Respuesta ante incidentes de seguridad de AWS y AWS Organizations - AWS Organizations
Roles vinculados a serviciosPrincipal del servicioHabilitar el acceso de confianzaDeshabilitar el acceso de confianzaHabilitar un administrador delegadoDeshabilitación de un administrador delegado para la Respuesta ante incidentes de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Respuesta ante incidentes de seguridad de AWS y AWS Organizations

La Respuesta ante incidentes de seguridad de AWS es un servicio de seguridad que brinda asistencia interrumpida, en vivo y asistida por personas, para ayudar a los clientes a responder rápidamente ante incidentes de ciberseguridad, como el robo de credencial y los ataques de ransomware. Gracias a su integración con Organizations, se habilita la cobertura de seguridad para su organización. Para obtener más información, consulte la Administración de las cuentas de la Respuesta ante incidentes de seguridad de AWS con AWS Organizations en la Guía del usuario de Respuesta ante incidentes de seguridad.

Utilice la siguiente información para permitir integrar la Respuesta ante incidentes de seguridad de AWS con AWS Organizations,

Roles vinculados al servicio creados al habilitar la integración

Los siguientes roles vinculados al servicio se crean automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza.

  • AWSServiceRoleForSecurityIncidentResponse: se utiliza para crear una membresía de la Respuesta ante incidentes de seguridad. Es la suscripción al servicio mediante AWS Organizations.

  • AWSServiceRoleForSecurityIncidentResponse_Triage: se utiliza únicamente cuando se habilita la característica de clasificación durante el registro.

Entidades principales del servicio utilizados por la Respuesta ante incidentes de seguridad

Los roles vinculados al servicio de la sección anterior solo pueden ser asumidos por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados al servicio utilizados por la Respuesta ante incidentes de seguridad otorgan acceso a la siguiente entidad principal de servicio:

  • security-ir.amazonaws.com

Habilitación de un acceso de confianza para la Respuesta ante incidentes de seguridad

Al habilitar un acceso de confianza a la Respuesta ante incidentes de seguridad, el servicio puede realizar un seguimiento de la estructura de su organización y garantizar que todas sus cuentas cuenten con una cobertura activa contra los incidentes de seguridad. Además, permite que el servicio utilice un rol vinculado al servicio en las cuentas de miembros para las capacidades de clasificación cuando se habilita la característica de clasificación.

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Puede habilitar el acceso de confianza mediante la consola de la Respuesta ante incidentes de seguridad de AWS o la consola de AWS Organizations.

importante

Le recomendamos que, siempre que sea posible, utilice la consola de la Respuesta ante incidentes de seguridad de AWS o las herramientas para habilitar la integración con Organizations. Esto le permite a la Respuesta ante incidentes de seguridad de AWS realizar cualquier configuración necesaria, como la creación de los recursos necesarios para el servicio. Continúe con estos pasos solo si no puede habilitar la integración utilizando las herramientas proporcionadas por la Respuesta ante incidentes de seguridad de AWS. Para obtener más información, consulte esta nota.

Si habilita el acceso de confianza mediante la consola o las herramientas de la Respuesta ante incidentes de seguridad de AWS, no será necesario completar estos pasos.

Organizations habilita automáticamente el acceso de confianza de la organización al utilizar la consola de la Respuesta ante incidentes de seguridad para la configuración y la administración. Si usa la CLI o el SDK de la Respuesta ante incidentes de seguridad, debe habilitarla manualmente mediante la API EnableAWSServiceAccess. Para obtener información sobre cómo habilitar el acceso de confianza mediante la consola de la Respuesta ante incidentes de seguridad, consulte Habilitar el acceso de confianza para la administración de cuentas de AWS en la Guía del usuario de la Respuesta ante incidentes de seguridad.

Puede habilitar el acceso de confianza mediante la consola AWS Organizations, ejecutando un comando AWS CLI, o llamando a una operación de API en uno de los SDK de AWS.

Consola de administración de AWS
Para habilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Seleccione Respuesta ante incidentes de seguridad de AWS en la lista de servicios.

  4. Elija Habilitar acceso de confianza.

  5. En el cuadro de diálogo Habilitar el acceso de confianza para la Respuesta ante incidentes de seguridad de AWS, escriba habilitar para confirmar y, a continuación, elija Habilitar el acceso de confianza.

