# Administración de cuentas de Respuesta frente a incidencias de seguridad de AWS con AWS Organizations Administración de cuentas con AWS Organizations Respuesta frente a incidencias de seguridad de AWS está integrado en AWS Organizations. La cuenta de administración de AWS Organizations de la organización puede designar una cuenta como administrador delegado de Respuesta frente a incidencias de seguridad de AWS. Esta acción habilita a Respuesta frente a incidencias de seguridad de AWS como servicio de confianza en AWS Organizations. Para obtener información sobre cómo se conceden estos permisos, consulte [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html). En las siguientes secciones se explican varias tareas que puede llevar a cabo como cuenta de administrador delegado de Respuesta ante incidentes de seguridad. **Topics** + [ # Consideraciones y recomendaciones para utilizar Respuesta frente a incidencias de seguridad de AWS con AWS Organizations ](considerations_important.md) + [ # Habilitación del acceso de confianza para AWS Account Management ](using-orgs-trusted-access.md) + [ # Permisos necesarios para designar una cuenta de administrador delegado de Respuesta ante incidentes de seguridad ](organizations_permissions.md) + [ # Designación de un administrador delegado para Respuesta frente a incidencias de seguridad de AWS ](delegated-admin-designate.md) + [ # Administración de membresías con unidades organizativas (UO) para Respuesta frente a incidencias de seguridad de AWS ](managing-membership-with-ou.md) + [ # Cómo agregar miembros a Respuesta frente a incidencias de seguridad de AWS ](add-member-accounts.md) + [ # Eliminación de miembros de Respuesta frente a incidencias de seguridad de AWS ](remove-member-account.md) # Consideraciones y recomendaciones para utilizar Respuesta frente a incidencias de seguridad de AWS con AWS Organizations Recomendaciones y consideraciones Las siguientes consideraciones y recomendaciones pueden resultar útiles para comprender el funcionamiento de una cuenta de administrador delegado de Respuesta ante incidentes de seguridad en Respuesta frente a incidencias de seguridad de AWS: **Cuenta de administrador delegado de Respuesta frente a incidencias de seguridad de AWS.** Puede designar una cuenta de miembro como cuenta de administrador delegado de Respuesta ante incidentes de seguridad. Por ejemplo, si designa una cuenta de miembro *111122223333* en *Europa (Irlanda)*, no podrá designar otra cuenta de miembro *555555555555* en *Canadá (centro)*. Se requiere que use la misma cuenta como administrador delegado de Respuesta ante incidentes de seguridad en todas las demás regiones. **Ha configurado su cuenta de administrador delegado de Respuesta ante incidentes de seguridad en una Región de AWS específica.** Designa una cuenta de administrador delegado de Respuesta ante incidentes de seguridad en una Región de AWS durante la configuración inicial. Aunque la configuración es regional, Respuesta frente a incidencias de seguridad de AWS ofrece cobertura en toda la organización en todas las Regiones de AWS compatibles. Los resultados de seguridad de Amazon GuardDuty y de AWS Security Hub CSPM se ingieren de todas las Regiones de AWS compatibles, y los casos se gestionan de forma centralizada en la región en la que se activó la suscripción. La cuenta de administrador delegado de Respuesta ante incidentes de seguridad y las cuentas de miembros deben agregarse mediante AWS Organizations. **No se recomienda configurar la cuenta de administración de la organización como administrador delegado de Respuesta ante incidentes de seguridad.** La cuenta de administración de la organización puede ser la cuenta de administrador delegado de Respuesta ante incidentes de seguridad. Sin embargo, las prácticas recomendadas de seguridad de AWS siguen el principio de privilegios mínimos y no recomiendan esta configuración. **Al eliminar una cuenta de administrador delegado de Respuesta ante incidentes de seguridad de una suscripción activa, se cancela la suscripción inmediatamente.** Si elimina una cuenta de administrador delegado de Respuesta ante incidentes de seguridad, Respuesta frente a incidencias de seguridad de AWS elimina todas las cuentas de miembros asociadas a esta cuenta de administrador delegado de Respuesta ante incidentes de seguridad. El servicio Respuesta frente a incidencias de seguridad de AWS ya no estará habilitado para todas estas cuentas de miembros. # Habilitación del acceso de confianza para AWS Account Management Acceso de confianza Cuando habilita el acceso de confianza para Respuesta frente a incidencias de seguridad de AWS, el administrador delegado de la cuenta de administración puede modificar la información y los metadatos (por ejemplo, los detalles del contacto principal o los alternativos) específicos de cada cuenta de miembro en AWS Organizations. Utilice el siguiente procedimiento para habilitar el acceso de confianza para Respuesta frente a incidencias de seguridad de AWS en su organización. **Permisos mínimos** Para realizar estas tareas, debe cumplir con los siguientes requisitos: Puede realizar esto únicamente desde la cuenta de administración de la organización. Su organización debe tener [habilitadas todas las características](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html). ------ #### [ Console ] **Habilitación del acceso de confianza para Respuesta frente a incidencias de seguridad de AWS** 1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización. 