Administración de cuentas de GuardDuty con AWS Organizations
En una organización de AWS, la cuenta de administración puede designar cualquier cuenta de esta organización como cuenta de administrador delegado de GuardDuty. Para esta cuenta de administrador, GuardDuty se habilita automáticamente solo en la Región de AWS actual. De forma predeterminada, la cuenta de administrador puede habilitar y administrar GuardDuty para todas las cuentas de miembro de la organización dentro de esa región. La cuenta de administrador puede ver y agregar miembros a esta organización de AWS.
En las siguientes secciones se explican varias tareas que puede realizar como cuenta de administrador delegado de GuardDuty.
Contenido
Consideraciones y recomendaciones para utilizar GuardDuty con AWS Organizations
Permisos necesarios para designar una cuenta de administrador delegado de GuardDuty
Configuración de las preferencias de habilitación automática de la organización
(Opcional) Habilitar planes de protección para cuentas de miembro existentes
Administración continua de las cuentas de miembro en GuardDuty
Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador
Consideraciones y recomendaciones para utilizar GuardDuty con AWS Organizations
Las siguientes consideraciones y recomendaciones resultan útiles para comprender el funcionamiento de una cuenta de administrador delegado en GuardDuty:
- Una cuenta de administrador delegado de GuardDuty puede administrar un máximo de 50 000 miembros.
-
Existe un límite de 50 000 cuentas de miembro por cuenta de administrador delegado de GuardDuty. Esto incluye cuentas de miembro que se agregan a través de AWS Organizations o aquellas que aceptaron la invitación de la cuenta de administrador de GuardDuty para unirse a su organización. Sin embargo, es posible que en la organización de AWS haya más de 50 000 cuentas.
Si excede el límite de 50 000 cuentas de miembro, recibirá una notificación de CloudWatch, AWS Health Dashboard, y un correo electrónico a la cuenta de administrador delegado de GuardDuty designada.
- Una cuenta de administrador delegado de GuardDuty es regional.
-
A diferencia de AWS Organizations, GuardDuty es un servicio regional. Las cuentas de administrador delegado de GuardDuty y sus cuentas de miembro se deben agregar a través de AWS Organizations en cada región deseada donde tenga GuardDuty habilitado. Si la cuenta de administración de la organización designa una cuenta de administrador de GuardDuty delegada solo en EE. UU. Este (Norte de Virginia), entonces la cuenta de administrador delegado de GuardDuty solo administrará cuentas de miembro agregadas a la organización en esa Región. Para obtener más información sobre la paridad de características en las regiones en las que GuardDuty se encuentra disponible, consulte Regiones y puntos de conexión.
- Casos especiales para las regiones incluidas
-
Cuando una cuenta de administrador delegado de GuardDuty se excluye de una región incluida, aunque la organización tenga la configuración de habilitación automática de GuardDuty establecida únicamente para nuevas cuentas de miembro (
NEW) o para todas las cuentas de miembro (ALL), GuardDuty no se podrá habilitar para ninguna cuenta de miembro de la organización en la que GuardDuty se encuentre desactivado en ese momento. Para obtener información sobre la configuración de sus cuentas de miembro, abra Cuentas en el panel de navegación de la consola de GuardDutyo utilice la API ListMembers. -
Al utilizar la configuración de habilitación automática de GuardDuty en
NEW, asegúrese de que se cumpla la siguiente secuencia:-
Las cuentas de miembro se incluyen en una región incluida.
-
Agregue las cuentas de miembro a la organización en AWS Organizations.
Si cambia el orden de estos pasos, la configuración de habilitación automática de GuardDuty con
NEWno funcionará en la región incluida específica porque la cuenta del miembro ya no es nueva en la organización. GuardDuty ofrece dos soluciones alternativas:-
Establezca la configuración de habilitación automática de GuardDuty en
ALL, lo que incluye cuentas de miembro nuevas y existentes. En este caso, el orden de estos pasos no es relevante. -
Si una cuenta de miembro ya forma parte de la organización, administre la configuración de GuardDuty de esta cuenta individualmente en la región incluida específica. Para ello, utilice la consola de GuardDuty o la API.
-
- Se requiere para que una organización de AWS tenga la misma cuenta de administrador delegado de GuardDuty en todas las Regiones de AWS.
-
Debe designar una cuenta de miembro como cuenta de administrador delegado de GuardDuty en todas las Regiones de AWS en las que GuardDuty esté habilitado. Por ejemplo, si designa una cuenta de miembro
111122223333enEuropa (Irlanda), no podrá designar otra cuenta de miembro555555555555enCanadá (Central). Se requiere que use la misma cuenta como administrador delegado de GuardDuty en todas las demás regiones.Puede designar una nueva cuenta de administrador delegado de GuardDuty en cualquier momento. Para obtener más información sobre cómo eliminar la cuenta de administrador delegado de GuardDuty existente, consulte Cambiar la cuenta de administrador delegado de GuardDuty.
- No se recomienda establecer la cuenta de administración de la organización como cuenta de administrador delegado de GuardDuty.
-
La cuenta de administración de la organización puede ser la cuenta de administrador delegada de GuardDuty. Sin embargo, las prácticas recomendadas de seguridad de AWS siguen el principio de privilegios mínimos y no recomiendan esta configuración.
- Al cambiar una cuenta de administrador delegado de GuardDuty no se desactivará GuardDuty para las cuentas de miembro.
-
Si quita una cuenta de administrador delegado de GuardDuty, GuardDuty quitará todas las cuentas de miembro asociadas a esta cuenta de administrador delegado de GuardDuty. GuardDuty sigue activado para todas estas cuentas de miembro.
