Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administrar GuardDuty cuentas con AWS Organizations
<a name="guardduty_organizations"></a>

En una AWS organización, la cuenta de administración puede designar cualquier cuenta de esta organización como cuenta de administrador delegado. GuardDuty Para esta cuenta de administrador, GuardDuty se habilita automáticamente solo en la cuenta actual Región de AWS. De forma predeterminada, la cuenta de administrador puede habilitar y administrar todas GuardDuty las cuentas de los miembros de la organización dentro de esa región. La cuenta de administrador puede ver y añadir miembros a esta AWS organización.

En las siguientes secciones, se explican diversas tareas que puede realizar como cuenta de GuardDuty administrador delegado.

**Topics**
+ [Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations](#delegated_admin_important)
+ [Permisos necesarios para designar una cuenta de GuardDuty administrador delegado](organizations_permissions.md)
+ [Designación de una cuenta de administrador delegado GuardDuty](delegated-admin-designate.md)
+ [Configuración de las preferencias de habilitación automática de la organización](set-guardduty-auto-enable-preferences.md)
+ [Cómo agregar miembros a la organización](add-member-accounts-guardduty-organization.md)
+ [(Opcional) Habilitar planes de protección para cuentas de miembro existentes](guardduty_quick_protection_plan_config.md)
+ [Administre continuamente sus cuentas de miembros dentro de GuardDuty](maintaining-guardduty-organization-delegated-admin.md)
+ [Suspensión GuardDuty para cuenta de miembro](suspending-guardduty-member-account-from-admin.md)
+ [Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md)
+ [Eliminar las cuentas de los miembros de GuardDuty la organización](delete-member-accounts-guardduty-organization.md)
+ [Cambiar la cuenta de GuardDuty administrador delegado](change-guardduty-delegated-admin.md)

## Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations
<a name="delegated_admin_important"></a>

Las siguientes consideraciones y recomendaciones pueden ayudarle a entender cómo funciona una cuenta de GuardDuty administrador delegado en GuardDuty:

**Una cuenta de GuardDuty administrador delegado puede gestionar un máximo de 50 000 miembros.**  
Hay un límite de 50 000 cuentas de miembros por cuenta de GuardDuty administrador delegado. Esto incluye las cuentas de miembros que se agreguen a través de su organización AWS Organizations o las que hayan aceptado la invitación de la cuenta de GuardDuty administrador para unirse a su organización. Sin embargo, puede haber más de 50 000 cuentas en su AWS organización.  
Si superas el límite de 50 000 cuentas de CloudWatch miembros, recibirás una notificación y un correo electrónico a la cuenta de GuardDuty administrador delegado designada. Panel de estado

**Una cuenta de GuardDuty administrador delegado es regional.**  
A diferencia AWS Organizations de, GuardDuty es un servicio regional. Las cuentas de GuardDuty administrador delegado y sus cuentas de miembros deben añadirse AWS Organizations en cada región deseada en la que se haya GuardDuty activado. Si la cuenta de administración de la organización designa una cuenta de GuardDuty administrador delegado solo en EE. UU. Este (Norte de Virginia), la cuenta de GuardDuty administrador delegado solo administrará las cuentas de los miembros que se agreguen a la organización en esa región. Para obtener más información sobre la paridad de funciones en las regiones en las que GuardDuty está disponible, consulte. [Regiones y puntos de conexión](guardduty_regions.md)

**Casos especiales para las regiones incluidas**  
+ Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (`NEW`) o para todas las cuentas de miembros (`ALL`), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra **Cuentas** en el panel de navegación de la [GuardDuty consola](https://console.aws.amazon.com/guardduty/) o utilice la API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)
+ Cuando trabaje con la configuración de GuardDuty activación automática establecida en`NEW`, asegúrese de que se cumpla la siguiente secuencia:

  1. Las cuentas de miembro se incluyen en una región incluida.

  1. Agregue las cuentas de miembro a la organización en AWS Organizations.

  Si cambias el orden de estos pasos, la configuración de GuardDuty activación automática con **no `NEW` funcionará** en la región de suscripción específica porque la cuenta de miembro ya no es nueva en la organización. GuardDuty ofrece dos soluciones alternativas: 
  + Establezca la configuración de GuardDuty activación automática en`ALL`, que incluye las cuentas de los miembros nuevas y existentes. En este caso, el orden de estos pasos no es relevante.
  + Si la cuenta de un miembro ya forma parte de su organización, gestione la GuardDuty configuración de esta cuenta de forma individual en la región de suscripción específica mediante la GuardDuty consola o la API.