1. En el panel de navegación, elija **Servicios**. 1. En la lista de servicios, elija **Respuesta frente a incidencias de seguridad de AWS**. 1. Elija **Habilitar acceso de confianza**. 1. En el cuadro de diálogo **Habilitar el acceso de confianza para Respuesta frente a incidencias de seguridad de AWS**, escriba **habilitar** para confirmar y, a continuación, elija **Habilitar el acceso de confianza**. ------ #### [ API/CLI ] **Habilitación del acceso de confianza para AWS Account Management** Luego de ejecutar este comando, puede usar las credenciales de la cuenta de administración de la organización para llamar a las operaciones de la API de Account Management que utilizan el parámetro `--accountId` para hacer referencia a las cuentas de miembro en una organización. + AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/organizations/latest/userguide/enable-aws-service-access.html) En el siguiente ejemplo se permite el acceso de confianza para Respuesta frente a incidencias de seguridad de AWS en la organización de la cuenta que hace la llamada. ``` $ aws organizations enable-aws-service-access \ --service-principal security-ir.amazonaws.com ``` Este comando no genera ningún resultado si se utiliza correctamente. ------ # Permisos necesarios para designar una cuenta de administrador delegado de Respuesta ante incidentes de seguridad Puede optar por configurar su membresía de Respuesta frente a incidencias de seguridad de AWS mediante el administrador delegado para AWS Organizations. Para obtener información sobre cómo se conceden estos permisos, consulte [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html). **nota** Respuesta frente a incidencias de seguridad de AWS habilita automáticamente la relación de confianza de AWS Organizations al utilizar la consola para la configuración y la administración. Si usa la CLI o el SDK, debe habilitarla manualmente mediante la [API de EnableAWSServiceAccess ](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) para confiar en `security-ir.amazonaws.com`. Como administrador de AWS Organizations, antes de designar la cuenta de administrador delegado de Respuesta ante incidentes de seguridad de la organización, verifique que pueda llevar a cabo las siguientes acciones de Respuesta frente a incidencias de seguridad de AWS: `security-ir:CreateMembership` y `security-ir:UpdateMembership`. Estas acciones le permiten designar la cuenta de administrador delegado de Respuesta ante incidentes de seguridad para su organización mediante Respuesta frente a incidencias de seguridad de AWS. Además, debe asegurarse de que está autorizado a realizar las acciones AWS Organizations que le ayuden a recuperar información sobre la organización. Para conceder estos permisos, incluya la siguiente instrucción en la política (de IAM) AWS Identity and Access Management de su cuenta: ``` { "Sid": "PermissionsForSIRAdmin", "Effect": "Allow", "Action": [ "security-ir:CreateMembership", "security-ir:UpdateMembership", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ``` Si desea designar la cuenta de administración de AWS Organizations como cuenta de administrador delegado de Respuesta ante incidentes de seguridad, su cuenta también necesitará la acción de IAM: `CreateServiceLinkedRole`. Revise [Consideraciones y recomendaciones para utilizar Respuesta frente a incidencias de seguridad de AWS con AWS Organizations](considerations_important.md) antes de proceder a agregar los permisos. Para continuar con la designación de su cuenta de administración de AWS Organizations como cuenta de administrador delegado de Respuesta ante incidentes de seguridad, agregue la siguiente instrucción a la política de IAM y reemplace *111122223333* por el ID de Cuenta de AWS de la cuenta de administración de AWS Organizations: ``` { "Sid": "PermissionsToEnableSecurityIncidentResponse" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse", "Condition": { "StringLike": { "iam:AWSServiceName": "security-ir.amazonaws.com" } } } ``` # Designación de un administrador delegado para Respuesta frente a incidencias de seguridad de AWS Designación de un administrador delegado para Respuesta frente a incidencias de seguridad de AWS En esta sección se indican los pasos para designar un administrador delegado en la organización de Respuesta frente a incidencias de seguridad de AWS. Como administrador de la organización de AWS, asegúrese de leer las [Recomendaciones y consideraciones](considerations_important.md) sobre cómo funciona una cuenta de administrador delegado de Respuesta ante incidentes de seguridad. Antes de continuar, asegúrese de contar con [Permisos necesarios para designar una cuenta de administrador delegado de Respuesta ante incidentes de seguridad](organizations_permissions.md). Elija un método de acceso preferente para designar una cuenta de administrador delegado de Respuesta ante incidentes de seguridad para la organización. Solo una cuenta de administración puede llevar a cabo este paso. ------ #### [ Console ] 1. Abra la consola de Respuesta ante incidentes de seguridad en https://console.aws.amazon.com/security-ir/. Para iniciar sesión, utilice las credenciales de administración de la organización de AWS Organizations. 