Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Amazon GuardDuty y AWS Organizations
<a name="services-that-can-integrate-guardduty"></a>

Amazon GuardDuty es un servicio de supervisión continua de la seguridad que analiza y procesa diversas fuentes de datos, utilizando fuentes de inteligencia sobre amenazas y aprendizaje automático para identificar actividades inesperadas, potencialmente no autorizadas y maliciosas en su AWS entorno. Esto puede incluir problemas como la escalada de privilegios, el uso de credenciales expuestas, la comunicación con direcciones IP o dominios maliciosos o la presencia de malware en las instancias de Amazon Elastic Compute Cloud y en las cargas de trabajo de los contenedores. URLs 

Puede ayudar a simplificar la administración GuardDuty utilizando Organizations para administrar GuardDuty todas las cuentas de su organización.

Para obtener más información, consulta [Administrar GuardDuty cuentas con AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) en la *Guía del GuardDuty usuario de Amazon*

Utiliza la siguiente información para ayudarte a integrar Amazon GuardDuty con AWS Organizations.



## Roles vinculados al servicio creados al habilitar la integración
<a name="integrate-enable-slr-guardduty"></a>

 Los siguientes roles vinculados al servicio se crean automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Estas funciones le GuardDuty permiten realizar operaciones de soporte en las cuentas de su organización. Puedes eliminar un rol solo si inhabilitas el acceso de confianza entre GuardDuty and Organizations o si eliminas la cuenta del miembro de la organización.
+ El rol `AWSServiceRoleForAmazonGuardDuty` vinculado al servicio se crea automáticamente en las cuentas que se han integrado con GuardDuty Organizations. Para obtener más información, consulta [Gestión de GuardDuty cuentas con Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) en la *Guía del GuardDuty usuario de Amazon*
+ El rol `AmazonGuardDutyMalwareProtectionServiceRolePolicy` vinculado al servicio se crea automáticamente en las cuentas que tienen habilitada la protección GuardDuty contra malware. Para obtener más información, consulte [Permisos de roles vinculados a servicios para GuardDuty Malware Protection en la Guía](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html) del usuario de *Amazon GuardDuty *

## Los principales de servicios utilizados por los roles vinculados a servicios
<a name="integrate-enable-svcprin-guardduty"></a>
+ `guardduty.amazonaws.com`, utilizado por el rol vinculado al servicio `AWSServiceRoleForAmazonGuardDuty`.
+ `malware-protection.guardduty.amazonaws.com`, utilizado por el rol vinculado al servicio `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.

## Habilitar el acceso confiable con GuardDuty
<a name="integrate-enable-ta-guardduty"></a>

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte [Permisos necesarios para habilitar el acceso de confianza](orgs_integrate_services.md#orgs_trusted_access_perms).

Solo puedes habilitar el acceso de confianza a través de Amazon GuardDuty.

Amazon GuardDuty requiere un acceso de confianza AWS Organizations antes de que puedas designar una cuenta de miembro como GuardDuty administrador de tu organización. Si configuras un administrador delegado mediante la GuardDuty consola, te habilita GuardDuty automáticamente el acceso de confianza. 

Sin embargo, si desea configurar una cuenta de administrador delegado mediante la AWS CLI o una de las AWS SDKs, debe llamar explícitamente a la operación [Habilitar el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) y proporcionar la principal de servicio como parámetro. A continuación, puede llamar [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)para delegar la cuenta de GuardDuty administrador.

## Inhabilitar el acceso de confianza con GuardDuty
<a name="integrate-disable-ta-guardduty"></a>

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte [Permisos necesarios para deshabilitar el acceso de confianza](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza ejecutando un AWS CLI comando de Organizations o llamando a una operación de la API de Organizations en uno de los AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK**  
Usa los siguientes AWS CLI comandos u operaciones de API para deshabilitar el acceso a los servicios de confianza:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Ejecuta el siguiente comando para inhabilitar Amazon GuardDuty como servicio de confianza en Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal guardduty.amazonaws.com
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ AWS API: [deshabilita el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Habilitar una cuenta de administrador delegado para GuardDuty
<a name="integrate-enable-da-guardduty"></a>

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y los roles de esa cuenta pueden realizar acciones administrativas para GuardDuty que, de lo contrario, solo podrían realizarlas los usuarios o roles en la cuenta de administración de la organización. Esto le ayuda a separar la gestión de la organización de la de GuardDuty.

**Permisos mínimos**  
Para obtener información sobre los permisos necesarios para designar una cuenta de miembro como administrador delegado, consulte [Permisos necesarios para designar un administrador delegado](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions) en la Guía del usuario de *Amazon GuardDuty *.

**Para designar una cuenta de miembro como administrador delegado para GuardDuty**  
Consulte [Designar un administrador delegado y agregar cuentas de miembro (consola)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console) y [Designar un administrador delegado y agregar cuentas de miembro (API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api)