Habilitar la protección de RDS en entornos de varias cuentas - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar la protección de RDS en entornos de varias cuentas

En un entorno de varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de activar o desactivar la función de protección de RDS para las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Esta cuenta de GuardDuty administrador delegado puede optar por habilitar automáticamente la supervisión de la actividad de inicio de sesión de RDS para todas las cuentas nuevas a medida que se unan a la organización. Para obtener más información sobre entornos de varias cuentas, consulte Varias cuentas en GuardDuty.

Elija el método de acceso que prefiera para configurar la supervisión de la actividad de inicio de sesión de RDS para la cuenta de administrador delegado GuardDuty .

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  2. En el panel de navegación, elija Protección de RDS.

  3. En la página Protección de RDS, elija Editar.

  4. Realice una de las siguientes acciones:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las nuevas cuentas que se unan a la organización.

    • Seleccione Guardar.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Guardar.

API/CLI

Ejecute la updateDetectorFuncionamiento de la API con su propio identificador de detector regional y pasando el features objeto name tal RDS_LOGIN_EVENTS y status comoENABLED.

Como alternativa, puede utilizarla AWS CLI para activar la protección RDS. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la protección RDS.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Elija su método de acceso preferido para habilitar la característica de protección de RDS en todas las cuentas de miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones:

    Mediante la página Protección de RDS

    1. En el panel de navegación, elija Protección de RDS.

    2. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente la protección de RDS para las cuentas nuevas y existentes de la organización.

    3. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de habilitación automática, elija Habilitar para todas las cuentas en Supervisión de la actividad de inicio de sesión de RDS.

    4. Seleccione Guardar.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilitar la protección de RDS para las cuentas de miembro de forma selectiva.

API/CLI

Para activar o desactivar la protección RDS de forma selectiva para sus cuentas de miembros, invoque la updateMemberDetectorsFuncionamiento de la API mediante la suya propia. detector ID

Como alternativa, puede utilizarla AWS CLI para habilitar la protección RDS. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la protección RDS.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la protección de RDS en todas las cuentas de miembros activos existentes en la organización. Las cuentas de miembros que ya están GuardDuty habilitadas se denominan miembros activos existentes.

Console

  1. Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Protección de RDS.

  3. En la página Protección de RDS, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Elija Confirmar.

API/CLI

Ejecute la updateMemberDetectorsFuncionamiento de la API con las suyas propias. detector ID

Como alternativa, puede utilizarla AWS CLI para habilitar la protección RDS. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la protección RDS.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la actividad de inicio de sesión de RDS para las cuentas nuevas que se unan a la organización.

Console

La cuenta de GuardDuty administrador delegado puede habilitar las cuentas de nuevos miembros de una organización a través de la consola, desde la página de protección de RDS o desde la página de cuentas.

Habilitación automática de la Protección de RDS para las cuentas de miembros nuevos

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones:

    • Mediante la página Protección de RDS:

      1. En el panel de navegación, elija Protección de RDS.

      2. En la página Protección de RDS, elija Editar.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que, cada vez que una nueva cuenta se una a su organización, la protección de RDS se habilite automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Guardar.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Cuentas.

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las cuentas nuevas en Supervisión de la actividad de inicio de sesión de RDS.

      4. Seleccione Guardar.

API/CLI

Para activar o desactivar la protección RDS de forma selectiva para las cuentas de sus miembros, invoque la UpdateOrganizationConfigurationFuncionamiento de la API mediante la suya propia. detector ID

Como alternativa, puede utilizarla AWS CLI para habilitar la protección RDS. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la protección RDS. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca autoEnable en NONE.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para habilitar de forma selectiva la supervisión de la actividad de inicio de sesión en RDS para las cuentas de miembro.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. En el panel de navegación, elija Cuentas.

    En la página Cuentas, revise la columna Actividad de inicio de sesión de RDS para ver el estado de su cuenta de miembro.

  3. Activación o desactivación de forma selectiva de la actividad de inicio de sesión en RDS

    Seleccione la cuenta para la que desee configurar la protección de RDS. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione Actividad de inicio de sesión de RDS y, a continuación, elija la opción adecuada.

API/CLI

Para activar o desactivar la protección RDS de forma selectiva para sus cuentas de miembros, invoque la updateMemberDetectorsFuncionamiento de la API mediante la suya propia. detector ID

Como alternativa, puede utilizarla AWS CLI para habilitar la protección RDS. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la protección RDS.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
nota

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.