**Es obligatorio para que una AWS organización tenga la misma cuenta de GuardDuty administrador delegado en todas las. Regiones de AWS**  
Debe designar una cuenta de miembro como cuenta de GuardDuty administrador delegado en todos los Regiones de AWS lugares GuardDuty que estén habilitados. Por ejemplo, si designa una cuenta de miembro *111122223333* en*Europe (Ireland)*, no podrá designar otra cuenta de miembro *555555555555* en*Canada (Central)*. Es obligatorio que utilices la misma cuenta que la cuenta de GuardDuty administrador delegado en todas las demás regiones.  
Puede designar una nueva cuenta de GuardDuty administrador delegado en cualquier momento. Para obtener más información sobre cómo eliminar la cuenta de GuardDuty administrador delegado existente, consulte. [Cambiar la cuenta de GuardDuty administrador delegado](change-guardduty-delegated-admin.md)

**No se recomienda configurar la cuenta de administración de la organización como cuenta de GuardDuty administrador delegado.**  
La cuenta de administración de su organización puede ser la cuenta de GuardDuty administrador delegado. Sin embargo, las prácticas recomendadas de seguridad de AWS siguen el principio de privilegios mínimos y no recomiendan esta configuración.

**El cambio de una cuenta de GuardDuty administrador delegado no desactiva las cuentas de GuardDuty los miembros.**  
Si elimina una cuenta de GuardDuty administrador delegado, GuardDuty elimina todas las cuentas de miembro asociadas a esta cuenta de administrador delegado GuardDuty . GuardDuty sigue habilitada para todas estas cuentas de miembros.

# Permisos necesarios para designar una cuenta de GuardDuty administrador delegado
<a name="organizations_permissions"></a>

Para empezar a usar Amazon GuardDuty con AWS Organizations, la cuenta AWS Organizations de administración de la organización designa una cuenta como cuenta de GuardDuty administrador delegado. Esto se habilita GuardDuty como un servicio confiable en. AWS Organizations También habilita GuardDuty la cuenta de GuardDuty administrador delegado y también permite que la cuenta de administrador delegado active y gestione otras cuentas GuardDuty de la organización en la región actual. Para obtener información sobre cómo se conceden estos permisos, consulte [Utilización AWS Organizations con otros AWS servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Como cuenta de AWS Organizations administración, antes de designar la cuenta de GuardDuty administrador delegado para su organización, compruebe que puede realizar la siguiente GuardDuty acción:`guardduty:EnableOrganizationAdminAccount`. Esta acción le permite designar la cuenta de GuardDuty administrador delegado para su organización mediante. GuardDuty También debe asegurarse de que está autorizado a realizar las AWS Organizations acciones que le ayuden a recuperar información sobre su organización.

Para conceder estos permisos, incluye la siguiente declaración en la política AWS Identity and Access Management (IAM) de tu cuenta:

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

Si desea designar su cuenta AWS Organizations de administración como cuenta de GuardDuty administrador delegado, su cuenta también necesitará la acción de IAM:. `CreateServiceLinkedRole` Esta acción le permite inicializar la cuenta de GuardDuty administración. Sin embargo, revise [Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations](guardduty_organizations.md#delegated_admin_important) antes de proceder a agregar los permisos. 

Para continuar designando la cuenta de administración como cuenta de GuardDuty administrador delegado, añada la siguiente declaración a la política de IAM y *111122223333* sustitúyala por el Cuenta de AWS ID de la cuenta de administración de su organización:

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# Designación de una cuenta de administrador delegado GuardDuty
<a name="delegated-admin-designate"></a>

En esta sección se indican los pasos para designar un administrador delegado en la organización de GuardDuty. 

Como cuenta de administración de la AWS organización, asegúrese de leer detenidamente el funcionamiento [Recomendaciones y consideraciones](guardduty_organizations.md#delegated_admin_important) de una cuenta de GuardDuty administrador delegado. Antes de continuar, asegúrese de contar con [Permisos necesarios para designar una cuenta de GuardDuty administrador delegado](organizations_permissions.md).

Elija un método de acceso preferido para designar una cuenta de GuardDuty administrador delegado para su organización. Solo una cuenta de administración puede realizar este paso.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice las credenciales de la cuenta de administración de la organización de AWS Organizations .

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee designar la cuenta de GuardDuty administrador delegado de su organización.

1. Realice una de las siguientes acciones, en función de si GuardDuty está habilitada para su cuenta de administración en la región actual:
   + Si no GuardDuty está activado, selecciona **Amazon GuardDuty : todas las funciones** y elige **Comenzar**. Esta acción te llevará a la GuardDuty página **de bienvenida**.
   + Si GuardDuty está habilitada, selecciona **Configuración** en el panel de navegación.

1. En **Administrador delegado**, introduzca el Cuenta de AWS ID de 12 dígitos de la cuenta que desee designar como cuenta de GuardDuty administrador delegado de la organización.

