Agregar cuentas por invitación - Amazon GuardDuty

Agregar cuentas por invitación

Como cuenta de administrador con GuardDuty habilitado, podrá agregar miembros de modo que comiencen a utilizar GuardDuty. Tras agregar a los miembros, podrá invitarlos a que su unan a GuardDuty. Por su parte, ellos decidirán si responden a la invitación.

nota

GuardDuty recomienda utilizar AWS Organizations en lugar de las invitaciones de GuardDuty para administrar las cuentas de miembro. Para obtener más información, consulte Administración de cuentas con AWS Organizations.

Elija un método de acceso preferente para agregar cuentas de miembro de GuardDuty como cuenta de administrador de GuardDuty.

Console
Paso 1: agregación de una cuenta

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Cuentas.

  3. Seleccione Agregar cuentas mediante invitación en el panel superior.

  4. En la página Agregar cuentas de miembros, en Escribir los detalles de la cuenta, introduzca el ID de la Cuenta de AWS y la dirección de correo electrónico asociada a la cuenta que desea agregar.

  5. Para agregar otra fila para introducir los detalles de la cuenta de uno en uno, elija Agregar otra cuenta. También puede seleccionar Cargar un archivo .csv con los detalles de la cuenta para agregar cuentas en bloque.

    importante

    La primera línea del archivo .csv debe contener el encabezado, tal como se muestra en el ejemplo siguiente: . – Account ID,Email. Cada línea subsiguiente debe contener un único ID de Cuenta de AWS válido y su dirección de correo electrónico asociada. El formato de una fila es válido si contiene solo un ID de Cuenta de AWS y la dirección de correo electrónico asociada separados por una coma. 

    Account ID,Email
                                555555555555,user@example.com

  6. Después de agregar todos los detalles de las cuentas, seleccione Siguiente. Puede ver las cuentas recién agregadas en la tabla Cuentas. El Estado de estas cuentas será Invitación no enviada. Para obtener información sobre cómo enviar una invitación a una o más cuentas agregadas, consulte Step 2 - Invite an account.

Paso 2: invitación a una cuenta

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Cuentas.

  3. Seleccione una o varias cuentas que desee invitar a Amazon GuardDuty.

  4. Seleccione el menú desplegable Acciones y, a continuación, elija Invitar.

  5. En el cuadro de diálogo Invitación a GuardDuty, introduzca un mensaje de invitación (opcional).

    Si la cuenta invitada no tiene acceso al correo electrónico, seleccione la casilla Enviar también una notificación de correo electrónico al usuario raíz de la Cuenta de AWS del invitado y generar una alerta en la AWS Health Dashboard del invitado.

  6. Seleccione Send invitation (Enviar invitación). Si los invitados tienen acceso a la dirección de correo electrónico especificada, pueden abrir la consola de GuardDuty en https://console.aws.amazon.com/guardduty/ para ver la invitación.

  7. Cuando el invitado acepta la invitación, el valor de la columna Estado cambia a Invitado. Para obtener más información sobre la aceptación de una invitación, consulte Step 3 - Accept an invitation.

Paso 3: aceptación de una invitación

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    importante

    Debe habilitar GuardDuty antes de poder ver o aceptar una invitación para hacerse miembro.

  2. Haga lo siguiente solo si aún no ha activado GuardDuty; de lo contrario, puede omitir este paso y continuar con el siguiente.

    Si aún no ha activado GuardDuty, seleccione Comenzar en la página de Amazon GuardDuty.

    En la página Bienvenido a GuardDuty, elija Habilitar GuardDuty.

  3. Después de activar GuardDuty en su cuenta, siga estos pasos para aceptar la invitación para hacerse miembro:

    1. En el panel de navegación, seleccione Configuración.

    2. Elija Cuentas.

    3. En Cuentas, asegúrese de verificar el propietario de la cuenta desde la que acepta la invitación. Active Aceptar para aceptar la invitación para hacerse miembro.

