Cómo agregar miembros a la organización - Amazon GuardDuty

Cómo agregar miembros a la organización

Como cuenta de administrador delegado de GuardDuty, puede agregar una o más Cuentas de AWS a la organización de GuardDuty. Cuando agregue una cuenta como miembro de GuardDuty, el servicio se activará automáticamente en esa región. Hay una excepción a la cuenta de administración de la organización. Antes de que la cuenta de administración se agregue como miembro de GuardDuty, debe tener GuardDuty activado.

Elija el método que prefiera para agregar una cuenta de miembro a la organización de GuardDuty.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. En el panel de navegación, elija Cuentas.

    La tabla de cuentas muestra todas las cuentas de miembro que están activas (no suspendidas Cuentas de AWS) y que pueden estar asociadas a la cuenta de administrador delegado de GuardDuty. Si la cuenta de miembro está asociada a la cuenta de administrador de la organización, el Tipo será uno de los siguientes: A través de Organizations o Por invitación. Si una cuenta de miembro no está asociada a la cuenta de administrador de GuardDuty de la organización, el Tipo de esta cuenta de miembro es No es miembro.

  3. Seleccione uno o varios ID de cuenta que desee agregar en calidad de miembros. Estos ID de cuenta deben tener el Tipo como A través de organizaciones.

    Las cuentas que se agregan por invitación no forman parte de su organización. Puede administrador dichas cuentas de forma individual. Para obtener más información, consulte Administración de cuentas por invitación.

  4. Seleccione el menú desplegable Acciones y, a continuación, elija Agregar miembro. Después de agregar esta cuenta como miembro, se aplicará la configuración de habilitación automática de GuardDuty. Según los ajustes de Configuración de las preferencias de habilitación automática de la organización, la configuración de GuardDuty de estas cuentas puede cambiar.

  5. Puede seleccionar la flecha hacia abajo de la columna Estado para ordenar las cuentas según el estado No es miembro y, a continuación, elegir cada cuenta que no tenga GuardDuty habilitado en la región actual.

    Si ninguna de las cuentas que figuran en la tabla de cuentas se ha agregado todavía como miembro, puede habilitar GuardDuty en la región actual para todas las cuentas de la organización. Elija Habilitar en el encabezado de la parte superior de la página. Esta acción activa automáticamente la configuración Habilitar automáticamente para que GuardDuty se habilite en cualquier cuenta nueva que se una a la organización.

  6. Elija Confirmar para agregar las cuentas como miembros. Esta acción también habilita GuardDuty para todas las cuentas seleccionadas. El Estado de las cuentas invitadas cambiará a Habilitado.

  7. (Recomendado) Repita estos pasos en cada Región de AWS. Esto garantiza que la cuenta de administrador delegado de GuardDuty pueda administrar los resultados y otras configuraciones de las cuentas de miembro en todas las regiones en las que GuardDuty esté habilitado.

    La característica de habilitación automática activa GuardDuty para todos los futuros miembros de su organización. Esto permite que la cuenta de administrador delegada de GuardDuty administre cualquier miembro nuevo que se cree dentro de la organización o se agregue a esta. Cuando la cantidad de cuentas de miembro alcanza el límite de 50 000, la característica de habilitación automática se desactiva automáticamente. Si se elimina una cuenta de miembro y la cantidad total de miembros disminuye por debajo de 50 000, la característica de habilitación automática se activa de nuevo.

API/CLI

  • Ejecute CreateMembers. Para ello, utilice las credenciales de la cuenta de administrador delegado de GuardDuty.

    Debe especificar el ID de detector regional de la cuenta de administrador delegado de GuardDuty y los detalles de la cuenta (ID de la Cuenta de AWS y direcciones de correo electrónico correspondientes) de las cuentas que desea agregar como miembros de GuardDuty. Puede crear uno o varios miembros con esta operación de API.

    Cuando ejecute CreateMembers en la organización, las preferencias de habilitación automática para nuevos miembros se aplicarán a medida que nuevas cuentas de miembro se unan a la organización. Cuando se ejecuta CreateMembers con una cuenta de miembro existente, la configuración de la organización también se aplicará a los miembros existentes. Esto podría cambiar la configuración actual de las cuentas de miembro existentes.

    Ejecute ListAccounts en la referencia de la API de AWS Organizations. De este modo, podrá ver todas las cuentas de la organización de AWS.

    • Como alternativa también puede utilizar la AWS Command Line Interface. Ejecute el siguiente comando de la AWS CLI y asegúrese de utilizar su propio ID de detector válido, su ID de Cuenta de AWS y la dirección de correo electrónico asociada al ID de la cuenta.

      Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

      aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com

      Para ver una lista de todos los miembros de la organización, ejecute el siguiente comando de la AWS CLI:

      aws organizations list-accounts

    Después de agregar esta cuenta como miembro, se aplicará la configuración de habilitación automática de GuardDuty.