AWS Respuesta a incidentes de seguridad y AWS Organizations - AWS Organizations
Roles vinculados a serviciosEntidades principales del servicioHabilite el acceso confiableDeshabilitar el acceso de confianzaHabilitar un administrador delegadoDeshabilitación de un administrador delegado para la Respuesta ante incidentes de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Respuesta a incidentes de seguridad y AWS Organizations

AWS Security Incident Response es un servicio de seguridad que brinda asistencia en vivo y asistida por personas las 24 horas del día, los 7 días de la semana, para ayudar a los clientes a responder rápidamente a los incidentes de ciberseguridad, como el robo de credenciales Gracias a su integración con Organizations, se habilita la cobertura de seguridad para su organización. Para obtener más información, consulte Gestión de las cuentas de respuesta a incidentes de AWS seguridad AWS Organizations en la Guía del usuario de respuesta a incidentes de seguridad.

Utilice la siguiente información para ayudarle a integrar AWS Security Incident Response con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

Los siguientes roles vinculados al servicio se crean automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza.

  • AWSServiceRoleForSecurityIncidentResponse- se utiliza para crear la membresía de Security Incident Response: su suscripción al servicio a través de AWS Organizations.

  • AWSServiceRoleForSecurityIncidentResponse_Triage: se utiliza únicamente cuando se habilita la característica de clasificación durante el registro.

Entidades principales del servicio utilizados por la Respuesta ante incidentes de seguridad

Los roles vinculados al servicio de la sección anterior solo pueden ser asumidos por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados al servicio utilizados por la Respuesta ante incidentes de seguridad otorgan acceso a la siguiente entidad principal de servicio:

  • security-ir.amazonaws.com

Habilitación de un acceso de confianza para la Respuesta ante incidentes de seguridad

Al habilitar un acceso de confianza a la Respuesta ante incidentes de seguridad, el servicio puede realizar un seguimiento de la estructura de su organización y garantizar que todas sus cuentas cuenten con una cobertura activa contra los incidentes de seguridad. Además, permite que el servicio utilice un rol vinculado al servicio en las cuentas de miembros para las capacidades de clasificación cuando se habilita la característica de clasificación.

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Puede habilitar el acceso confiable mediante la consola de respuesta a incidentes de AWS seguridad o la AWS Organizations consola.

importante

Recomendamos encarecidamente que, siempre que sea posible, utilice la consola o las herramientas de AWS Security Incident Response para permitir la integración con Organizations. Esto permite a AWS Security Incident Response realizar cualquier configuración que necesite, como la creación de los recursos que necesite el servicio. Siga estos pasos solo si no puede habilitar la integración con las herramientas que proporciona AWS Security Incident Response. Para obtener más información, consulte esta nota.

Si habilita el acceso confiable mediante la consola o las herramientas de respuesta a incidentes de AWS seguridad, no necesitará completar estos pasos.

Organizations habilita automáticamente el acceso de confianza de la organización al utilizar la consola de la Respuesta ante incidentes de seguridad para la configuración y la administración. Si utilizas la respuesta a incidentes de seguridad CLI/SDK , tendrás que habilitar manualmente el acceso confiable mediante la API Enable AWSService Access. Para obtener información sobre cómo habilitar el acceso confiable a través de la consola de respuesta a incidentes de seguridad, consulte Habilitar el acceso confiable para la administración de AWS cuentas en la Guía del usuario de respuesta a incidentes de seguridad.

Puede habilitar el acceso confiable mediante la AWS Organizations consola, ejecutando un AWS CLI comando o llamando a una operación de API en una de las AWS SDKs.

Consola de administración de AWS
Para habilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Seleccione Respuesta ante incidentes de seguridad de AWS en la lista de servicios.

  4. Elija Habilitar acceso de confianza.

  5. En el cuadro de diálogo Habilitar el acceso de confianza para la respuesta a incidentes de AWS seguridad, escriba habilitar para confirmar y, a continuación, seleccione Habilitar el acceso de confianza.

  6. Si es el administrador de Only AWS Organizations, dígale al administrador de AWS Security Incident Response que ahora puede habilitar el funcionamiento de ese servicio AWS Organizations desde la consola de servicio.

