Administrar GuardDuty cuentas por invitación - Amazon GuardDuty
Agregación y administración de cuentas por invitaciónConsolidar las cuentas de GuardDuty administrador en una sola cuenta de administrador delegado GuardDuty de la organización GuardDuty Actívalo en varias cuentas simultáneamente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar GuardDuty cuentas por invitación

Para administrar cuentas que estén fuera de la organización, puede utilizar el método de invitación heredado. Con este método, su cuenta se designa como cuenta de administrador cuando otra cuenta acepta su invitación para convertirse en cuenta de miembro.

Si su cuenta no es una cuenta de administrador, puede aceptar una invitación de otra cuenta. Al aceptar, su cuenta se convierte en cuenta miembro. Una AWS cuenta no puede ser una cuenta de GuardDuty administrador y una cuenta de miembro al mismo tiempo.

Cuando aceptas una invitación de una cuenta, no puedes aceptar una invitación de otra cuenta. Para aceptar una invitación de otra cuenta, primero tendrás que desvincular tu cuenta de la cuenta de administrador existente. Como alternativa, la cuenta de administrador también puede desasociar tu cuenta y eliminarla de su organización.

Las cuentas asociadas por invitación tienen la misma account-to-member relación de administrador general que las cuentas asociadas por AWS Organizations, tal y como se describe enComprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros. Sin embargo, los usuarios de las cuentas de administrador de invitaciones no pueden habilitar GuardDuty en nombre de las cuentas de los miembros asociadas ni ver otras cuentas que no sean miembros de su AWS Organizations organización.

importante

La transferencia de datos entre regiones puede producirse cuando se GuardDuty crean cuentas de miembros con este método. Para verificar las direcciones de correo electrónico de las cuentas de los miembros, GuardDuty utiliza un servicio de verificación de correo electrónico que funciona solo en la región de EE. UU. Este (Virginia del Norte).

Agregación y administración de cuentas por invitación

Elija uno de los métodos de acceso para añadir cuentas de GuardDuty administrador e invitarlas a convertirse en cuentas de GuardDuty miembros.

Console
Paso 1: agregación de una cuenta

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Accounts (Cuentas).

  3. Seleccione Agregar cuentas mediante invitación en el panel superior.

  4. En la página Añadir cuentas de miembros, en Introducir los detalles de la cuenta, introduzca el Cuenta de AWS ID y la dirección de correo electrónico asociados a la cuenta que desee añadir.

  5. Para agregar otra fila para introducir los detalles de la cuenta de uno en uno, elija Agregar otra cuenta. También puede seleccionar Cargar un archivo .csv con los detalles de la cuenta para agregar cuentas en bloque.

    importante

    La primera línea del archivo .csv debe contener el encabezado, tal como se muestra en el ejemplo siguiente: Account ID,Email. Cada línea siguiente debe contener un único Cuenta de AWS identificador válido y su dirección de correo electrónico asociada. El formato de una fila es válido si contiene solo un Cuenta de AWS identificador y la dirección de correo electrónico asociada separados por una coma. 

    Account ID,Email
                                555555555555,user@example.com

  6. Después de agregar todos los detalles de las cuentas, seleccione Siguiente. Puede ver las cuentas recién agregadas en la tabla Cuentas. El Estado de estas cuentas será Invitación no enviada. Para obtener información sobre cómo enviar una invitación a una o más cuentas agregadas, consulte Step 2 - Invite an account.

Paso 2: invitación a una cuenta

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Accounts (Cuentas).

  3. Selecciona una o más cuentas a las que quieras invitar a Amazon GuardDuty.

  4. Seleccione el menú desplegable Acciones y, a continuación, elija Invitar.

  5. En el cuadro de GuardDuty diálogo Invitación a, introduce un mensaje de invitación (opcional).

    Si la cuenta invitada no tiene acceso al correo electrónico, seleccione la casilla Enviar también una notificación de correo electrónico al usuario raíz de la Cuenta de AWS del invitado y generar una alerta en la AWS Health Dashboard del invitado.

  6. Seleccione Send invitation (Enviar invitación). Si los invitados tienen acceso a la dirección de correo electrónico especificada, pueden verla abriendo la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  7. Cuando el invitado acepta la invitación, el valor de la columna Estado cambia a Invitado. Para obtener más información sobre la aceptación de una invitación, consulte Step 3 - Accept an invitation.

