Amazon GuardDuty y AWS Organizations - AWS Organizations
Roles vinculados a serviciosPrincipal del servicioHabilitar el acceso de confianzaDeshabilitar el acceso de confianzaHabilitar una cuenta de administrador delegado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon GuardDuty y AWS Organizations

Amazon GuardDuty es un servicio de monitorización de la seguridad continuo que analiza y procesa diversas fuentes de datos, mediante fuentes de información de amenazas y Machine Learning para identificar actividad inesperada y potencialmente no autorizada y malintencionada en su entorno AWS. Esto puede incluir problemas como escalado de privilegios, uso de credenciales expuestas, comunicación con direcciones IP, URL o dominios malintencionados o la presencia de malware en las cargas de trabajo de contenedores e instancias de Amazon Elastic Compute Cloud.

Puede ayudar a simplificar la administración de GuardDuty mediante Organizations para administrar GuardDuty en todas las cuentas de su organización.

Para obtener más información, consulte Administrar cuentas de GuardDuty con AWS Organizations en la Guía del usuario de Amazon GuardDuty

Utilice la siguiente información para ayudarle a integrar Amazon GuardDuty con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

Los siguientes roles vinculados al servicio se crean automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Estos roles permiten a GuardDuty realizar operaciones compatibles en las cuentas de su organización. Puede eliminar un rol solo si desactiva el acceso de confianza entre GuardDuty y Organizations, o si elimina la cuenta de miembro de la organización.

  • El rol vinculado al servicio AWSServiceRoleForAmazonGuardDuty se crea automáticamente en las cuentas que han integrado GuardDuty con Organizations. Para obtener más información, consulte Administrar cuentas de GuardDuty con Organizations en la Guía del usuario de Amazon GuardDuty

  • El rol vinculado a un servicio AmazonGuardDutyMalwareProtectionServiceRolePolicy se activa automáticamente en cuentas que tienen la protección contra malware de GuardDuty habilitada. Para obtener más información, consulte Service-linked role permissions for GuardDuty Malware Protection (Permisos de roles vinculados a servicios para la protección contra malware de GuardDuty) en la Guía del usuario de Amazon GuardDuty

Los principales de servicios utilizados por los roles vinculados a servicios

  • guardduty.amazonaws.com, utilizado por el rol vinculado al servicio AWSServiceRoleForAmazonGuardDuty.

  • malware-protection.guardduty.amazonaws.com, utilizado por el rol vinculado al servicio AmazonGuardDutyMalwareProtectionServiceRolePolicy.

Habilitar el acceso de confianza con GuardDuty

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Puede habilitar el acceso de confianza mediante Amazon GuardDuty.

Amazon GuardDuty requiere un acceso de confianza a AWS Organizations antes de que usted pueda designar una cuenta miembro para que sea el administrador delegado de GuardDuty para la organización. Si configura un administrador delegado mediante la Consola de GuardDuty, a continuación GuardDuty habilita automáticamente el acceso de confianza para usted.

Sin embargo, si desea configurar una cuenta de administrador delegada mediante el AWS CLI o una de las SDK AWS, debe llamar de forma explícita a la operación EnableAWSServiceAccess y proporcionar la entidad de servicio como parámetro. Entonces puede llamar EnableOrganizationAdminAccount para delegar la cuenta de administrador de GuardDuty.

Deshabilitar el acceso de confianza con GuardDuty

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza ejecutando un comando de Organizations AWS CLI, o bien llamando a una operación de API de Organizations en uno de los AWS SDK.

AWS CLI, AWS API
Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

  • AWS CLI: disable-aws-service-access

    Puede ejecutar el siguiente comando para deshabilitar Amazon GuardDuty como servicio de confianza con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal guardduty.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • API de AWS: DisableAWSServiceAccess

Habilitar una cuenta de administrador delegado para GuardDuty

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y los roles de esa cuenta pueden realizar acciones administrativas para GuardDuty que, de lo contrario, solo pueden realizar usuarios o roles en la cuenta de administración de la organización. Esto le ayuda a separar la gestión de la organización de la gestión de GuardDuty.

Permisos mínimos

Para obtener información acerca de los permisos necesarios para designar una cuenta de miembro como administrador delegado, consulte Permisos necesarios para designar un administrador delegado en la Guía del usuario de Amazon GuardDuty

Para designar una cuenta de miembro como administrador delegado para GuardDuty

Consulte Designar un administrador delegado y agregar cuentas de miembro (consola) y Designar un administrador delegado y agregar cuentas miembro (API)