   Asegúrese de activar la cuenta GuardDuty de GuardDuty administrador delegado recién designada; de lo contrario, no podrá realizar ninguna acción.

1. Elija **Delegar**.

1. (Recomendado) Repita los pasos anteriores para designar la cuenta de GuardDuty administrador delegado en cada una de las cuentas que Región de AWS haya GuardDuty activado.

------
#### [ API/CLI ]

1. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)con las credenciales de la cuenta Cuenta de AWS de administración de la organización.
   + Alternativamente, puede usarlo AWS Command Line Interface para hacer esto. El siguiente AWS CLI comando designa una cuenta de GuardDuty administrador delegado únicamente para su región actual. Ejecute el siguiente AWS CLI comando y asegúrese de *111111111111* reemplazarlo por el Cuenta de AWS ID de la cuenta que desea designar como cuenta de administrador delegado GuardDuty :

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     Para designar la cuenta de GuardDuty administrador delegado para otras regiones, especifique la región en el AWS CLI comando. El siguiente ejemplo muestra cómo habilitar una cuenta de GuardDuty administrador delegado en el oeste de EE. UU. (Oregón). Asegúrese de *us-west-2* sustituirla por la región a la que desee asignar la cuenta de GuardDuty administrador delegado.

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     Para obtener información sobre la Regiones de AWS ubicación GuardDuty disponible, consulte[Regiones y puntos de conexión](guardduty_regions.md).

   Si GuardDuty está deshabilitado para tu cuenta de GuardDuty administrador delegado, no podrá realizar ninguna acción. Si aún no lo ha hecho, asegúrese de activar la GuardDuty cuenta de GuardDuty administrador delegado recién designada.

1. (Recomendado) Repita los pasos anteriores para designar la cuenta de GuardDuty administrador delegado en cada uno de los lugares en los que Región de AWS haya GuardDuty activado la cuenta.

------

# Configuración de las preferencias de habilitación automática de la organización
<a name="set-guardduty-auto-enable-preferences"></a>

La función de organización de activación automática le GuardDuty ayuda a establecer el mismo estado GuardDuty y el estado de los planes de protección para `ALL` las cuentas existentes o de `NEW` los miembros de su organización, en un solo paso. Del mismo modo, también puede especificar cuándo no desea realizar ninguna acción en las cuentas de miembro. Para ello, seleccione `NONE`. En los siguientes pasos se explica esta configuración y también se indica cuándo conviene utilizar un ajuste específico.

**nota**  
Puede configurar las preferencias de activación automática para todos los planes de protección excepto [Protección contra malware para S3](gdu-malware-protection-s3.md).

Elija un método de acceso preferente para actualizar las preferencias de habilitación automática de la organización.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador.

1. En el panel de navegación, elija **Cuentas**.

   La página **Cuentas** proporciona opciones de configuración para que la cuenta de GuardDuty administrador se **active automáticamente** GuardDuty y los planes de protección opcionales en nombre de las cuentas de los miembros que pertenecen a la organización.

1. Para actualizar la configuración de habilitación automática existente, seleccione **Editar**.  
![\[Al seleccionar Editar, se actualizarán las preferencias de habilitación automática en nombre de las cuentas de miembro de la organización.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   Este soporte está disponible para configurar GuardDuty y todos los planes de protección opcionales compatibles con usted. Región de AWS Puede seleccionar una de las siguientes opciones de configuración GuardDuty en nombre de sus cuentas de miembro:
   + **Habilitar para todas las cuentas (`ALL`)**: seleccione esta opción para habilitar la opción correspondiente para todas las cuentas de una organización. Esto incluye las cuentas nuevas que se unen a la organización y las cuentas que pueden haber sido suspendidas o eliminadas de la organización. Esto también incluye la cuenta de GuardDuty administrador delegado.
**nota**  
Es posible que la actualización de la configuración de todas las cuentas de miembro tarde hasta 24 horas.
   + **Habilitación automática para cuentas nuevas (`NEW`)**: seleccione esta opción para habilitar GuardDuty automáticamente los planes de protección opcionales solo para las cuentas de los nuevos miembros cuando se unan a su organización.
   + **No habilitar (`NONE`)**: seleccione esta opción para impedir que se habilite la opción correspondiente en las cuentas de su organización. En este caso, la cuenta de GuardDuty administrador administrará cada cuenta de forma individual. 

     Al actualizar la configuración de habilitación automática de `ALL` o `NEW` a `NONE`, esta acción no desactiva la opción correspondiente para las cuentas existentes. Esta configuración se aplicará a las nuevas cuentas que se unan a la organización. Después de actualizar la configuración de habilitación automática, ninguna cuenta nueva tendrá la opción correspondiente como habilitada.
**nota**  
Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (`NEW`) o para todas las cuentas de miembros (`ALL`), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra **Cuentas** en el panel de navegación de la [GuardDuty consola](https://console.aws.amazon.com/guardduty/) o utilice la API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)

1. Seleccione **Save changes (Guardar cambios)**.

1. (Opcional) si desea utilizar las mismas preferencias en cada región, actualice las preferencias en cada una de las regiones admitidas por separado.