  6. Si usted solo es el administrador de AWS Organizations, entonces comuníquele al administrador de la Respuesta ante incidentes de seguridad de AWS que ahora puede habilitar ese servicio para trabajar con AWS Organizations desde la consola de servicio.

AWS CLI, AWS API
Para habilitar el acceso de confianza mediante OrganizationsCLI/SDK

Utilice los siguientes comandos de la AWS CLI o las operaciones de API para habilitar el acceso del servicio de confianza:

  • AWS CLI: enable-aws-service-access

    Ejecute el siguiente comando para habilitar la Respuesta ante incidentes de seguridad de AWS como servicio de confianza con Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal security-ir.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • API de AWS: EnableAWSServiceAccess

Deshabilitación del acceso de confianza con la Respuesta ante incidentes de seguridad

Solo un administrador en la cuenta de administración de Organizations puede deshabilitar el acceso de confianza con la Respuesta ante incidentes de seguridad.

Solo se puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la consola AWS Organizations, la ejecución de una AWS CLI de Organizations, o llamando a una operación de API de Organizations en uno de los SDK de AWS.

Consola de administración de AWS
Para deshabilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Seleccione Respuesta ante incidentes de seguridad de AWS en la lista de servicios.

  4. Seleccione Deshabilitar el acceso de confianza.

  5. En el cuadro de diálogo Deshabilitar el acceso de confianza para la Respuesta ante incidentes de seguridad de AWS, escriba deshabilitar para confirmar y, a continuación, elija Deshabilitar el acceso de confianza.

  6. Si usted solo es el administrador de AWS Organizations, entonces comuníquele al administrador de la Respuesta ante incidentes de seguridad de AWS que ahora puede deshabilitar ese servicio para que no trabaje con AWS Organizations al utilizar la consola de servicio o las herramientas.

AWS CLI, AWS API
Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

  • AWS CLI: disable-aws-service-access

    Ejecute el siguiente comando para deshabilitar la Respuesta ante incidentes de seguridad de AWS como servicio de confianza con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal security-ir.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • API de AWS: DisableAWSServiceAccess

Habilitación de una cuenta de administrador delegado para la Respuesta ante incidentes de seguridad.

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y los roles de esa cuenta pueden realizar acciones administrativas para la Respuesta ante incidentes de seguridad, que, de otro modo, solo podrían realizar los usuarios o roles en la cuenta de administración de la organización. Esto ayuda a separar la administración de la organización de la administración de la Respuesta ante incidentes de seguridad. Para obtener más información, consulte la Administración de las cuentas de la Respuesta ante incidentes de seguridad de AWS con AWS Organizations en la Guía del usuario de Respuesta ante incidentes de seguridad.

Permisos mínimos

Solo un usuario o rol de la cuenta de administración de Organizations puede configurar una cuenta de miembro como administrador delegado para la Respuesta ante incidentes de seguridad en la organización

Para obtener información sobre cómo configurar un administrador delegado mediante la consola de Respuesta ante incidentes de seguridad, consulte Designación de una cuenta de administrador delegado de la Respuesta ante incidentes de seguridad en la Guía del usuario de Respuesta ante incidentes de seguridad.

AWS CLI, AWS API

Si desea configurar una cuenta de administrador delegada mediante el CLI AWS o uno de los SDK de AWS, puede usar los siguientes comandos:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal security-ir.amazonaws.com

  • AWS SDK: llame a la operación RegisterDelegatedAdministrator de Organizations y al número de ID de la cuenta de miembro e identifique el servicio de cuenta security-ir.amazonaws.com como parámetros.

Deshabilitación de un administrador delegado para la Respuesta ante incidentes de seguridad

importante

Si la membresía se creó desde la cuenta de administrador delegado, anular el registro del administrador delegado es una acción destructiva y provocará una interrupción del servicio. Cómo volver a registrar un administrador delegado:

  1. Inicie sesión en la consola de Respuesta ante incidentes de seguridad en https://console.aws.amazon.com/security-ir/home#/membership/settings

  2. Cancele la suscripción desde la consola de servicio. La membresía permanece activa hasta el final del ciclo de facturación.

  3. Tras cancelada la membresía, deshabilite el acceso al servicio mediante la consola, la CLI o el SDK de Organizations.

Solo un administrador de la cuenta de administración de Organizations puede eliminar un administrador delegado para la Respuesta ante incidentes de seguridad. Puede eliminar una cuenta de administrador delegado con la operación DeregisterDelegatedAdministrator de la CLI o SDK de Organizations.