View a markdown version of this page

Habilitar la protección de S3 en entornos de varias cuentas - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar la protección de S3 en entornos de varias cuentas

En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de configurar (activar o desactivar) S3 Protection para las cuentas de los miembros de su AWS organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. La cuenta de GuardDuty administrador delegado puede elegir que S3 Protection se active automáticamente en todas las cuentas, solo en las cuentas nuevas o en ninguna cuenta de la organización. Para obtener más información, consulte Administración de cuentas con AWS Organizations.

Elija el método de acceso que prefiera para habilitar S3 Protection en la cuenta de GuardDuty administrador delegado.

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  2. En el panel de navegación, elija S3 Protection.

  3. En la página Protección de S3, seleccione Editar.

  4. Realice una de las siguientes acciones:

    Uso de Habilitar para todas las cuentas

    • Elija Habilitar para todas las cuentas. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las nuevas cuentas que se unan a la organización.

    • Seleccione Save.

    Uso de Configurar cuentas manualmente

    • Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija Configurar las cuentas manualmente.

    • Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).

    • Seleccione Save.

API/CLI

updateDetectorPara ello, utilice el identificador de detector de la cuenta de GuardDuty administrador delegado para la región actual y pase el features objeto name tal S3_DATA_EVENTS y status como. ENABLED

Como alternativa, puede configurar S3 Protection mediante AWS Command Line Interface. Ejecute el siguiente comando y asegúrese de 12abc34d567e8fa901bc2d34e56789f0 reemplazarlo por el ID de detector de la cuenta de GuardDuty administrador delegado para la región actual.

Para encontrar el correspondiente detectorId a tu cuenta y a tu región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'

Elija el método de acceso que prefiera para habilitar S3 Protection para la cuenta de GuardDuty administrador delegado.

Console

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Inicie sesión con la cuenta de administrador.

  2. Realice una de las siguientes acciones:

    Uso de la página Protección de S3

    1. En el panel de navegación, elija Protección de S3.

    2. Elija Habilitar para todas las cuentas. Esta acción habilita automáticamente la protección de S3 para las cuentas nuevas y existentes de la organización.

    3. Seleccione Save.

      nota

      La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

    Uso de la página Cuentas

    1. En el panel de navegación, elija Cuentas.

    2. En la página Cuentas, selecciona Auto-enabletus preferencias antes de Añadir cuentas por invitación.

    3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para todas las cuentas en Protección de S3.

    4. Seleccione Save.

    Si no puede utilizar la opción Habilitar para todas las cuentas, consulte Habilitar de forma selectiva la S3 Protection en las cuentas de miembro.

API/CLI

  • Para habilitar S3 Protection de forma selectiva para sus cuentas de miembros, invoque la operación de la updateMemberDetectorsAPI con la suya propia. detector ID

  • En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Asegúrese de sustituirla por 12abc34d567e8fa901bc2d34e56789f0 la detector-id de la cuenta de GuardDuty administrador delegado y. 111122223333

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la S3 Protection en todas las cuentas de miembros activas existentes de la organización.

Console

  1. Inicia sesión en Consola de administración de AWS y abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

  2. En el panel de navegación, elija S3 Protection.

  3. En la página S3 Protection, puede ver el estado actual de la configuración. En la sección Cuentas de miembros activas, seleccione Acciones.

  4. En el menú desplegable Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.

  5. Elija Confirmar.

API/CLI

  • Para habilitar S3 Protection de forma selectiva para sus cuentas de miembros, invoque la operación de la updateMemberDetectorsAPI con la suya propia. detector ID

  • En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Asegúrese de sustituirla por 12abc34d567e8fa901bc2d34e56789f0 la detector-id de la cuenta de GuardDuty administrador delegado y. 111122223333

    Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    nota

    También puede pasar una lista de ID de cuentas separadas por un espacio.

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija su método de acceso preferido para habilitar la S3 Protection para las cuentas nuevas que se unan a la organización.

Console

La cuenta de GuardDuty administrador delegado puede habilitar nuevas cuentas de miembros en una organización a través de la consola, desde la página de Protección de S3 o desde la página de Cuentas.

Habilitación automática de la S3 Protection para las cuentas de nuevos miembros

  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. Realice una de las siguientes acciones:

    • Uso de la página S3 Protection:

      1. En el panel de navegación, elija S3 Protection.

      2. En la página S3 Protection, seleccione Editar.

      3. Elija Configurar cuentas manualmente.

      4. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que cada vez que una nueva cuenta se una a su organización, la S3 Protection se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

      5. Seleccione Save.

    • Mediante la página Cuentas:

      1. En el panel de navegación, elija Cuentas.

      2. En la página Cuentas, seleccione Auto-enablelas preferencias.

      3. En la ventana Administrar preferencias de habilitación automática, seleccione Habilitar para las nuevas cuentas en S3 Protection.

      4. Seleccione Save.

API/CLI

  • Para habilitar S3 Protection de forma selectiva para sus cuentas de miembros, invoque la operación de la UpdateOrganizationConfigurationAPI con la suya propia. detector ID

  • En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Establezca las preferencias para habilitar o deshabilitar automáticamente el plan de protección en esa región para las nuevas cuentas (NEW) que se unan a la organización, todas las cuentas (ALL) o ninguna de las cuentas (NONE) de la organización. Para obtener más información, consulte auto EnableOrganizationMembers. Según sus preferencias, es posible que deba sustituir NEW por ALL o NONE.

    Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'

  • Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

Elija el método de acceso que prefiera para habilitar o desactivar de forma selectiva la S3 Protection en las cuentas de miembro.

Console

  1. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

  2. En el panel de navegación, elija Cuentas.

    En la página Cuentas, revise la columna S3 Protection para ver el estado de su cuenta de miembro.

  3. Para habilitar de forma selectiva la S3 Protection

    Seleccione la cuenta para la que desee habilitar la S3 Protection. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable Editar planes de protección, seleccione S3Pro y, a continuación, elija la opción adecuada.

API/CLI

Para habilitar la S3 Protection de forma selectiva para las cuentas de miembro, ejecute la operación de la API updateMemberDetectors con el ID de detector propio. En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Para desactivarlo, sustituya true por false.

Para encontrar las detectorId de tu cuenta y región actuales, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
nota

También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de UnprocessedAccounts vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

nota

Si utiliza scripts para incorporar nuevas cuentas y desea deshabilitar la S3 Protection en sus nuevas cuentas, puede modificar la operación de la API createDetector con el objeto dataSources opcional, tal y como se describe en este tema.