Paso 3: aceptación de una invitación

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    importante

    Debe habilitarla GuardDuty antes de poder ver o aceptar una invitación de membresía.

  2. Haz lo siguiente solo si GuardDuty aún no la has activado; de lo contrario, puedes saltarte este paso y continuar con el siguiente.

    Si aún no lo has activado GuardDuty, selecciona Get Started en la GuardDuty página de Amazon.

    En la GuardDuty página de bienvenida, selecciona Activar GuardDuty.

  3. Después de activar GuardDuty tu cuenta, sigue los siguientes pasos para aceptar la invitación de membresía:

    1. En el panel de navegación, seleccione Configuración.

    2. Elija Cuentas.

    3. En Cuentas, asegúrese de verificar el propietario de la cuenta desde la que acepta la invitación. Active Aceptar para aceptar la invitación para hacerse miembro.

  4. Tras aceptar la invitación, su cuenta pasará a ser una cuenta de GuardDuty miembro. La cuenta cuyo propietario envió la invitación pasa a ser la cuenta de GuardDuty administrador. La cuenta de administrador sabrá que ha aceptado la invitación. Se actualizará la tabla de GuardDuty cuentas de su cuenta. El valor de la columna Estado correspondiente al ID de su cuenta de miembro cambiará a Activado. El propietario de la cuenta de administrador ahora puede ver GuardDuty y administrar las configuraciones del plan de protección en nombre de su cuenta. La cuenta de administrador también puede ver y gestionar las GuardDuty conclusiones generadas para su cuenta de miembro.

API/CLI

Puede designar una cuenta de GuardDuty administrador y crear o añadir cuentas de GuardDuty miembros mediante invitación a través de las operaciones de la API. Ejecute las siguientes operaciones de GuardDuty API para designar la cuenta de administrador y las cuentas de los miembros GuardDuty.

Complete el siguiente procedimiento con las credenciales de la cuenta Cuenta de AWS que desee designar como cuenta de GuardDuty administrador.

Creación o agregación de cuentas de miembro

  1. Ejecute la operación de CreateMembersAPI con las credenciales de la AWS cuenta GuardDuty habilitada. Esta es la cuenta que quieres que sea la GuardDuty cuenta de administrador.

    Debe especificar el ID de detección de la AWS cuenta actual y el ID de cuenta y la dirección de correo electrónico de las cuentas de las que quiere convertirse en GuardDuty miembro. Puede crear uno o varios miembros con esta operación de API.

    También puede usar las herramientas de línea de AWS comandos para designar una cuenta de administrador ejecutando el siguiente comando CLI. No olvide utilizar su propio ID de detector, ID de cuenta y correo electrónico.

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la ListDetectorsAPI

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com

  2. Se ejecuta InviteMemberscon las credenciales de la AWS cuenta que se ha GuardDuty activado. Esta es la cuenta que desea que sea la GuardDuty cuenta de administrador.

    Debe especificar el identificador del detector de la AWS cuenta actual y los identificadores de las cuentas de las que quiere convertirse en GuardDuty miembro. Con esta operación de la API, puede invitar a uno o varios miembros.

    nota

    También puede especificar un mensaje de invitación opcional mediante el parámetro de solicitud message.

    También puede utilizarla AWS Command Line Interface para designar las cuentas de los miembros ejecutando el siguiente comando. No olvide utilizar su propio ID de detector y unos ID válidos para las cuentas a las que desea invitar.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la ListDetectorsAPI

    aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
Aceptación de invitaciones

Complete el siguiente procedimiento con las credenciales de cada AWS cuenta que desee designar como cuenta de GuardDuty miembro.

  1. Ejecute la operación de CreateDetectorAPI para cada AWS cuenta que haya sido invitada a convertirse en cuenta de GuardDuty miembro y para la que desee aceptar una invitación.

    Debe especificar si el recurso detector se va a habilitar mediante el GuardDuty servicio. Se debe crear y habilitar un detector GuardDuty para que entre en funcionamiento. Primero debe activarlo GuardDuty antes de aceptar una invitación.

    También puede hacerlo mediante las herramientas de línea de AWS comandos mediante el siguiente comando CLI.

    aws guardduty create-detector --enable

  2. Ejecute la operación de AcceptAdministratorInvitationAPI para cada AWS cuenta en la que desee aceptar la invitación de membresía, utilizando las credenciales de esa cuenta.

