Amazon Detective y AWS Organizations - AWS Organizations
Roles vinculados al servicioPrincipal del servicioHabilitar el acceso de confianzaDeshabilitar el acceso de confianzaHabilitación de una cuenta de administrador delegado para DetectiveDesactivación de un administrador delegado para Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon Detective y AWS Organizations

Amazon Detective utiliza sus datos de registro para generar visualizaciones que le permiten analizar, investigar e identificar la causa raíz de los hallazgos de seguridad o actividades sospechosas.

AWS Organizations El uso le permite asegurarse de que su gráfico de comportamiento de Detective proporcione visibilidad de la actividad en todas las cuentas de su organización.

Cuando concede acceso de confianza a Detective, el servicio Detective puede reaccionar automáticamente a los cambios en la membresía de la organización. El administrador delegado puede habilitar cualquier cuenta de organización como cuenta de miembro en el gráfico de comportamiento. El Detective también puede habilitar automáticamente nuevas cuentas de organización como cuentas miembro. Las cuentas de organización no pueden desasociarse del gráfico de comportamiento.

Para obtener más información, consulte Uso de Amazon Detective en su organización en la Guía de administración de Amazon Detective.

Utilice la siguiente información para ayudarle a integrar Amazon Detective con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a Detective realizar operaciones soportadas por las cuentas de su organización.

Puede eliminar o modificar este rol sólo si desactiva el acceso de confianza entre Detective y Organizations, o si elimina la cuenta de miembro de la organización.

  • AWSServiceRoleForDetective

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios de Detective conceden acceso a las siguientes entidades principales de servicio:

  • detective.amazonaws.com

Para habilitar el acceso de confianza con Detective

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

nota

Cuando se designa un administrador delegado para Amazon Detective, se Detective habilita automáticamente el acceso de confianza para Detective en su organización.

Detective necesita un acceso confiable AWS Organizations antes de poder designar una cuenta de miembro como administrador delegado de este servicio para su organización.

Puede habilitar el acceso de confianza mediante las herramientas Organizations.

Puede habilitar el acceso confiable mediante la AWS Organizations consola.

AWS Management Console
Para habilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Elige Amazon Detective en la lista de servicios.

  4. Elija Habilitar acceso de confianza.

  5. En el cuadro de diálogo Habilitar el acceso de confianza para Amazon Detective, escriba enable para confirmarlo y, a continuación, seleccione Habilitar el acceso de confianza.

  6. Si eres el administrador de Only AWS Organizations, dile al administrador de Amazon Detective que ahora puede habilitar ese servicio mediante su consola para trabajar con él AWS Organizations.

Para desactivar el acceso de confianza con Detective

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo un administrador de la cuenta AWS Organizations de administración puede deshabilitar el acceso de confianza con Amazon Detective.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola.

AWS Management Console
Para deshabilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Elige Amazon Detective en la lista de servicios.

  4. Seleccione Deshabilitar el acceso de confianza.

  5. En el cuadro de diálogo Disable Trusted Access for Amazon Detective, escriba disable para confirmarlo y, a continuación, seleccione Disable Trusted Access.

  6. Si eres el administrador de Only AWS Organizations, dile al administrador de Amazon Detective que ahora puede deshabilitar ese servicio mediante su consola o sus herramientas para que no funcione AWS Organizations.

Habilitación de una cuenta de administrador delegado para Detective

La cuenta de administrador delegado de Detective es la cuenta de administrador de un gráfico de comportamiento de Detective. El administrador delegado determina qué cuentas de organización se van a habilitar y desactivar como cuentas de miembro en ese gráfico de comportamiento. El administrador delegado puede configurar Detective para habilitar automáticamente nuevas cuentas de organización como cuentas de miembro a medida que se agregan a la organización. Para obtener información sobre cómo un administrador delegado administra las cuentas de la organización, consulte Gestión de cuentas de organización como cuentas miembro en la Guía de administración de Amazon Detective.

Solo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para Detective.

Puede especificar una cuenta de administrador delegada desde la consola o la API de Detective, o utilizando la operación dl SDK o de CLI de Organizations.

Permisos mínimos

Sólo un usuario o rol de la cuenta de administración de Organizations puede configurar una cuenta de miembro como administrador delegado para Detective en la organización

Para configurar un administrador delegado mediante la consola o la API Detective, consulte Designación de una cuenta de administrador de Detective para una organización en la Guía de administración de Amazon Detective.

AWS CLI, AWS API

Si desea configurar una cuenta de administrador delegado mediante la AWS CLI o uno de los AWS SDK, puede utilizar los siguientes comandos:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal detective.amazonaws.com

  • AWS SDK: llame a la RegisterDelegatedAdministrator operación de la organización y al número de identificación de la cuenta del miembro e identifique el principal de servicio de la cuenta account.amazonaws.com como parámetros.

Desactivación de un administrador delegado para Detective

Puede eliminar el administrador delegado mediante la consola o la API de Detective, o bien mediante la operación del SDK o de la CLI DeregisterDelegatedAdministrator de Organizations. Para obtener información sobre cómo quitar un administrador delegado mediante la consola o la API de Detective o la API de Organizations, consulte Designación de una cuenta de administrador de Detective para una organización en la Guía de administración de Amazon Detective.