Cambiar la cuenta de administrador de Macie para una organización - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambiar la cuenta de administrador de Macie para una organización

Una vez integrada y configurada una AWS Organizations organización en Amazon Macie, la cuenta de AWS Organizations administración puede designar una cuenta diferente como la cuenta de administrador delegado de Macie para la organización.

Como usuario de la cuenta de AWS Organizations administración de una organización, compruebe que cumple los siguientes requisitos de permisos antes de designar otra cuenta de administrador de Macie para su organización:

  • Debe tener los mismos permisos que se necesitaron para designar inicialmente una cuenta de administrador de Macie para su organización. También debe poder realizar la siguiente AWS Organizations acción:organizations:DeregisterDelegatedAdministrator. Esta acción adicional le permite eliminar la designación actual.

  • Si su cuenta es actualmente una cuenta de miembro de Macie, el administrador actual de Macie debe eliminarla como cuenta de miembro de Macie. De lo contrario, no podrá acceder a las operaciones de Macie para designar una cuenta diferente de administrador. Tras designar una nueva cuenta de administrador, el nuevo administrador de Macie podrá volver a añadir su cuenta como cuenta de miembro de Macie.

Si su organización utiliza Macie en varias ocasiones Regiones de AWS, asegúrese también de cambiar la cuenta de administrador delegado de Macie en cada región en la que su organización utilice Macie. La cuenta de administrador delegado de Macie debe ser la misma en todas esas regiones. Si administra varias organizaciones en AWS Organizations, tenga en cuenta también que una cuenta solo puede ser la cuenta de administrador delegado de Macie para una organización a la vez. Para obtener más información sobre los requisitos adicionales, consulte Consideraciones sobre el uso de Macie con AWS Organizations.

nota

Al designar una cuenta de administrador de Macie diferente para su organización, también deshabilita el acceso a los datos estadísticos existentes, los datos de inventario y otra información que Macie haya generado y proporcionado directamente, al tiempo que realiza la búsqueda automática de datos confidenciales para las cuentas de la organización. La nueva cuenta de administrador de Macie no puede acceder a los datos existentes. Si cambias la designación y el nuevo administrador de Macie habilita la detección automática de las cuentas, Macie genera y conserva nuevos datos cuando realiza la detección automática de las cuentas.

Para cambiar la designación de una cuenta de administrador de Macie para una organización

Para designar una cuenta de administrador de Macie diferente para su organización, puede utilizar la consola Amazon Macie o una combinación de Amazon Macie y. AWS Organizations APIs Solo un usuario de la cuenta de AWS Organizations administración puede cambiar la designación de su organización.

Console

Para cambiar la designación mediante la consola de Amazon Macie, siga los pasos siguientes.

Para cambiar la designación de la cuenta de administrador de Macie

  1. Inicie sesión AWS Management Console con su cuenta AWS Organizations de administración.

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee cambiar la designación.

  3. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  4. Lleve a cabo una de las siguientes acciones, en función de si Macie está habilitada para su cuenta de administración en la región actual:

    • Si Macie no está activado, seleccione Comenzar en la página de bienvenida.

    • Si Macie está activado, seleccione Configuración en el panel de navegación.

  5. En Administrador delegado, seleccione Eliminar. Para cambiar la designación, primero debe eliminar la designación actual.

  6. Confirme que desea eliminar la designación actual.

  7. En Administrador delegado, introduzca el ID de cuenta de 12 dígitos para que la designe como la Cuenta de AWS nueva cuenta de administrador de Macie para la organización.

  8. Elija Delegar.

Repita los pasos anteriores en cada región adicional en la que haya integrado Macie con AWS Organizations.

API

Para cambiar la designación mediante programación, utilice dos operaciones de Amazon API Macie y una operación de. AWS Organizations API Esto se debe a que debe eliminar la designación actual tanto en Macie como AWS Organizations antes de enviar la nueva designación.

Para eliminar la designación actual:

  1. Usa la DisableOrganizationAdminAccountoperación del API Macie. Para el adminAccountId parámetro obligatorio, especifique el identificador de cuenta de 12 dígitos de la Cuenta de AWS cuenta actualmente designada como la cuenta de administrador de Macie para la organización.

  2. Utilice la DeregisterDelegatedAdministratoroperación de. AWS Organizations API Para el parámetro de AccountId, especifique el ID de cuenta de 12 dígitos para la cuenta que está actualmente designada como cuenta de administrador de Macie para la organización. Este valor debe coincidir con el ID de cuenta que especificó en la solicitud de Macie anterior. Para el parámetro de ServicePrincipal, especifique la entidad principal de servicio de Macie (macie.amazonaws.com).

Después de eliminar la designación actual, envíe la nueva designación utilizando la EnableOrganizationAdminAccountoperación del Macie. API Para el adminAccountId parámetro obligatorio, especifique el identificador de cuenta de 12 dígitos que desee Cuenta de AWS designar como la nueva cuenta de administrador de Macie para la organización.

Para cambiar la designación mediante el AWS CLI, ejecute el disable-organization-admin-accountcomando del Macie API y el deregister-delegated-administratorcomando del. AWS Organizations API Estos comandos eliminan la designación actual en Macie y AWS Organizations, respectivamente. Para los account-id parámetros admin-account-id y, especifique el ID de cuenta de 12 dígitos que desea Cuenta de AWS eliminar como cuenta de administrador actual de Macie. Utilice el parámetro region para especificar la región que desea eliminar. Por ejemplo:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

Donde:

  • us-east-1 es la región a la que se aplica la expulsión, la región EE.UU. Este (Virginia del Norte).

  • 111122223333 es el identificador de la cuenta que se va a eliminar como cuenta de administrador de Macie.

  • macie.amazonaws.com es la entidad principal de servicio de Macie.

Tras eliminar la designación actual, ejecute el enable-organization-admin-accountcomando del API Macie para enviar la nueva designación. En el admin-account-id parámetro, especifique el identificador de cuenta de 12 dígitos que desee Cuenta de AWS designar como la nueva cuenta de administrador de Macie para la organización. Utilice el parámetro de region para especificar la región a la que se aplica la designación. Por ejemplo:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

Donde us-east-1 es la región a la que se aplica la designación (la región EE. UU. Este (Virginia del Norte)) y 444455556666 es el identificador de la cuenta que se va a designar como nueva cuenta de administrador de Macie.