Cambiar la cuenta de GuardDuty administrador delegado

Puede eliminar la cuenta de GuardDuty administrador delegado de su organización en cada región y, a continuación, delegar un nuevo administrador en cada región. Para mantener el nivel de seguridad de las cuentas de los miembros de su organización en una región, debe tener una cuenta de GuardDuty administrador delegado en esa región.

Nota

Antes de eliminar una cuenta de GuardDuty administrador delegado, debe desasociar todas las cuentas de miembro asociadas a la cuenta de GuardDuty administrador delegado y, a continuación, eliminarlas de la organización. GuardDuty Para obtener más información sobre estos pasos, consulte los siguientes documentos:

• Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador

• Eliminar las cuentas de los miembros de GuardDuty la organización

Eliminar una cuenta de GuardDuty administrador delegado existente

Paso 1: Eliminar la cuenta de GuardDuty administrador delegado existente en cada región

1. Como cuenta de GuardDuty administrador delegado existente, enumere todas las cuentas de miembros asociadas a su cuenta de administrador. Ejecute ListMembers con OnlyAssociated=false.

2. Si la preferencia de activación automática de alguno de los planes de protección opcionales GuardDuty o alguno de ellos está establecida enALL, ejecute UpdateOrganizationConfigurationpara actualizar la configuración de la organización a una NEW u NONE otra. Esta acción evitará que se produzca un error al desasociar todas las cuentas de los miembros en el siguiente paso.

3. Ejecute DisassociateMemberspara desasociar todas las cuentas de miembros que están asociadas a la cuenta de administrador.

4. Ejecute DeleteMemberspara eliminar las asociaciones entre la cuenta de administrador y las cuentas de los miembros.

5. Como cuenta de administración de la organización, ejecute DisableOrganizationAdminAccountpara eliminar la cuenta de GuardDuty administrador delegado existente.

6. Repita estos pasos en cada uno de los Región de AWS lugares en los que tenga esta cuenta de GuardDuty administrador delegado.

Paso 2: Para anular el registro de una cuenta de GuardDuty administrador delegado existente en AWS Organizations (acción global única)

• Ejecute DeregisterDelegatedAdministratoren la AWS Organizations APIreferencia para anular el registro de la cuenta de administrador delegado GuardDuty existente en. AWS Organizations

  Como alternativa, puede ejecutar el siguiente comando: AWS CLI

  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com

  Asegúrese de reemplazar 111122223333 con la cuenta de GuardDuty administrador delegado existente.

  Tras anular el registro de la antigua cuenta de GuardDuty administrador delegado, puede añadirla como cuenta de miembro a la nueva cuenta de administrador delegado GuardDuty .

Designar una nueva cuenta de administrador delegado GuardDuty en cada región

1. Designe una nueva cuenta de GuardDuty administrador delegado en cada región mediante el método de acceso que prefiera: GuardDuty consola o API AWS CLI Para obtener más información, consulte Designación de una cuenta de administrador delegado GuardDuty .

2. Ejecute DescribeOrganizationConfigurationpara ver la configuración de activación automática actual de su organización.

   importante

   Antes de añadir miembros a la nueva cuenta de GuardDuty administrador delegado, debe comprobar la configuración de activación automática de su organización. Esta configuración es específica de la nueva cuenta de GuardDuty administrador delegado y de la región seleccionada, y no está relacionada con ellas. AWS Organizations Al añadir una cuenta de miembro de la organización (nueva o existente) a la nueva cuenta de GuardDuty administrador delegado, la configuración de activación automática de la nueva cuenta de GuardDuty administrador delegado se aplicará en el momento de la activación GuardDuty o en cualquiera de sus planes de protección opcionales.

   Cambie la configuración organizativa de la nueva cuenta de GuardDuty administrador delegado mediante el método de acceso que prefiera: GuardDuty consola o. API AWS CLI Para obtener más información, consulte Configurar las preferencias de activación automática de la organización.