AWS CLI, AWS API
Para habilitar el acceso de confianza mediante OrganizationsCLI/SDK

Utilice los siguientes AWS CLI comandos u operaciones de API para habilitar el acceso a un servicio confiable:

  • AWS CLI: enable-aws-service-access

    Ejecute el siguiente comando para habilitar AWS Security Incident Response como un servicio de confianza en Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal security-ir.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • AWS API: habilita el AWSService acceso

Deshabilitación del acceso de confianza con la Respuesta ante incidentes de seguridad

Solo un administrador en la cuenta de administración de Organizations puede deshabilitar el acceso de confianza con la Respuesta ante incidentes de seguridad.

Solo se puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola, ejecutando un AWS CLI comando de Organizations o llamando a una operación de la API de Organizations en uno de los AWS SDKs.

Consola de administración de AWS
Para deshabilitar el acceso de confianza mediante la consola de Organizations

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. Seleccione Respuesta ante incidentes de seguridad de AWS en la lista de servicios.

  4. Seleccione Deshabilitar el acceso de confianza.

  5. En el cuadro de diálogo Desactivar el acceso de confianza para la respuesta a incidentes de AWS seguridad, escriba disable para confirmar y, a continuación, seleccione Inhabilitar el acceso de confianza.

  6. Si solo es el administrador de Security Incident Response AWS Organizations, dígale al administrador de AWS Security Incident Response que ahora puede deshabilitar el funcionamiento de ese servicio AWS Organizations mediante la consola de servicio o las herramientas.

AWS CLI, AWS API
Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede usar los siguientes AWS CLI comandos u operaciones de API para deshabilitar el acceso a un servicio confiable:

  • AWS CLI: disable-aws-service-access

    Ejecute el siguiente comando para deshabilitar AWS Security Incident Response como un servicio de confianza en Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal security-ir.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • AWS API: inhabilitar el AWSService acceso

Habilitación de una cuenta de administrador delegado para la Respuesta ante incidentes de seguridad.

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y los roles de esa cuenta pueden realizar acciones administrativas para la Respuesta ante incidentes de seguridad, que, de otro modo, solo podrían realizar los usuarios o roles en la cuenta de administración de la organización. Esto ayuda a separar la administración de la organización de la administración de la Respuesta ante incidentes de seguridad. Para obtener más información, consulte Gestión de cuentas AWS de respuesta a incidentes de seguridad AWS Organizations en la Guía del usuario de respuesta a incidentes de seguridad.

Permisos mínimos

Solo un usuario o rol de la cuenta de administración de Organizations puede configurar una cuenta de miembro como administrador delegado para la Respuesta ante incidentes de seguridad en la organización

Para obtener información sobre cómo configurar un administrador delegado mediante la consola de Respuesta ante incidentes de seguridad, consulte Designación de una cuenta de administrador delegado de la Respuesta ante incidentes de seguridad en la Guía del usuario de Respuesta ante incidentes de seguridad.

AWS CLI, AWS API

Si desea configurar una cuenta de administrador delegado mediante la AWS CLI o una de las AWS SDKs, puede utilizar los siguientes comandos:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal security-ir.amazonaws.com

  • AWS SDK: llame a la RegisterDelegatedAdministrator operación de Organizations y al número de identificación de la cuenta del miembro e identifique el servicio de la cuenta security-ir.amazonaws.com como parámetros.

Deshabilitación de un administrador delegado para la Respuesta ante incidentes de seguridad

importante

Si la membresía se creó desde la cuenta de administrador delegado, anular el registro del administrador delegado es una acción destructiva y provocará una interrupción del servicio. Cómo volver a registrar un administrador delegado:

  1. Inicie sesión en la consola de respuesta a incidentes de seguridad en https://console.aws.amazon.com/security-ir/ home#/membership/settings

  2. Cancele la suscripción desde la consola de servicio. La membresía permanece activa hasta el final del ciclo de facturación.

  3. Tras cancelada la membresía, deshabilite el acceso al servicio mediante la consola, la CLI o el SDK de Organizations.

Solo un administrador de la cuenta de administración de Organizations puede eliminar un administrador delegado para la Respuesta ante incidentes de seguridad. Puede eliminar una cuenta de administrador delegado con la operación DeregisterDelegatedAdministrator de la CLI o SDK de Organizations.