Habilitar S3 Protection en entornos con varias cuentas - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar S3 Protection en entornos con varias cuentas

En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de configurar (activar o desactivar) S3 Protection para las cuentas de los miembros de su organización. AWS Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. La cuenta de GuardDuty administrador delegado puede elegir que S3 Protection se active automáticamente en todas las cuentas, solo en las cuentas nuevas o en ninguna cuenta de la organización. Para obtener más información, consulte Administración de cuentas con AWS Organizations.

Elija el método de acceso que prefiera para habilitar S3 Protection en la cuenta de GuardDuty administrador delegado.

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de administración.

  2. En el panel de navegación, elija Protección de S3.

  3. En la página Protección de S3, seleccione Editar.

  4. Realice una de las siguientes acciones siguientes:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las nuevas cuentas que se unan a la organización.

    • Seleccione Guardar.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Guardar.

API/CLI

Ejecute updateDetectorutilizando el identificador de detector de la cuenta de GuardDuty administrador delegado para la región actual y pasando el features objeto name tal S3_DATA_EVENTS y status como. ENABLED

Como alternativa, puede configurar S3 Protection mediante AWS Command Line Interface. Ejecute el siguiente comando y asegúrese de reemplazar 12abc34d567e8fa901bc2d34e56789f0 con el ID de detector de la cuenta de GuardDuty administrador delegado para la región actual.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectors API.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'

Elija el método de acceso que prefiera para habilitar S3 Protection en la cuenta de GuardDuty administrador delegado.

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Inicie sesión con su cuenta de administrador.

  2. Realice una de las siguientes acciones siguientes:

    Uso de la página Protección de S3

    1. En el panel de navegación, elija Protección de S3.

    2. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente la protección de S3 para las cuentas nuevas y existentes de la organización.

    3. Seleccione Guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Accounts (Cuentas).

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para todas las cuentas en Protección de S3.

    4. Seleccione Guardar.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilite la protección S3 de forma selectiva en las cuentas de los miembros.

API/CLI

  • Para activar la protección S3 de forma selectiva para sus cuentas de miembros, invoque la updateMemberDetectorsAPIoperación utilizando la suya propia detector ID.

  • En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Asegúrese de reemplazar 12abc34d567e8fa901bc2d34e56789f0 con la detector-id de la cuenta de GuardDuty administrador delegado, y 111122223333.

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la protección de S3 en todas las cuentas de miembros activas existentes de la organización.

Console

  1. Inicia sesión en AWS Management Console y abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Protección de S3.

  3. En la página Protección de S3, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Elija Confirmar.

API/CLI

  • Para habilitar S3 Protection de forma selectiva para sus cuentas de miembros, invoque la updateMemberDetectorsAPIoperación utilizando la suya propia detector ID.

  • En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Asegúrese de reemplazar 12abc34d567e8fa901bc2d34e56789f0 con la detector-id de la cuenta de GuardDuty administrador delegado, y 111122223333.

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    También puedes pasar una lista de cuentas IDs separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la protección de S3 para las cuentas nuevas que se unan a la organización.

Console

La cuenta de GuardDuty administrador delegado puede habilitar las cuentas de nuevos miembros de una organización a través de la consola, desde la página de protección de S3 o desde la página de cuentas.

Habilitación automática de la protección de S3 para las cuentas de nuevos miembros

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones siguientes:

    • Uso de la página Protección de S3:

      1. En el panel de navegación, elija Protección de S3.

      2. En la página Protección de S3, seleccione Editar.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que cada vez que una nueva cuenta se una a su organización, la protección de S3 se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Guardar.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Accounts (Cuentas).

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las nuevas cuentas en Protección de S3.

      4. Seleccione Guardar.

API/CLI

  • Para habilitar S3 Protection de forma selectiva para las cuentas de sus miembros, invoque la UpdateOrganizationConfigurationAPIoperación utilizando la suya propia detector ID.

  • En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Establezca las preferencias para habilitar o deshabilitar automáticamente el plan de protección en esa región para las nuevas cuentas (NEW) que se unan a la organización, todas las cuentas (ALL) o ninguna de las cuentas (NONE) de la organización. Para obtener más información, consulte autoEnableOrganizationMiembros. Según sus preferencias, es posible que deba sustituir NEW por ALL o NONE.

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para habilitar de forma selectiva la protección de S3 para las cuentas de los miembros.

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. En el panel de navegación, elija Accounts (Cuentas).

    En la página Cuentas, revise la columna Protección de S3 para ver el estado de su cuenta de miembro.

  3. Para activar la protección S3 de forma selectiva

    Seleccione la cuenta para la que desee habilitar S3 Protection. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione S3Pro y, a continuación, elija la opción adecuada.

API/CLI

Para activar S3 Protection de forma selectiva para sus cuentas de miembros, ejecute el updateMemberDetectorsAPIoperación con su propio identificador de detector. En el siguiente ejemplo se muestra cómo se puede habilitar la protección de S3 para una sola cuenta de miembro. Para desactivarlo, sustituya true por false.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectors API.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
nota

También puedes pasar una lista de cuentas IDs separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

nota

Si utiliza scripts para incorporar nuevas cuentas y quiere deshabilitar S3 Protection en sus nuevas cuentas, puede modificar la createDetectorAPIoperación con el dataSources objeto opcional tal como se describe en este tema.