   Es posible que algunos de los planes de protección opcionales no estén disponibles en todos los Regiones de AWS lugares GuardDuty disponibles. Para obtener más información, consulte [Regiones y puntos de conexión](guardduty_regions.md).

------
#### [ API/CLI ]

1. Utilice [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)las credenciales de la cuenta de GuardDuty administrador delegado para configurar GuardDuty automáticamente los planes de protección opcionales en esa región para su organización. Para obtener información sobre las distintas configuraciones de activación automática, consulte [autoEnableOrganizationMiembros](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers).

   Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   Para configurar las preferencias de habilitación automática para cualquiera de los planes de protección opcionales admitidos en su región, siga los pasos que se indican en las secciones de la documentación correspondientes a cada plan de protección.

1. Puede validar las preferencias de su organización en la región actual. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html). Asegúrese de especificar el ID de detector de la cuenta de GuardDuty administrador delegado.
**nota**  
La actualización de la configuración de todas las cuentas de miembros puede tardar hasta 24 horas en efectuarse. 

1. Como alternativa, ejecute el siguiente AWS CLI comando para configurar las preferencias y habilitar o deshabilitar automáticamente GuardDuty en esa región las nuevas cuentas (`NEW`) que se unan a la organización, todas las cuentas (`ALL`) o ninguna de las cuentas (`NONE`) de la organización. Para obtener más información, consulte [autoEnableOrganizationMiembros](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers). Según sus preferencias, es posible que deba sustituir `NEW` por `ALL` o `NONE`. Si configura el plan de protección con`ALL`, el plan de protección también se habilitará para la cuenta de GuardDuty administrador delegado. Asegúrese de especificar el ID del detector de la cuenta de GuardDuty administrador delegado que gestiona la configuración de la organización.

   Para encontrar el `detectorId` de su cuenta y su región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. Puede validar las preferencias de su organización en la región actual. Ejecute el siguiente AWS CLI comando mediante el ID de detector de la cuenta de GuardDuty administrador delegado.

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

(Se recomienda) repita los pasos anteriores en cada región utilizando el ID de detector de la cuenta de GuardDuty administrador delegado.

**nota**  
Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (`NEW`) o para todas las cuentas de miembros (`ALL`), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra **Cuentas** en el panel de navegación de la [GuardDuty consola](https://console.aws.amazon.com/guardduty/) o utilice la API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)

------

# Cómo agregar miembros a la organización
<a name="add-member-accounts-guardduty-organization"></a>

Como cuenta de GuardDuty administrador delegado, puede añadir una o varias Cuentas de AWS a la GuardDuty organización. Al añadir una cuenta como GuardDuty miembro, se GuardDuty habilitará automáticamente en esa región. Hay una excepción a la cuenta de administración de la organización. Antes de que la cuenta de administración se añada como GuardDuty miembro, debe estar GuardDuty habilitada.

Elige el método que prefieras para añadir una cuenta de miembro a tu GuardDuty organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

   La tabla de cuentas muestra todas las cuentas de los miembros que están activas (no suspendidas Cuentas de AWS) y que pueden estar asociadas a la cuenta de GuardDuty administrador delegado. Si la cuenta de miembro está asociada a la cuenta de administrador de la organización, el **Tipo** será uno de los siguientes: **A través de Organizations** o **Por invitación**. Si una cuenta de miembro no está asociada a la cuenta de GuardDuty administrador de la organización, el **tipo** de esta cuenta de miembro es **No miembro**.

1. Seleccione una o más cuentas IDs que desee añadir como miembros. Estas cuentas IDs deben tener el **tipo** as **Via Organizations**.

   Las cuentas que se agregan por invitación no forman parte de su organización. Puede administrador dichas cuentas de forma individual. Para obtener más información, consulte [Administración de cuentas por invitación](guardduty_invitations.md).

1. Seleccione el menú desplegable **Acciones** y, a continuación, elija **Agregar miembro**. Después de añadir esta cuenta como miembro, se aplicará la GuardDuty configuración de activación automática. En función de los ajustes establecidos[Configuración de las preferencias de habilitación automática de la organización](set-guardduty-auto-enable-preferences.md), la GuardDuty configuración de estas cuentas puede cambiar. 

1. Puede seleccionar la flecha hacia abajo de la columna **Estado** para ordenar las cuentas según el estado **No es miembro** y, a continuación, elegir las cuentas que no GuardDuty estén habilitadas en la región actual.