    Debe especificar el ID de detección de esta AWS cuenta para la cuenta del miembro, el ID de cuenta de la cuenta de administrador que envió la invitación y el ID de invitación de la invitación que está aceptando. Puede consultar el ID de cuenta de la cuenta de administrador en el correo electrónico de invitación o con la operación ListInvitations de la API.

    También puede aceptar una invitación mediante las herramientas de línea de AWS comandos ejecutando el siguiente comando CLI. No olvide utilizar un ID de detector, un ID de cuenta de administrador y un ID de invitación que sean válidos.

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecute la ListDetectorsAPI

    aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5

Consolidar las cuentas de GuardDuty administrador en una sola cuenta de administrador delegado GuardDuty de la organización

GuardDuty recomienda utilizar la asociación AWS Organizations para gestionar las cuentas de los miembros en una cuenta de administrador delegado. GuardDuty Puede utilizar el proceso de ejemplo que se describe a continuación para consolidar la cuenta de administrador y el miembro asociado por invitación en una organización en una única cuenta de GuardDuty administrador GuardDuty delegado.

nota

Las cuentas que ya están siendo administradas por una cuenta de GuardDuty administrador delegado o las cuentas de miembros activos que están asociadas a una cuenta de GuardDuty administrador delegado no se pueden agregar a una cuenta de administrador delegado GuardDuty diferente. Cada organización solo puede tener una cuenta de GuardDuty administrador delegado por región y cada cuenta de miembro solo puede tener una cuenta de administrador delegado. GuardDuty

Elija uno de los métodos de acceso para consolidar las cuentas de GuardDuty administrador en una única cuenta de administrador delegado. GuardDuty

Console

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice las credenciales de la cuenta de administración de la organización.

  2. Todas las cuentas que desee gestionar GuardDuty deben formar parte de su organización. Para obtener información sobre cómo agregar una cuenta a su organización, consulte Invitar a un usuario Cuenta de AWS a unirse a su organización.

  3. Asegúrese de que todas las cuentas de los miembros estén asociadas a la cuenta que desee designar como cuenta única de GuardDuty administrador delegado. Desasocie cualquier cuenta de miembro que aún esté asociada a las cuentas de administrador preexistentes.

    Los siguientes pasos le ayudarán a desasociar las cuentas de miembro de la cuenta de administrador preexistente:

    1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    2. Para iniciar sesión, utilice las credenciales de la cuenta de administrador preexistente.

    3. En el panel de navegación, elija Accounts (Cuentas).

    4. En la página Cuentas, seleccione una o más cuentas que quiera desasociar de la cuenta de administrador.

    5. Seleccione Acciones y, a continuación, seleccione Desasociar cuenta.

    6. Seleccione Confirmar para finalizar el paso.

  4. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice las credenciales de la cuenta de administración.

  5. En el panel de navegación, seleccione Configuración. En la página de configuración, designe la cuenta de GuardDuty administrador delegado de la organización.

  6. Inicie sesión en la cuenta de GuardDuty administrador delegado designada.

  7. Agregue miembros de la organización. Para obtener más información, consulte Administrar GuardDuty cuentas con AWS Organizations.

API/CLI

  1. Todas las cuentas que desee gestionar GuardDuty deben formar parte de su organización. Para obtener información sobre cómo agregar una cuenta a su organización, consulte Invitar a un usuario Cuenta de AWS a unirse a su organización.

  2. Asegúrese de que todas las cuentas de los miembros estén asociadas a la cuenta que desee designar como cuenta única de GuardDuty administrador delegado.

    1. Ejecute DisassociateMemberspara desasociar cualquier cuenta de miembro que aún esté asociada a las cuentas de administrador preexistentes.

    2. Como alternativa, puedes ejecutar el siguiente comando y reemplazar 777777777777 por el ID de detección de la cuenta de administrador preexistente de la que deseas desasociar la cuenta de miembro. AWS Command Line Interface Sustituya 666666666666 por el ID de Cuenta de AWS de la cuenta de miembro que desee desasociar. 