  4. Después de aceptar la invitación, su cuenta se convierte en una cuenta de miembro de GuardDuty. La cuenta de cuyo propietario ha enviado la invitación se convierte en cuenta de administrador de GuardDuty. La cuenta de administrador sabrá que ha aceptado la invitación. Se actualizará la tabla Cuentas de su cuenta de GuardDuty. El valor de la columna Estado correspondiente al ID de la cuenta de miembro cambiará a Habilitado. El propietario de la cuenta de administrador ahora puede ver y administrar las configuraciones de GuardDuty y del plan de protección en nombre de su cuenta. La cuenta de administrador también puede ver y administrar los resultados de GuardDuty generados para su cuenta de miembro.

API/CLI

Puede designar una cuenta de administrador de GuardDuty y crear o agregar cuentas de miembro de GuardDuty mediante invitación a través de las operaciones de la API. Ejecute las siguientes operaciones de la API de GuardDuty para designar la cuenta de administrador y las cuentas de miembro de GuardDuty.

Complete el siguiente procedimiento con las credenciales de la Cuenta de AWS que desea designar como cuenta administradora de GuardDuty.

Creación o agregación de cuentas de miembro

  1. Ejecute la operación de la API CreateMembers con las credenciales de la cuenta de AWS en la que GuardDuty está habilitado. Esta es la cuenta que desea que sea la cuenta de administrador de GuardDuty.

    Debe especificar el ID de detector de la cuenta de AWS actual, así como el ID de cuenta y la dirección de correo electrónico de las cuentas que quiere convertir en miembros de GuardDuty. Puede crear uno o varios miembros con esta operación de API.

    También puede utilizar las herramientas de línea de comandos de AWS para designar la cuenta de administrador. Para ello, ejecute el siguiente comando de la CLI. No olvide utilizar su propio ID de detector, ID de cuenta y correo electrónico.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com

  2. Ejecute InviteMembers con las credenciales de la cuenta de AWS que tiene GuardDuty habilitado. Esta es la cuenta que desea que sea la cuenta de administrador de GuardDuty.

    Debe especificar el ID de detector de la cuenta de AWS actual, así como los ID de las cuentas que quiere convertir en miembros de GuardDuty. Con esta operación de la API, puede invitar a uno o varios miembros.

    nota

    También puede especificar un mensaje de invitación opcional mediante el parámetro de solicitud message.

    También puede utilizar AWS Command Line Interface para designar las cuentas de miembro con el siguiente comando. No olvide utilizar su propio ID de detector y unos ID válidos para las cuentas a las que desea invitar.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
Aceptación de invitaciones

Complete el siguiente procedimiento con las credenciales de cada cuenta de AWS que desea designar como cuenta de miembro de GuardDuty.

  1. Ejecute la operación de la API CreateDetector en cada cuenta de AWS a la que ha enviado una invitación para convertirse en cuenta de miembro de GuardDuty y donde desee aceptar una invitación.

    Debe especificar si el recurso del detector se va a habilitar mediante el servicio de GuardDuty. Debe crearse y habilitarse un detector para que GuardDuty entre en funcionamiento. Antes de aceptar una invitación, primero debe habilitar GuardDuty.

    También puede hacerlo mediante las herramientas de línea de comandos de AWS con el siguiente comando de la CLI.

    aws guardduty create-detector --enable

  2. Ejecute la operación de la API AcceptAdministratorInvitation en cada cuenta de AWS que desee que acepte la invitación para convertirse en cuenta de miembro mediante las credenciales de la cuenta.

    Debe especificar el ID de detector de esta cuenta de AWS para la cuenta de miembro, el ID de cuenta de la cuenta de administrador que ha enviado la invitación y el ID de la invitación que va a aceptar. Puede consultar el ID de cuenta de la cuenta de administrador en el correo electrónico de invitación o con la operación ListInvitations de la API.

    También puede aceptar una invitación utilizando las herramientas de línea de comandos de AWS con el siguiente comando de la CLI. No olvide utilizar un ID de detector, un ID de cuenta de administrador y un ID de invitación que sean válidos.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5