   Si aún no se ha agregado como miembro ninguna de las cuentas que figuran en la tabla de cuentas, puedes habilitarlas GuardDuty en la región actual para todas las cuentas de la organización. Elija **Habilitar** en el encabezado de la parte superior de la página. Esta acción activa automáticamente la GuardDuty configuración de activación **automática**, de modo que GuardDuty se habilita para cualquier cuenta nueva que se una a la organización.

1. Elija **Confirmar** para agregar las cuentas como miembros. Esta acción también se activa GuardDuty para todas las cuentas seleccionadas. El **Estado** de las cuentas invitadas cambiará a **Habilitado**.

1. (Recomendado) Repita estos pasos en cada una de ellas Región de AWS. Esto garantiza que la cuenta de GuardDuty administrador delegado pueda gestionar las búsquedas y otras configuraciones de las cuentas de los miembros en todas las regiones en las que haya GuardDuty activado la cuenta.

   La función de activación automática se habilita GuardDuty para todos los futuros miembros de su organización. Esto permite que su cuenta de GuardDuty administrador delegado administre los nuevos miembros que se creen o se agreguen a la organización. Cuando la cantidad de cuentas de miembro alcanza el límite de 50 000, la característica de habilitación automática se desactiva automáticamente. Si se elimina una cuenta de miembro y la cantidad total de miembros disminuye por debajo de 50 000, la característica de habilitación automática se activa de nuevo. 

------
#### [ API/CLI ]
+ Se ejecuta con [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)las credenciales de la cuenta de GuardDuty administrador delegado.

  Debe especificar el identificador del detector regional de la cuenta de GuardDuty administrador delegado y los detalles de la cuenta (Cuenta de AWS IDs y las direcciones de correo electrónico correspondientes) de las cuentas que desee añadir como GuardDuty miembros. Puede crear uno o varios miembros con esta operación de API.

  Cuando ejecute CreateMembers en la organización, las preferencias de habilitación automática para nuevos miembros se aplicarán a medida que nuevas cuentas de miembro se unan a la organización. Cuando se ejecuta CreateMembers con una cuenta de miembro existente, la configuración de la organización también se aplicará a los miembros existentes. Esto podría cambiar la configuración actual de las cuentas de miembro existentes.

  Ejecuta [https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)la *referencia de la AWS Organizations API* para ver todas las cuentas de la AWS organización.
  + Como alternativa, puede utilizar AWS Command Line Interface. Ejecute el siguiente comando de la AWS CLI y asegúrese de utilizar su propio ID de detector válido, su ID de Cuenta de AWS y la dirección de correo electrónico asociada al ID de la cuenta. 

    Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    Para ver una lista de todos los miembros de la organización, ejecuta el siguiente AWS CLI comando:

    ```
    aws organizations list-accounts
    ```

  Después de añadir esta cuenta como miembro, se aplicará la GuardDuty configuración de activación automática.

------

# (Opcional) Habilitar planes de protección para cuentas de miembro existentes
<a name="guardduty_quick_protection_plan_config"></a>

El siguiente procedimiento incluye los pasos para habilitar planes de protección para cuentas de miembro existentes mediante la página **Cuentas**. Para conocer los pasos para hacerlo mediante la API o AWS CLI consulte los documentos relacionados con el plan de protección específico.

Puede habilitar planes de protección para cuentas individuales a través de la página **Cuentas**.

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Utilice las credenciales de la cuenta GuardDuty de administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. Seleccione una o más cuentas donde desee configurar un plan de protección. Repita los pasos siguientes para cada plan de protección que desee configurar:

   1. Seleccione **Editar planes de protección**. 

   1. En la lista de planes de protección, elija aquel que desee configurar.

   1. Elija una de las acciones que desee llevar a cabo para este plan de protección y, a continuación, seleccione **Confirmar**.

   1. Para la cuenta seleccionada, la columna correspondiente al plan de protección configurado mostrará la configuración actualizada como **Habilitado** o **No habilitado**.

# Administre continuamente sus cuentas de miembros dentro de GuardDuty
<a name="maintaining-guardduty-organization-delegated-admin"></a>

Como cuenta de GuardDuty administrador delegado, usted es responsable de mantener la configuración GuardDuty y sus planes de protección opcionales para todas las cuentas de su organización, en cada una de ellas compatibles. Región de AWS En las siguientes secciones se proporcionan las opciones para mantener el estado de configuración de cualquiera de sus planes de protección opcionales GuardDuty o de cualquiera de sus planes de protección opcionales:

**Para mantener el estado de configuración de toda la organización en cada región**
+ **Configure las preferencias de activación automática para toda la organización mediante la GuardDuty consola**: puede habilitarla GuardDuty automáticamente para todos (`ALL`) los miembros de la organización o para los nuevos (`NEW`) miembros que se unan a la organización, o puede optar por no (`NONE`) habilitarla automáticamente para ninguno de los miembros de la organización.

