Administrar GuardDuty cuentas con AWS Organizations

En una AWS organización, la cuenta de administración puede designar cualquier cuenta de esta organización como cuenta de administrador delegado. GuardDuty Para esta cuenta de administrador, GuardDuty se habilita automáticamente solo en la cuenta actual Región de AWS. De forma predeterminada, la cuenta de administrador puede habilitar y administrar todas GuardDuty las cuentas de los miembros de la organización dentro de esa región. La cuenta de administrador puede ver y añadir miembros a esta AWS organización.

En las siguientes secciones se explican diversas tareas que puede realizar como cuenta de GuardDuty administrador delegado.

Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations

Las siguientes consideraciones y recomendaciones pueden ayudarle a entender cómo funciona una cuenta de GuardDuty administrador delegado en GuardDuty:

Una cuenta de GuardDuty administrador delegado puede gestionar un máximo de 50 000 miembros.

Hay un límite de 50 000 cuentas de miembros por cuenta de GuardDuty administrador delegado. Esto incluye las cuentas de miembros que se añaden a través de su organización AWS Organizations o las que han aceptado la invitación de la cuenta de GuardDuty administrador para unirse a su organización. Sin embargo, puede haber más de 50 000 cuentas en su AWS organización.

Si superas el límite de 50 000 cuentas de CloudWatch miembros, recibirás una notificación y un correo electrónico a la cuenta de GuardDuty administrador delegado designada. AWS Health Dashboard

Una cuenta de GuardDuty administrador delegado es regional.

A diferencia AWS Organizations de, GuardDuty es un servicio regional. Las cuentas de GuardDuty administrador delegado y sus cuentas de miembros deben añadirse AWS Organizations en cada región deseada en la que se haya GuardDuty activado. Si la cuenta de administración de la organización designa una cuenta de GuardDuty administrador delegado solo en EE. UU. Este (Norte de Virginia), la cuenta de GuardDuty administrador delegado solo administrará las cuentas de los miembros que se agreguen a la organización en esa región. Para obtener más información sobre la paridad de funciones en las regiones en las que GuardDuty está disponible, consulte. Regiones y puntos de conexión

Casos especiales para las regiones que optan por participar

Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (NEW) o para todas las cuentas de miembros (ALL), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra Cuentas en el panel de navegación de la GuardDuty consola o utilice el. ListMembersAPI
Cuando trabaje con la configuración de GuardDuty activación automática establecida enNEW, asegúrese de que se cumpla la siguiente secuencia:
1. Las cuentas de los miembros se registran en una región de suscripción.
2. Agregue las cuentas de los miembros a su organización en. AWS Organizations
Si cambias el orden de estos pasos, la configuración de GuardDuty activación automática con no NEW funcionará en la región de suscripción específica porque la cuenta de miembro ya no es nueva en la organización. GuardDuty ofrece dos soluciones alternativas:
- Establezca la configuración de GuardDuty activación automática enALL, que incluye las cuentas de los miembros nuevas y existentes. En este caso, el orden de estos pasos no es relevante.
- Si la cuenta de un miembro ya forma parte de su organización, gestione la GuardDuty configuración de esta cuenta de forma individual en la región de suscripción específica mediante la GuardDuty consola o elAPI.

Es obligatorio para que una AWS organización tenga la misma cuenta de GuardDuty administrador delegado en todas las. Regiones de AWS

Debe designar una cuenta de miembro como cuenta de GuardDuty administrador delegado en todos los Regiones de AWS lugares GuardDuty que estén habilitados. Por ejemplo, si designa una cuenta de miembro 111122223333 in Europe (Ireland), no puedes designar otra cuenta de miembro 555555555555 in Canada (Central). Es obligatorio que utilices la misma cuenta que la cuenta de GuardDuty administrador delegado en todas las demás regiones.

Puede designar una nueva cuenta de GuardDuty administrador delegado en cualquier momento. Para obtener más información sobre cómo eliminar la cuenta de GuardDuty administrador delegado existente, consulte. Cambiar la cuenta de GuardDuty administrador delegado

No se recomienda configurar la cuenta de administración de la organización como cuenta de GuardDuty administrador delegado.

La cuenta de administración de su organización puede ser la cuenta de GuardDuty administrador delegado. Sin embargo, las prácticas recomendadas de seguridad de AWS siguen el principio de privilegios mínimos y no recomiendan esta configuración.

El cambio de una cuenta de GuardDuty administrador delegado no desactiva las cuentas de GuardDuty los miembros.

Si elimina una cuenta de GuardDuty administrador delegado, GuardDuty elimina todas las cuentas de miembro asociadas a esta cuenta de administrador delegado GuardDuty . GuardDuty sigue habilitada para todas estas cuentas de miembros.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Relaciones entre la cuenta de administrador y la cuenta de miembro

Permisos necesarios para designar una cuenta de GuardDuty administrador delegado