Habilitar RDS Protection en entornos de varias cuentas - Amazon GuardDuty

Habilitar RDS Protection en entornos de varias cuentas

En un entorno de varias cuentas, solo la cuenta del administrador delegado de GuardDuty tiene la opción de habilitar o desactivar la característica de protección de RDS para las cuentas de miembro de la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. La cuenta de administrador delegado de GuardDuty administra las cuentas de miembro mediante AWS Organizations. Esta cuenta de administrador delegado de GuardDuty puede optar por habilitar automáticamente la supervisión de la actividad de inicio de sesión en RDS para todas las cuentas nuevas a medida que se incorporan a la organización. Para obtener más información sobre entornos de varias cuentas, consulte Múltiples cuentas en GuardDuty.

Elija el método de acceso que prefiera para configurar la supervisión de la actividad de inicio de sesión en RDS para la cuenta de administrador delegado de GuardDuty.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Protección de RDS.

  3. En la página Protección de RDS, elija Editar.

  4. Realice una de las siguientes acciones:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las cuentas de GuardDuty activas de su organización de AWS, lo que incluye las nuevas cuentas que se unan a la organización.

    • Seleccione Save.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de administrador delegado de GuardDuty, elija Configurar cuentas manualmente.

    • Elija Habilitar en la sección Cuenta de administrador delegado de GuardDuty (esta cuenta).

    • Seleccione Save.

API/CLI

Ejecute la operación de la API updateDetector con el ID del detector regional propio y transmita el features del objeto name como RDS_LOGIN_EVENTS y status como ENABLED.

También puede utilizar la AWS CLI para habilitar RDS Protection. Ejecute el siguiente comando y sustituya 12abc34d567e8fa901bc2d34e56789f0 por el ID de detector de la cuenta y us-east-1 por la región en la que desea habilitar RDS Protection.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

Elija su método de acceso preferido para habilitar la característica de protección de RDS en todas las cuentas de miembros. Esto incluye las cuentas de miembros existentes y las cuentas nuevas que se unen a la organización.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. Realice una de las siguientes acciones:

    Mediante la página Protección de RDS

    1. En el panel de navegación, elija Protección de RDS.

    2. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente RDS Protection para las cuentas nuevas y existentes de la organización.

    3. Seleccione Save.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, seleccione las preferencias para Habilitar automáticamente antes de Agregar cuentas mediante invitación.

    3. En la ventana Administrar preferencias de habilitación automática, elija Habilitar para todas las cuentas en Supervisión de la actividad de inicio de sesión de RDS.

    4. Seleccione Save.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilitar RDS Protection para las cuentas de miembro de forma selectiva.

API/CLI

Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

También puede utilizar la AWS CLI para habilitar RDS Protection. Ejecute el siguiente comando y sustituya 12abc34d567e8fa901bc2d34e56789f0 por el ID de detector de la cuenta y us-east-1 por la región en la que desea habilitar RDS Protection.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar RDS Protection en todas las cuentas de miembros activos existentes en la organización. Las cuentas de miembro que ya tienen GuardDuty habilitado, se conocen como miembros activos existentes.

Console

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. En el panel de navegación, elija Protección de RDS.

  3. En la página Protección de RDS, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Elija Confirmar.

API/CLI

Ejecute la operación de la API updateMemberDetectors con el ID de detector propio.

También puede utilizar la AWS CLI para habilitar RDS Protection. Ejecute el siguiente comando y sustituya 12abc34d567e8fa901bc2d34e56789f0 por el ID de detector de la cuenta y us-east-1 por la región en la que desea habilitar RDS Protection.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la actividad de inicio de sesión de RDS para las cuentas nuevas que se unan a la organización.

Console

La cuenta de administrador delegado de GuardDuty puede habilitar las cuentas de miembro nuevas en una organización a través de la consola, desde la página Protección de RDS o la página Cuentas.

Habilitación automática de la Protección de RDS para las cuentas de miembros nuevos

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. Realice una de las siguientes acciones:

    • Mediante la página Protección de RDS:

      1. En el panel de navegación, elija Protección de RDS.

      2. En la página Protección de RDS, elija Editar.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que, cada vez que una nueva cuenta se una a su organización, RDS Protection se habilite automáticamente para la cuenta. Solo la cuenta de administrador delegado de GuardDuty de la organización puede modificar esta configuración.

      5. Seleccione Save.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Cuentas.

      2. En la página Cuentas, seleccione Habilitar automáticamente las preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las cuentas nuevas en Supervisión de la actividad de inicio de sesión de RDS.

      4. Seleccione Save.

API/CLI

Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API UpdateOrganizationConfiguration con su propio ID de detector.

También puede utilizar la AWS CLI para habilitar RDS Protection. Ejecute el siguiente comando y sustituya 12abc34d567e8fa901bc2d34e56789f0 por el ID de detector de la cuenta y us-east-1 por la región en la que desea habilitar RDS Protection. Si no quiere habilitarla para todas las cuentas nuevas que se unan a la organización, establezca autoEnable en NONE.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para habilitar de forma selectiva la supervisión de la actividad de inicio de sesión en RDS para las cuentas de miembro.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de administrador delegado de GuardDuty.

  2. En el panel de navegación, elija Cuentas.

    En la página Cuentas, revise la columna Actividad de inicio de sesión de RDS para ver el estado de su cuenta de miembro.

  3. Activación o desactivación de forma selectiva de la actividad de inicio de sesión en RDS

    Seleccione la cuenta para la que desee configurar RDS Protection. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione Actividad de inicio de sesión de RDS y, a continuación, elija la opción adecuada.

API/CLI

Para activar o desactivar la Protección de RDS de forma selectiva para sus cuentas de miembro, invoque la operación de la API updateMemberDetectors con su propio ID de detector.

También puede utilizar la AWS CLI para habilitar RDS Protection. Ejecute el siguiente comando y sustituya 12abc34d567e8fa901bc2d34e56789f0 por el ID de detector de la cuenta y us-east-1 por la región en la que desea habilitar RDS Protection.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
nota

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.