  También puede configurar los mismos ajustes o ajustes diferentes para cualquiera de los planes de protección incluidos. GuardDuty

  Es posible que la actualización de la configuración de todas las cuentas de miembro de la organización tarde hasta 24 horas.
+ **Actualice las preferencias de activación automática mediante la API**: ejecute [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para configurar GuardDuty automáticamente sus planes de protección opcionales para la organización. Cuando vayas [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)a añadir nuevas cuentas de miembros a tu organización, los ajustes configurados se aplicarán automáticamente. Cuando se ejecuta CreateMembers con una cuenta de miembro existente, la configuración de la organización también se aplicará a los miembros existentes. Esto podría cambiar la configuración actual de las cuentas de miembro existentes.

  Para ver todas las cuentas de tu organización, consulta la [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)*referencia de la AWS Organizations API*.

**Para mantener el estado de configuración de las cuentas de miembro individualmente en cada región**
+ Para ver todas las cuentas de tu organización, consulta la [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)*referencia de la AWS Organizations API*.
+ Si desea que algunas cuentas de miembros tengan un estado de configuración diferente, ejecútelas [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)para cada cuenta de miembro de forma individual.

  Puede utilizar la GuardDuty consola para realizar la misma tarea accediendo a la página de **cuentas** de la GuardDuty consola.

  Para obtener información sobre cómo habilitar planes de protección para cuentas individuales ya sea mediante la consola o la API, consulte la página de configuración del plan de protección correspondiente.

# Suspensión GuardDuty para cuenta de miembro
<a name="suspending-guardduty-member-account-from-admin"></a>

Como cuenta de GuardDuty administrador delegado, puede suspender el GuardDuty servicio de una cuenta de miembro de su organización. Si lo hace, la cuenta de miembro seguirá perteneciendo a su GuardDuty organización. También puedes volver a activarlas GuardDuty para estas cuentas de miembros más adelante. Sin embargo, si finalmente desea desasociar (eliminar) esta cuenta de miembro, **después** de seguir los pasos que se indican en esta sección, deberá seguir los pasos que se indican en [Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md).

Si GuardDuty suspendes una cuenta de miembro, puedes esperar los siguientes cambios:
+ GuardDuty ya no supervisa la seguridad del AWS medio ambiente ni genera nuevos hallazgos.
+ Los resultados existentes en la cuenta de miembro permanecen intactos.
+ Una cuenta de miembro GuardDuty suspendida no conlleva ningún cargo por. GuardDuty

  Si la cuenta del miembro ha activado Malware Protection for S3 en uno o varios segmentos de su cuenta, la suspensión GuardDuty no afectará a la configuración de Malware Protection for S3. La cuenta de miembro aún incurrirá en el costo de uso correspondiente a la protección contra malware para S3. Para que la cuenta de miembro deje de utilizar la protección contra malware para S3, se debe desactivar esta característica para los buckets protegidos. Para obtener más información, consulte [Desactivar la protección contra malware para S3 para un bucket protegido](disable-malware-s3-protected-bucket.md).

Elige el método que prefieras GuardDuty para suspender la cuenta de un miembro de tu organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. En la página Cuentas, selecciona una o más cuentas que desees suspender GuardDuty.

1. Selecciona el menú desplegable **Acciones** y, a continuación, selecciona **Suspender GuardDuty**.

1. Selecciona **Suspender GuardDuty** para confirmar la selección.

   Esto cambiará el **Estado** de la cuenta de miembro a **Desactivado (suspendido)**.

   Repita los pasos anteriores en cada región adicional en la que desee desasociar o eliminar la cuenta de miembro.

------
#### [ API ]

1. Para recuperar el identificador de cuenta de miembro cuya suspensión deseas suspender GuardDuty, usa la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API. Incluya el parámetro `OnlyAssociated` en la solicitud. Si estableces el valor de este parámetro en`true`, GuardDuty devuelve una `members` matriz que proporciona detalles solo sobre las cuentas que son GuardDuty miembros actualmente.

   Como alternativa, puedes usar AWS Command Line Interface (AWS CLI) para ejecutar el siguiente comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas suspender GuardDuty esta cuenta.

1. Para suspender una o más cuentas de GuardDuty miembros, ejecuta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html)la suspensión GuardDuty de una cuenta de miembro.

   Como alternativa, puede AWS CLI ejecutar el siguiente comando:

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas suspender esta cuenta. Si tienes una lista de cuentas IDs que deseas eliminar, sepáralas con un espacio.

