Den delegierten Administrator entfernen oder ändern

Nur das Organisationsverwaltungskonto kann das delegierte Security Hub CSPM-Administratorkonto entfernen.

Um den delegierten Security Hub CSPM-Administrator zu ändern, müssen Sie zuerst das aktuelle delegierte Administratorkonto entfernen und dann ein neues festlegen.

Warnung

Wenn Sie die zentrale Konfiguration verwenden, können Sie die Security Hub CSPM-Konsole oder Security Hub CSPM nicht verwenden, um das delegierte Administratorkonto APIs zu ändern oder zu entfernen. Wenn das Organisationsverwaltungskonto die AWS Organizations Konsole verwendet oder AWS Organizations APIs um den delegierten Security Hub CSPM-Administrator zu ändern oder zu entfernen, stoppt Security Hub CSPM automatisch die zentrale Konfiguration und löscht Ihre Konfigurationsrichtlinien und Richtlinienzuordnungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde.

Wenn Sie die Security Hub CSPM-Konsole verwenden, um den delegierten Administrator in einer Region zu entfernen, wird er automatisch in allen Regionen entfernt.

Die Security Hub CSPM API entfernt nur das delegierte Security Hub CSPM-Administratorkonto aus der Region, in der der API-Aufruf oder -Befehl ausgeführt wird. Sie müssen die Aktion in anderen Regionen wiederholen.

Wenn Sie das delegierte Security Hub CSPM-Administratorkonto mithilfe der Organizations API entfernen, wird es automatisch in allen Regionen entfernt.

Den delegierten Administrator entfernen (Organizations API, AWS CLI)

Sie können Organizations verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.

Wenn Sie die zentrale Konfiguration zur Verwaltung von Konten verwenden, führt das Entfernen des delegierten Administratorkontos zum Löschen Ihrer Konfigurationsrichtlinien und Richtlinienverknüpfungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde. Diese Konten können jedoch nicht mehr mit dem entfernten delegierten Administratorkonto verwaltet werden. Sie werden zu selbstverwalteten Konten, die in jeder Region separat konfiguriert werden müssen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen, um das delegierte Security Hub CSPM-Administratorkonto mit zu entfernen. AWS Organizations

Organizations API, AWS CLI

So entfernen Sie den delegierten Security Hub CSPM-Administrator

Verwenden Sie vom Organisationsverwaltungskonto aus den DeregisterDelegatedAdministratorBetrieb der Organisations-API. Wenn Sie den verwenden AWS CLI, führen Sie den deregister-delegated-administratorBefehl aus. Geben Sie die Konto-ID des delegierten Administrators und den Dienstprinzipal für Security Hub CSPM an, nämlich. securityhub.amazonaws.com

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com

Den delegierten Administrator entfernen (Security Hub CSPM-Konsole)

Sie können die Security Hub CSPM-Konsole verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.

Wenn das delegierte Security Hub CSPM-Administratorkonto entfernt wird, werden die Mitgliedskonten vom entfernten delegierten Security Hub CSPM-Administratorkonto getrennt.

Security Hub CSPM ist weiterhin in den Mitgliedskonten aktiviert. Sie werden zu eigenständigen Konten, bis ein neuer Security Hub CSPM-Administrator sie als Mitgliedskonten aktiviert.

Wenn das Organisationsverwaltungskonto kein aktiviertes Konto in Security Hub CSPM ist, verwenden Sie die Option auf der Seite Willkommen bei Security Hub CSPM.

So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite Willkommen bei Security Hub CSPM

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. https://console.aws.amazon.com/securityhub/

2. Wählen Sie Gehe zu Security Hub.

3. Wählen Sie unter Delegierter Administrator die Option Entfernen aus.

Wenn das Organisationsverwaltungskonto ein aktiviertes Konto in Security Hub ist, verwenden Sie die Option auf der Registerkarte Allgemein der Seite Einstellungen.

So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite Einstellungen

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. https://console.aws.amazon.com/securityhub/

2. Wählen Sie im Security Hub CSPM-Navigationsbereich die Option Einstellungen aus. Wählen Sie dann Allgemein.

3. Wählen Sie unter Delegierter Administrator die Option Entfernen aus.

Den delegierten Administrator entfernen (Security Hub CSPM API,) AWS CLI

Sie können die Security Hub CSPM-API oder die Security Hub CSPM-Operationen verwenden, AWS CLI um den delegierten Security Hub CSPM-Administrator zu entfernen. Wenn Sie den delegierten Administrator mit einer dieser Methoden entfernen, wird er nur in der Region entfernt, in der der API-Aufruf oder -Befehl ausgeführt wurde. Security Hub CSPM aktualisiert keine anderen Regionen und entfernt auch nicht das delegierte Administratorkonto in. AWS Organizations

Wählen Sie Ihre bevorzugte Methode und gehen Sie wie folgt vor, um das delegierte Security Hub CSPM-Administratorkonto bei Security Hub CSPM zu entfernen.

Security Hub CSPM API, AWS CLI

So entfernen Sie den delegierten Security Hub CSPM-Administrator

Verwenden Sie vom Organisationsverwaltungskonto aus den DisableOrganizationAdminAccountBetrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den disable-organization-admin-accountBefehl aus. Geben Sie die Konto-ID des delegierten Security Hub CSPM-Administrators an.

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012