Amazon Detective y AWS Organizations - AWS Organizations
Roles vinculados a serviciosPrincipal del servicioHabilitar el acceso de confianzaDeshabilitar el acceso de confianzaHabilitación de una cuenta de administrador delegado para DetectiveDesactivación de un administrador delegado para Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon Detective y AWS Organizations

Amazon Detective utiliza sus datos de registro para generar visualizaciones que le permiten analizar, investigar e identificar la causa raíz de los hallazgos de seguridad o actividades sospechosas.

AWS Organizations El uso le permite asegurarse de que su gráfico de comportamiento de Detective proporcione visibilidad de la actividad en todas las cuentas de su organización.

Cuando concede acceso de confianza a Detective, el servicio Detective puede reaccionar automáticamente a los cambios en la membresía de la organización. El administrador delegado puede habilitar cualquier cuenta de organización como cuenta de miembro en el gráfico de comportamiento. El Detective también puede habilitar automáticamente nuevas cuentas de organización como cuentas de miembro. Las cuentas de organización no pueden desasociarse del gráfico de comportamiento.

Para obtener más información, consulte Uso de Amazon Detective en su organización en la Guía de administración de Amazon Detective.

Utilice la siguiente información para ayudarle a integrar Amazon Detective con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a Detective realizar operaciones soportadas por las cuentas de su organización.

Puede eliminar o modificar este rol sólo si desactiva el acceso de confianza entre Detective y Organizations, o si elimina la cuenta de miembro de la organización.

  • AWSServiceRoleForDetective

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios de Detective conceden acceso a las siguientes entidades principales de servicio:

  • detective.amazonaws.com

Para habilitar el acceso de confianza con Detective

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

nota

Cuando se designa un administrador delegado para Amazon Detective, se Detective habilita automáticamente el acceso de confianza para Detective en su organización.

Detective necesita un acceso confiable AWS Organizations antes de poder designar una cuenta de miembro como administrador delegado de este servicio para su organización.

Solo puede habilitar el acceso confiable mediante las herramientas de Organizations.

Puede habilitar el acceso confiable mediante la AWS Organizations consola.

AWS Management Console
Para habilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Elija Amazon Detective en la lista de servicios.

  4. Elija Habilitar acceso de confianza.

  5. En el cuadro de diálogo Habilitar el acceso de confianza para Amazon Detective, escriba habilitar para confirmar y, a continuación, seleccione Habilitar el acceso de confianza.

  6. Si eres el administrador de Only AWS Organizations, dile al administrador de Amazon Detective que ahora puede habilitar ese servicio para que funcione AWS Organizations desde la consola de servicios.

Para desactivar el acceso de confianza con Detective

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo un administrador de la cuenta AWS Organizations de administración puede deshabilitar el acceso de confianza con Amazon Detective.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola.

AWS Management Console
Para deshabilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Elija Amazon Detective en la lista de servicios.

  4. Seleccione Deshabilitar el acceso de confianza.

  5. En el cuadro de diálogo Inhabilitar el acceso de confianza para Amazon Detective, escriba disable para confirmar y, a continuación, seleccione Disable Trusted Access.

  6. Si usted es el administrador de Only AWS Organizations, dígale al administrador de Amazon Detective que ahora puede deshabilitar el funcionamiento de ese servicio AWS Organizations mediante la consola de servicios o las herramientas;.

Habilitación de una cuenta de administrador delegado para Detective

La cuenta de administrador delegado de Detective es la cuenta de administrador de un gráfico de comportamiento de Detective. El administrador delegado determina qué cuentas de organización se van a habilitar y desactivar como cuentas de miembro en ese gráfico de comportamiento. El administrador delegado puede configurar Detective para habilitar automáticamente nuevas cuentas de organización como cuentas de miembro a medida que se agregan a la organización. Para obtener información sobre cómo un administrador delegado administra las cuentas de la organización, consulte Gestión de cuentas de organización como cuentas de miembro en la Guía de administración de Amazon Detective.

Solo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para Detective.

Puede especificar una cuenta de administrador delegado desde la consola de Detective o API bien mediante la SDK operación Organizations CLI u.

Permisos mínimos

Sólo un usuario o rol de la cuenta de administración de Organizations puede configurar una cuenta de miembro como administrador delegado para Detective en la organización

Para configurar un administrador delegado mediante la consola de Detective oAPI, consulte Designación de una cuenta de administrador de Detectives para una organización en la Guía de administración de Amazon Detective.

AWS CLI, AWS API

Si desea configurar una cuenta de administrador delegado mediante una AWS CLI o una de las AWS SDKs, puede utilizar los siguientes comandos:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal detective.amazonaws.com

  • AWS SDK: Llame a la RegisterDelegatedAdministrator operación de la organización y al número de identificación de la cuenta del miembro e identifique el principal de servicio de la cuenta account.amazonaws.com como parámetros.

Desactivación de un administrador delegado para Detective

Puede eliminar al administrador delegado mediante la consola de Detective o API mediante la SDK operación Organizations DeregisterDelegatedAdministrator CLI u. Para obtener información sobre cómo eliminar a un administrador delegado mediante la consola de Detectives o las Organizaciones APIAPI, consulte Designación de una cuenta de administrador de detectives para una organización en la Guía de administración de Detectives de Amazon.