      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666

  3. Ejecute EnableOrganizationAdminAccountpara delegar an Cuenta de AWS como cuenta de administrador delegado. GuardDuty

    Como alternativa, puede ejecutar el siguiente comando AWS Command Line Interface para delegar una cuenta de GuardDuty administrador delegado:

    aws guardduty enable-organization-admin-account --admin-account-id 777777777777

  4. Agregue miembros de la organización. Para obtener más información, consulte Create or add member member accounts using API.
importante

Para maximizar la eficacia de un servicio regional GuardDuty, le recomendamos que designe su cuenta de GuardDuty administrador delegado y añada todas las cuentas de los miembros de cada región.

GuardDuty Actívalo en varias cuentas simultáneamente

Utilice el siguiente método para GuardDuty activarla en varias cuentas al mismo tiempo.

Utilice scripts de Python para habilitar GuardDuty varias cuentas simultáneamente

Puede automatizar la activación o desactivación de GuardDuty varias cuentas mediante los scripts del repositorio de ejemplos de scripts GuardDuty multicuenta de Amazon. Utilice el proceso de esta sección GuardDuty para habilitar una lista de cuentas de miembros que utilizan Amazon EC2. Para obtener información sobre el uso del script de desactivación o la configuración del script de forma local, consulte las instrucciones del enlace compartido.

El enableguardduty.py script habilita GuardDuty, envía invitaciones desde la cuenta de administrador y acepta invitaciones en todas las cuentas de los miembros. El resultado es una GuardDuty cuenta de administrador que contiene todos los datos de seguridad de todas las cuentas de los miembros. Como GuardDuty está aislada por región, los resultados de cada cuenta de miembro se acumulan en la región correspondiente de la cuenta de administrador. Por ejemplo, la región us-east-1 de GuardDuty su cuenta de administrador contiene las conclusiones de seguridad de todas las conclusiones us-east-1 de todas las cuentas de miembros asociadas.

Estos scripts dependen de un rol de IAM compartido que tiene la política administrada: AWS política gestionada: AmazonGuardDutyFullAccess. Esta política proporciona a las entidades acceso a la cuenta de administrador GuardDuty y a cada una de las cuentas que desee activar, y debe estar presente en ella GuardDuty.

El siguiente proceso se activa GuardDuty en todas las regiones disponibles de forma predeterminada. Solo puede habilitarlo GuardDuty en regiones específicas utilizando el --enabled_regions argumento opcional y proporcionando una lista de regiones separadas por comas. Si lo desea, también puede personalizar el mensaje de invitación que se envía a las cuentas miembro abriendo enableguardduty.py y editando la cadena gd_invite_message.

  1. Cree un rol de IAM en la cuenta de GuardDuty administrador y adjunte la AWS política gestionada: AmazonGuardDutyFullAccess política que desee habilitar. GuardDuty

  2. Cree un rol de IAM en cada cuenta de miembro que desee que administre su cuenta de GuardDuty administrador. Este rol debe tener el mismo nombre que el rol creado en el paso 1, debe permitir que la cuenta de administrador sea una entidad de confianza y debe tener la misma política de AmazonGuardDutyFullAccess administración descrita anteriormente.

  3. Lance una nueva instancia de Amazon Linux con un rol asociado que tenga la siguiente relación de confianza para permitir que la instancia adopte un rol de servicio.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. Inicie sesión en la nueva instancia y ejecute los siguientes comandos para configurarla.

    sudo yum install git python 
sudo yum install python-pip
pip install boto3 
aws configure 
git clone https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.git
cd amazon-guardduty-multiaccount-scripts 
sudo chmod +x disableguardduty.py enableguardduty.py

  5. Cree un archivo CSV que contenga una lista con los ID y los correos electrónicos de las cuentas miembro en las que agregó un rol en el paso 2. En cada línea debe aparecer una sola cuenta; el ID y la dirección de correo electrónico deben estar separados por una coma como en el siguiente ejemplo.

    111122223333,guardduty-member@organization.com
    nota

    El archivo CSV debe estar en la misma ubicación que el script enableguardduty.py. Puede copiar un archivo CSV existente de Amazon S3 en el directorio actual con el siguiente método. 

    aws s3 cp s3://my-bucket/my_key_name example.csv

  6. Ejecute el script de Python. Asegúrese de proporcionar su ID de cuenta de GuardDuty administrador, el nombre del rol creado en los primeros pasos y el nombre del archivo CSV como argumentos.

    python enableguardduty.py --master_account 444455556666 --assume_role roleName accountID.csv