Consolidación de cuentas de administrador de GuardDuty bajo una sola organización - Amazon GuardDuty

Consolidación de cuentas de administrador de GuardDuty bajo una sola organización

GuardDuty recomienda utilizar la asociación a través de AWS Organizations a fin de administrar cuentas de miembro bajo una cuenta de administrador delegado de GuardDuty. Puede emplear el proceso ejemplificado a continuación para consolidar la cuenta de administrador y la cuenta de miembro asociadas mediante invitación dentro de una organización, bajo una única cuenta de administrador delegado de GuardDuty.

nota

GuardDuty recomienda utilizar AWS Organizations en lugar de las invitaciones de GuardDuty para administrar las cuentas de miembro. Para obtener más información, consulte Administración de cuentas con AWS Organizations.

Las cuentas que ya administra una cuenta de administrador delegado de GuardDuty o las cuentas de miembro activas asociadas a una cuenta de administrador delegado de GuardDuty no se pueden agregar a una cuenta de administrador delegado de GuardDuty diferente. Cada organización solo puede tener una cuenta de administrador delegado de GuardDuty por región y cada cuenta de miembro solo puede tener una cuenta de administrador delegado de GuardDuty.

Elija uno de los métodos de acceso preferentes para consolidar las cuentas de administrador de GuardDuty bajo una sola cuenta de administrador delegado de GuardDuty.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice las credenciales de la cuenta de administración de la organización.

  2. Todas las cuentas para las que desee administrar GuardDuty deben formar parte de su organización. Para más información acerca de cómo agregar una cuenta a su organización, consulte Invitar a una Cuenta de AWS a unirse a su organización.

  3. Asegúrese de que todas las cuentas de miembro estén asociadas a la cuenta que desea designar como única cuenta de administrador delegado de GuardDuty. Desasocie cualquier cuenta de miembro que aún esté asociada a las cuentas de administrador preexistentes.

    Los siguientes pasos le ayudarán a desasociar las cuentas de miembro de la cuenta de administrador preexistente:

    1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    2. Para iniciar sesión, utilice las credenciales de la cuenta de administrador preexistente.

    3. En el panel de navegación, elija Cuentas.

    4. En la página Cuentas, seleccione una o más cuentas que quiera desasociar de la cuenta de administrador.

    5. Seleccione Acciones y, a continuación, seleccione Desasociar cuenta.

    6. Seleccione Confirmar para finalizar el paso.

  4. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    Para iniciar sesión, utilice las credenciales de la cuenta de administración.

  5. En el panel de navegación, seleccione Configuración. En la página Configuración, designe la cuenta de administrador delegado de GuardDuty para la organización.

  6. Inicie sesión en la cuenta de administrador delegado de GuardDuty designada.

  7. Agregue miembros de la organización. Para obtener más información, consulte Administración de cuentas de GuardDuty con AWS Organizations.

API/CLI

  1. Todas las cuentas para las que desee administrar GuardDuty deben formar parte de su organización. Para más información acerca de cómo agregar una cuenta a su organización, consulte Invitar a una Cuenta de AWS a unirse a su organización.

  2. Asegúrese de que todas las cuentas de miembro estén asociadas a la cuenta que desea designar como única cuenta de administrador delegado de GuardDuty.

    1. Ejecute DisassociateMembers para desasociar cualquier cuenta de miembro que aún esté asociada a las cuentas de administrador preexistentes.

    2. Como alternativa, puede utilizar AWS Command Line Interface para ejecutar el siguiente comando y sustituir 777777777777 por el ID de detector de la cuenta de administrador preexistente de la que desea desasociar la cuenta de miembro. Sustituya 666666666666 por el ID de Cuenta de AWS de la cuenta de miembro que desee desasociar. 

      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666

  3. Ejecute EnableOrganizationAdminAccount para delegar una Cuenta de AWS como cuenta de administrador delegado de GuardDuty.

    Como alternativa, puede utilizar AWS Command Line Interface para ejecutar el siguiente comando para delegar una cuenta de administrador delegado de GuardDuty:

    aws guardduty enable-organization-admin-account --admin-account-id 777777777777

  4. Agregue miembros de la organización. Para obtener más información, consulte Create or add member member accounts using API.

importante

Para maximizar la eficacia de GuardDuty, un servicio regional, recomendamos que designe la cuenta de administrador delegado de GuardDuty y agregue todas las cuentas de miembro en cada región.