelo ID do detector da conta de GuardDuty administrador delegado e *us-east-1* pela região em que você deseja remover essa conta. Se você tiver uma lista de contas IDs que deseja remover, separe-as por um caractere de espaço.

------

# Alterando a conta do GuardDuty administrador delegado
<a name="change-guardduty-delegated-admin"></a>

Você pode remover a conta de GuardDuty administrador delegado da sua organização em cada região e, em seguida, delegar um novo administrador em cada região. Para manter a postura de segurança das contas dos membros da sua organização em uma região, você deve ter uma conta de GuardDuty administrador delegada nessa região.

**Observação**  
Antes de remover uma conta de GuardDuty administrador delegado, você deve desassociar todas as contas de membros associadas à conta de GuardDuty administrador delegado e, em seguida, excluí-las da organização. GuardDuty Para obter mais informações sobre essas etapas, consulte os documentos a seguir:  
[Como desassociar (remover) a conta-membro da conta de administrador](disassociate-remove-member-account-from-admin.md)
[Excluindo contas de membros da organização GuardDuty](delete-member-accounts-guardduty-organization.md)

## Removendo a conta de GuardDuty administrador delegado existente
<a name="remove-existing-guardduty-delegated-admin"></a>

**Etapa 1 - Para remover a conta de GuardDuty administrador delegado existente em cada região**

1. Como conta de GuardDuty administrador delegado existente, liste todas as contas de membros associadas à sua conta de administrador. Executar [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) com `OnlyAssociated=false`.

1. Se a preferência de ativação automática GuardDuty ou qualquer um dos planos de proteção opcionais estiver definida como`ALL`, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para atualizar a configuração da organização para `NEW` ou`NONE`. Essa ação evitará um erro ao desassociar todas as contas-membro na próxima etapa.

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) para desassociar todas as contas-membro associadas à conta do administrador.

1. Execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) para excluir as associações entre a conta do administrador e as contas-membro.

1. Como conta de gerenciamento da organização, execute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)para remover a conta de GuardDuty administrador delegado existente.

1. Repita essas etapas em cada um Região da AWS em que você tenha essa conta de GuardDuty administrador delegado.

**Etapa 2 - Para cancelar o registro da conta de GuardDuty administrador delegado existente em AWS Organizations (ação global única)**
+ Execute [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)na *Referência da AWS Organizations API* para cancelar o registro da conta de GuardDuty administrador delegado existente em. AWS Organizations

  Como alternativa, você pode executar o seguinte AWS CLI comando:

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  Certifique-se de *111122223333* substituir pela conta de GuardDuty administrador delegado existente.

  Depois de cancelar o registro da antiga conta de GuardDuty administrador delegado, você pode adicioná-la como uma conta de membro à nova conta de administrador delegado GuardDuty .

## Designação de uma nova conta de GuardDuty administrador delegado em cada região
<a name="designate-new-guardduty-delegated-admin"></a>

1. Designe uma nova conta de GuardDuty administrador delegado em cada região usando seu método de acesso preferido: GuardDuty console, API ou. AWS CLI Para obter mais informações, consulte [Designação de uma conta de administrador delegado GuardDuty](delegated-admin-designate.md).

1. Execute [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)para ver a configuração atual de ativação automática da sua organização.
**Importante**  
Antes de adicionar qualquer membro à nova conta de GuardDuty administrador delegado, você deve verificar a configuração de ativação automática da sua organização. Essa configuração é específica para a nova conta de GuardDuty administrador delegado e para a região selecionada, e não está relacionada a. AWS Organizations Quando você adiciona uma conta de membro da organização (nova ou existente) à nova conta de GuardDuty administrador delegado, a configuração de ativação automática da nova conta de GuardDuty administrador delegado será aplicada no momento da ativação GuardDuty ou de qualquer um de seus planos de proteção opcionais.

   Altere a configuração da organização para a nova conta de GuardDuty administrador delegado usando seu método de acesso preferido: GuardDuty console, API ou AWS CLI. Para obter mais informações, consulte [Como configurar as preferências de habilitação automática da organização](set-guardduty-auto-enable-preferences.md).