1. Con el selector de Región de AWS de la esquina superior derecha de la página, seleccione la región en la que desea designar la cuenta de administrador delegado de Respuesta ante incidentes de seguridad para su organización. 1. Siga el asistente de configuración para crear su membresía, incluida la cuenta de administrador delegado. ------ #### [ API/CLI ] + Ejecute CreateMembership con las credenciales de la Cuenta de AWS de administración de la organización. + También puede utilizar la AWS Command Line Interface para hacerlo. El siguiente comando de la AWS CLI designa una cuenta de administrador delegado de Respuesta ante incidentes de seguridad. A continuación se muestran las opciones de cadena disponibles para configurar su membresía: ``` { "customerAccountId": "stringstring", "membershipName": "stringstring", "customerType": "Standalone", "organizationMetadata": { "organizationId": "string", "managementAccountId": "stringstring", "delegatedAdministrators": [ "stringstring" ] }, "membershipAccountsConfigurations": { "autoEnableAllAccounts": true, "organizationalUnits": [ "string" ] }, "incidentResponseTeam": [ { "name": "string", "jobTitle": "stringstring", "email": "stringstring" } ], "internalIdentifier": "string", "membershipId": "stringstring", "optInFeatures": [ { "featureName": "RuleForwarding", "isEnabled": true } ] } ``` Si el servicio Respuesta frente a incidencias de seguridad de AWS no está habilitado en su cuenta de administrador delegado de Respuesta ante incidentes de seguridad, no podrá llevar a cabo ninguna acción. Si aún no lo ha hecho, asegúrese de habilitar Respuesta frente a incidencias de seguridad de AWS para la cuenta de administrador delegado de Respuesta ante incidentes de seguridad recién designada. ------ # Administración de membresías con unidades organizativas (UO) para Respuesta frente a incidencias de seguridad de AWS Administración de membresías con unidades organizativas (UO) Respuesta frente a incidencias de seguridad de AWS admite la cobertura de membresía para las unidades organizativas (UO) individuales. Puede actualizar su membresía para cubrir UO específicas en cualquier momento. Su membresía cubrirá todas las cuentas de las UO seleccionadas, incluidas las cuentas de las UO secundarias. Al actualizar su asociación de membresía, se pueden aplicar actualizaciones para un máximo de 5 UO a la vez. Si desea realizar cambios en más de 5 UO, complete los cambios de asociación en lotes de 5 UO hasta que se hayan completado todas las actualizaciones. ------ #### [ Console ] 1. Abra la consola de Respuesta ante incidentes de seguridad en https://console.aws.amazon.com/security-ir/. Para iniciar sesión, utilice las credenciales de administración de la organización de AWS Organizations. 1. Vaya a **Administrar membresía** > Cuentas 1. Haga clic en **Actualizar asociación** 1. Seleccione **Elegir unidades organizativas (UO)** 1. Seleccione **Agregar UO** o **Eliminar UO** 1. Seleccione hasta 5 UO que desee actualizar. No puede añadir y eliminar UO al mismo tiempo. **nota** Se asociarán todas las cuentas y UO secundarias bajo una UO seleccionada. 1. Haga clic en **Actualizar asociación** 1. **nota** Si desea realizar cambios en más de 5 UO, repita los pasos 5 y 6 hasta que se hayan asociado todas las UO. ------ Para obtener más información sobre cómo realizar cambios en las UO en su organización de AWS, consulte [Administración de unidades organizativas (UO) con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html). # Cómo agregar miembros a Respuesta frente a incidencias de seguridad de AWS Existe una relación de uno a uno entre AWS Organizations y su membresía de Respuesta frente a incidencias de seguridad de AWS. A medida que se agreguen (o eliminen) cuentas de Organizations o unidades organizativas (UO), estos cambios se reflejarán en las cuentas cubiertas de su membresía de Respuesta frente a incidencias de seguridad de AWS. Para agregar una cuenta a su membresía, siga una de las opciones de [administración de cuentas en una organización con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html). También puede añadir UO adicionales a su membresía en cualquier momento, consulte [Managing membership with organizational units (OUs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html). # Eliminación de miembros de Respuesta frente a incidencias de seguridad de AWS Para eliminar una cuenta de su membresía, puede eliminar una cuenta de miembro de su organización, mover cuentas de las UO seleccionadas o eliminar las UO de su membresía. Para eliminar una cuenta de su membresía, siga los procedimientos de [eliminación de una cuenta de miembro de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html). Para mover cuentas fuera de las UO, siga los procedimientos para [Mover cuentas a una unidad organizativa (UO) o entre la raíz y las unidades organizativas con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/move_account_to_ou.html). Para eliminar una UO de su membresía, siga los procedimientos para [Managing membership with organizational units (OUs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html).