------

Si además desea desasociar (eliminar) esta cuenta de miembro, siga los pasos que se indican en [Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md).

# Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador
<a name="disassociate-remove-member-account-from-admin"></a>

Cuando desee dejar de configurar los GuardDuty ajustes y de acceder a los datos de una cuenta de miembro, elimine esa cuenta como cuenta de GuardDuty miembro. Puede hacerlo desasociando (eliminando) esa cuenta de la cuenta de GuardDuty administrador. 

Al desasociar una cuenta de GuardDuty miembro, ocurre lo siguiente:
+ GuardDuty permanece habilitada para la cuenta actual Región de AWS, pero la cuenta se disocia de la cuenta de administrador delegado GuardDuty .
+ La cuenta desvinculada aún aparece en el inventario de cuentas.
+ La cuenta de GuardDuty administrador ya no tiene acceso a los resultados de esta cuenta independiente.
+ El propietario de la cuenta no recibe ninguna notificación de la desvinculación.

Puede volver a agregar la cuenta desvinculada a la organización en un momento posterior.

Elija el método que prefiera para desasociar (eliminar) una cuenta de miembro de la organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. En la tabla **Cuentas**, puede eliminar una cuenta que tenga **Tipo** como **Vía Organizations** y **Estado** como **Habilitado**.

   Seleccione una o más cuentas que tengan el mismo **Tipo** y **Estado**.

1. En el menú desplegable **Acciones**, seleccione **Desasociar cuenta**.

1. Elija **Desasociar cuenta** para confirmar la opción elegida.

1. El valor de **Estado** de las cuentas seleccionadas cambiará a **No es miembro**. El recuento de **Vía Organizations (Activas/Todas)** que aparece en la esquina superior derecha de la página Cuentas cambiará de modo que se refleje la actualización.

   Repita los pasos descritos anteriormente en cada región adicional en la que desee desasociar la cuenta de miembro.

------
#### [ API ]

1. Para recuperar el ID de cuenta de la cuenta de miembro que desea eliminar, utilice la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Incluya el parámetro `OnlyAssociated` en la solicitud. Si establece el valor de este parámetro en`true`, GuardDuty devuelve una `members` matriz que proporciona detalles únicamente sobre las cuentas de las que actualmente son GuardDuty miembros.

   Como alternativa, puedes usar AWS Command Line Interface (AWS CLI) para ejecutar el siguiente comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas eliminar esta cuenta.

1. Para eliminar una o más cuentas de GuardDuty miembros, ejecute el [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)comando para eliminar la cuenta de miembro que está asociada a la cuenta de administrador.

   Como alternativa, puede AWS CLI ejecutar el siguiente comando:

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas eliminar esta cuenta. Si tiene una lista de cuentas IDs que desea eliminar, sepárelas con un espacio.

------

# Eliminar las cuentas de los miembros de GuardDuty la organización
<a name="delete-member-accounts-guardduty-organization"></a>

Como cuenta de GuardDuty administrador delegado, una vez que haya desasociado una cuenta de miembro y ya no desee conservar esa cuenta de miembro en la GuardDuty organización, puede eliminarla de la organización GuardDuty . Esta cuenta de miembro dejará de aparecer en el inventario de cuentas. Sin embargo, si no GuardDuty se suspendió en esta cuenta de miembro, la configuración GuardDuty y los planes de protección dedicados siguen siendo los mismos. Esta cuenta pasará a ser una cuenta independiente y podrá [ GuardDutyinhabilitarse automáticamente](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html). 

Este paso no eliminará la cuenta de miembro de su AWS organización.

Elige el método que prefieras para eliminar una cuenta de miembro de tu GuardDuty organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. En la tabla **Cuentas**, puede eliminar una cuenta que tenga **Tipo** como **Vía Organizations** y **Estado** como **Eliminada (desasociada)**.

   Seleccione una o más cuentas que tengan el mismo **Tipo** y **Estado**.

1. En el menú desplegable **Acciones**, elija **Eliminar cuenta**.

1. Elija **Eliminar cuentas** para confirmar la opción elegida. La cuenta de miembro seleccionada ya no aparecerá en la tabla Cuentas.

   Repita los pasos descritos anteriormente en cada región adicional en la que desee eliminar esta cuenta de miembro.

------
#### [ API/CLI ]

1. Para recuperar el ID de cuenta de la cuenta de miembro que desea eliminar, utilice la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Incluya el parámetro `OnlyAssociated` en la solicitud. Si establece el valor de este parámetro en`false`, GuardDuty devuelve una `members` matriz que proporciona detalles únicamente sobre las cuentas que actualmente son miembros GuardDuty disociados.

