View a markdown version of this page

Habilitar la protección de Lambda en entornos de varias cuentas - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar la protección de Lambda en entornos de varias cuentas

En un entorno de varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de activar o desactivar Lambda Protection para las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra las cuentas de los miembros mediante AWS Organizations. La cuenta de GuardDuty administrador delegado puede optar por habilitar automáticamente Lambda Network Activity Monitoring para todas las cuentas nuevas a medida que se unan a la organización. Para obtener más información sobre los entornos de varias cuentas, consulta Administrar varias cuentas en Amazon. GuardDuty

Elija el método de acceso que prefiera para activar o desactivar la supervisión de actividad de red Lambda para la cuenta de administrador delegado. GuardDuty

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  2. En el panel de navegación, en Configuración, elija Protección de Lambda.

  3. En la página Protección de Lambda, seleccione Editar.

  4. Realice una de las siguientes acciones:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las nuevas cuentas que se unan a la organización.

    • Seleccione Save.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Save.

API/CLI

Ejecute la operación de la API updateDetector con el ID del detector regional propio y transmita el features del objeto name como LAMBDA_NETWORK_LOGS y status como ENABLED.

Como alternativa, puede utilizar AWS CLI para activar la Protección Lambda. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la Protección Lambda.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

Elija su método de acceso preferido para habilitar la característica de supervisión de la actividad de red de Lambda en todas las cuentas de miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones:

    Uso de la página de planes de protección

    1. En el panel de navegación, elija Planes de protección.

    2. Elija Configurar todas las habilitaciones.

    3. En Protección Lambda, seleccione Activar para todas las cuentas. Esta acción habilita automáticamente la supervisión de la actividad de red de Lambda para las cuentas nuevas y existentes de la organización.

    4. Seleccione Guardar todo y, a continuación, seleccione Confirmar y guardar.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, selecciona Auto-enabletus preferencias antes de Añadir cuentas por invitación.

    3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para todas las cuentas en Supervisión de la actividad de red de Lambda.

      nota

      De forma predeterminada, esta acción activa automáticamente la opción Auto-enable GuardDuty para cuentas de nuevos miembros.

    4. Seleccione Save.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilitación o deshabilitación selectiva de la supervisión de la actividad de red de Lambda para las cuentas de miembros.

API/CLI

Para activar o desactivar de forma selectiva el Monitoreo de Actividad de Red Lambda para sus cuentas de miembros, invoque la operación de API con updateMemberDetectorsla suya propia. detector ID

Como alternativa, puede utilizar AWS CLI para activar la Protección Lambda. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la Protección Lambda.

Para encontrar el detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la supervisión de la actividad de red de Lambda para todas las cuentas de miembros activas existentes de la organización.

Console
Configuración de la supervisión de la actividad de red de Lambda para todas las cuentas de miembros activas existentes

  1. Inicia sesión en Consola de administración de AWS y abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija Planes de protección.

  3. Elija Configurar todas las habilitaciones. En Protección Lambda, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Elija Confirmar.

API/CLI

Para activar o desactivar de forma selectiva el Monitoreo de Actividad de Red Lambda para sus cuentas de miembros, invoque la operación de API con updateMemberDetectorsla suya propia. detector ID

Como alternativa, puede utilizar AWS CLI para activar la Protección Lambda. Ejecute el siguiente comando y 12abc34d567e8fa901bc2d34e56789f0 sustitúyalo por el ID del detector de su cuenta y us-east-1 por la región en la que desee activar la Protección Lambda. 

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la supervisión de la actividad de red de Lambda en las nuevas cuentas de miembros que se unen a la organización.

Console

La cuenta de GuardDuty administrador delegado puede activar Lambda Network Activity Monitoring para las cuentas de los nuevos miembros de una organización mediante la página Lambda Protection o la página Cuentas.

Habilitación automática de la Supervisión de la actividad de red de Lambda para las nuevas cuentas de miembros

  1. Abra la consola en GuardDuty . https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones:

    • A través de la página de planes de protección:

      1. En el panel de navegación, elija Planes de protección.

      2. Elija Configurar todas las habilitaciones.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que cada vez que una nueva cuenta se una a su organización, la protección de Lambda se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Save.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Cuentas.

      2. En la página Cuentas, seleccione Auto-enablelas preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las nuevas cuentas en Supervisión de la actividad de red de Lambda.

      4. Seleccione Save.

API/CLI

Para habilitar la supervisión de actividad de red Lambda para las cuentas de los nuevos miembros, invoque la operación de la UpdateOrganizationConfigurationAPI con la suya propia. detector ID

Como alternativa, puede utilizar AWS CLI para activar la Protección Lambda. En el siguiente ejemplo se muestra cómo se puede habilitar la supervisión de la actividad de red de Lambda para una sola cuenta de miembro. 12abc34d567e8fa901bc2d34e56789f0Sustitúyalo por el ID del detector de tu cuenta y us-east-1 por la región en la que quieres activar la Protección Lambda. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca AutoEnable en NONE.

Para encontrar el detectorId de su cuenta y su región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para habilitar o deshabilitar de forma selectiva la supervisión de la actividad de red de Lambda en las cuentas de miembros.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. En el panel de navegación, en Configuración, seleccione Cuentas.

    En la página Cuentas, revise la columna Supervisión de la actividad de red de Lambda. Indica si la supervisión de la actividad de red de Lambda está habilitada o no.

  3. Elija la cuenta para la que desee configurar la protección de Lambda. Puede elegir varias cuentas a la vez.

  4. En el menú desplegable Editar planes de protección, elija Supervisión de la actividad de red de Lambda y, a continuación, elija una acción adecuada.

API/CLI

Invoca la updateMemberDetectorsAPI con la tuya propia. detector ID

Como alternativa, puede utilizar AWS CLI para activar la Protección Lambda. 12abc34d567e8fa901bc2d34e56789f0Sustitúyalo por el ID del detector de tu cuenta y us-east-1 por la región en la que quieres activar la Protección Lambda.

Para encontrar el detectorId de su cuenta y su región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.