Designar una cuenta de GuardDuty administrador GuardDuty delegado y gestionar los miembros mediante la API - Amazon GuardDuty
Paso 1: Designe una cuenta de GuardDuty administrador delegado para su organización AWSPaso 2: configuración de las preferencias de habilitación automática para la organizaciónPaso 3: agregación de cuentas como miembros de su organización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Designar una cuenta de GuardDuty administrador GuardDuty delegado y gestionar los miembros mediante la API

Paso 1: Designe una cuenta de GuardDuty administrador delegado para su organización AWS

  1. Ejecute enableOrganizationAdminAccountcon las credenciales de la cuenta Cuenta de AWS de administración de la organización.

    • Alternativamente, puede usarlo AWS Command Line Interface para hacer esto. El siguiente AWS CLI comando designa una cuenta de GuardDuty administrador delegado únicamente para su región actual. Ejecuta el siguiente AWS CLI comando y asegúrate de sustituir 1111 por el Cuenta de AWS ID de la cuenta que deseas designar como cuenta de administrador delegado GuardDuty :

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111

      Para designar la cuenta de GuardDuty administrador delegado para otras regiones, especifique la región en el comando. AWS CLI El siguiente ejemplo muestra cómo habilitar una cuenta de GuardDuty administrador delegado en el oeste de EE. UU. (Oregón). Asegúrese de sustituir us-west-2 por la región a la que desee asignar GuardDuty la GuardDuty cuenta de administrador delegado.

      aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2

      Para obtener información sobre la ubicación Regiones de AWS GuardDuty disponible, consulte. Regiones y puntos de conexión

    Si no GuardDuty está habilitada para su cuenta de GuardDuty administrador delegado, no podrá realizar ninguna acción. Si aún no lo ha hecho, asegúrese de habilitarla GuardDuty para la cuenta de GuardDuty administrador delegado recién designada.

  2. (Recomendado) repita el paso anterior para designar la cuenta de GuardDuty administrador delegado en cada una de las cuentas en las que la Región de AWS haya GuardDuty activado.

Paso 2: configuración de las preferencias de habilitación automática para la organización

    1. Ejecute con UpdateOrganizationConfigurationlas credenciales de la cuenta de GuardDuty administrador delegado para configurar GuardDuty automáticamente los planes de protección opcionales en esa región para su organización

      Para encontrar los detectorId de su cuenta y su región actual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors

      nota

      Para obtener información sobre las distintas configuraciones de activación automática, consulte autoEnableOrganizationMiembros.

    2. Para configurar las preferencias de habilitación automática para cualquiera de los planes de protección opcionales admitidos en su región, siga los pasos que se indican en las secciones de la documentación correspondientes a cada plan de protección.

    3. Puede validar las preferencias de su organización en la región actual. Ejecute describeOrganizationConfiguration. Asegúrese de especificar el ID de detector de la cuenta de GuardDuty administrador delegado.

      nota

      La actualización de la configuración de todas las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

      1. También puede ejecutar el siguiente AWS CLI comando para configurar las preferencias y habilitar o deshabilitar automáticamente GuardDuty en esa región las cuentas nuevas (NEW) que se unan a la organización, todas las cuentas (ALL) o ninguna de las cuentas (NONE) de la organización. Para obtener más información, consulte autoEnableOrganizationMiembros. Según sus preferencias, es posible que deba sustituir NEW por ALL o NONE. Si configura el plan de protección conALL, el plan de protección también se habilitará para la cuenta de GuardDuty administrador delegado. Asegúrese de especificar el ID del detector de la cuenta de GuardDuty administrador delegado que gestiona la configuración de la organización.

        Para encontrar el detectorId de su cuenta y su región actual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors

        aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

      2. Puede validar las preferencias de su organización en la región actual. Ejecute el siguiente AWS CLI comando mediante el ID de detector de la cuenta de GuardDuty administrador delegado.

        aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

  2. (Se recomienda) repita los pasos anteriores en cada región utilizando el ID de detector de la cuenta de GuardDuty administrador delegado.

    nota

    Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (NEW) o para todas las cuentas de miembros (ALL), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra Cuentas en el panel de navegación de la GuardDuty consola o utilice la API. ListMembers

Paso 3: agregación de cuentas como miembros de su organización

  • Ejecute con CreateMemberslas credenciales de la cuenta de GuardDuty administrador delegado designada en el paso anterior.

    Debe especificar el ID de detector regional de la cuenta de GuardDuty administrador delegado y los detalles de la cuenta (Cuenta de AWS ID y direcciones de correo electrónico correspondientes) de las cuentas que desee añadir como GuardDuty miembros. Puede crear uno o varios miembros con esta operación de API.

    Cuando trabajes CreateMembers en tu organización, las preferencias de activación automática para los nuevos miembros se aplicarán a medida que las nuevas cuentas de miembros se unan a tu organización. Si trabajas CreateMembers con una cuenta de miembro existente, la configuración de la organización también se aplicará a los miembros existentes. Esto podría cambiar la configuración actual de las cuentas de los miembros existentes.

    Ejecuta ListAccountsla referencia de la AWS Organizations API para ver todas las cuentas de la AWS organización.

    importante

    Cuando añadas una cuenta como GuardDuty miembro, se GuardDuty habilitará automáticamente en esa región. Hay una excepción a la cuenta de administración de la organización. Antes de que la cuenta de administración se añada como GuardDuty miembro, debe estar GuardDuty habilitada.

    • Como alternativa, puede utilizar AWS Command Line Interface. Ejecute el siguiente comando de la AWS CLI y asegúrese de utilizar su propio ID de detector válido, su ID de Cuenta de AWS y la dirección de correo electrónico asociada al ID de la cuenta.

      Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la ListDetectorsAPI

      aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com

      Para ver una lista de todos los miembros de la organización, ejecuta el siguiente AWS CLI comando:

      aws organizations list-accounts

    Después de añadir esta cuenta como miembro, se aplicará la GuardDuty configuración de activación automática.