   Como alternativa, puedes usar AWS Command Line Interface (AWS CLI) para ejecutar el siguiente comando:

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Sustitúyalo por el ID del detector de cuentas de GuardDuty administrador delegado y *us-east-1* por la región en la que deseas eliminar esta cuenta.

1. Para eliminar una o más cuentas de GuardDuty miembros, ejecuta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)para eliminar la cuenta de miembro de la GuardDuty organización.

   Como alternativa, puede AWS CLI ejecutar el siguiente comando:

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Sustitúyalo por el ID del detector de cuentas de GuardDuty administrador delegado y *us-east-1* por la región en la que deseas eliminar esta cuenta. Si tiene una lista de cuentas IDs que desea eliminar, sepárelas con un espacio.

------

# Cambiar la cuenta de GuardDuty administrador delegado
<a name="change-guardduty-delegated-admin"></a>

Puede eliminar la cuenta de GuardDuty administrador delegado de su organización en cada región y, a continuación, delegar un nuevo administrador en cada región. Para mantener el nivel de seguridad de las cuentas de los miembros de su organización en una región, debe tener una cuenta de GuardDuty administrador delegado en esa región.

**Nota**  
Antes de eliminar una cuenta de GuardDuty administrador delegado, debe desasociar todas las cuentas de miembro asociadas a la cuenta de GuardDuty administrador delegado y, a continuación, eliminarlas de la organización. GuardDuty Para obtener más información sobre estos pasos, consulte los siguientes documentos:  
[Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md)
[Eliminar las cuentas de los miembros de GuardDuty la organización](delete-member-accounts-guardduty-organization.md)

## Eliminar la cuenta de administrador delegado existente GuardDuty
<a name="remove-existing-guardduty-delegated-admin"></a>

**Paso 1: Eliminar la cuenta de GuardDuty administrador delegado existente en cada región**

1. Como cuenta de GuardDuty administrador delegado existente, enumere todas las cuentas de miembros asociadas a su cuenta de administrador. Ejecutar [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) con `OnlyAssociated=false`.

1. Si la preferencia de activación automática de alguno de los planes de protección opcionales GuardDuty o alguno de ellos está establecida en`ALL`, ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para actualizar la configuración de la organización a uno `NEW` de los dos. `NONE` Esta acción evitará que se produzca un error al desasociar todas las cuentas de miembro en el paso siguiente.

1. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) para desasociar todas las cuentas de miembro que están asociadas a la cuenta de administrador.

1. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) para eliminar las asociaciones entre la cuenta de administrador y las cuentas de miembro.

1. Como cuenta de administración de la organización, ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)para eliminar la cuenta de GuardDuty administrador delegado existente.

1. Repita estos pasos en cada uno de los Región de AWS lugares en los que tenga esta cuenta de GuardDuty administrador delegado.

**Paso 2: Para anular el registro de una cuenta de GuardDuty administrador delegado existente en AWS Organizations (acción global única)**
+ Ejecuta [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)la *referencia de la AWS Organizations API* para anular el registro de la cuenta de administrador delegado GuardDuty existente en. AWS Organizations

  Como alternativa, puede ejecutar el siguiente comando: AWS CLI 

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  Asegúrese de *111122223333* reemplazarla por la cuenta de GuardDuty administrador delegado existente.

  Tras anular el registro de la antigua cuenta de GuardDuty administrador delegado, puede añadirla como cuenta de miembro a la nueva cuenta de administrador delegado GuardDuty .

## Designar una nueva cuenta de administrador delegado GuardDuty en cada región
<a name="designate-new-guardduty-delegated-admin"></a>

1. Designe una nueva cuenta de GuardDuty administrador delegado en cada región mediante el método de acceso que prefiera: GuardDuty consola, API o. AWS CLI Para obtener más información, consulte [Designación de una cuenta de administrador delegado GuardDuty](delegated-admin-designate.md).

1. Ejecute [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)para ver la configuración de activación automática actual de su organización.
**importante**  
Antes de añadir miembros a la nueva cuenta de GuardDuty administrador delegado, debe comprobar la configuración de activación automática de su organización. Esta configuración es específica de la nueva cuenta de GuardDuty administrador delegado y de la región seleccionada, y no está relacionada con ellas. AWS Organizations Al añadir una cuenta de miembro de la organización (nueva o existente) a la nueva cuenta de GuardDuty administrador delegado, la configuración de activación automática de la nueva cuenta de GuardDuty administrador delegado se aplicará en el momento de la activación GuardDuty o en cualquiera de sus planes de protección opcionales.

   Cambie la configuración organizativa de la nueva cuenta de GuardDuty administrador delegado mediante el método de acceso que prefiera: GuardDuty consola, API o. AWS CLI Para obtener más información, consulte [Configuración de las preferencias de habilitación automática de la organización](set-guardduty-auto-enable-preferences.md).