Prérequis Procédure Étapes suivantes Ressources supplémentaires

Modification d'un administrateur délégué

La modification de votre administrateur délégué AWS Audit Manager est un processus en deux étapes. Tout d'abord, vous devez supprimer le compte administrateur délégué actuel. Vous pouvez ensuite ajouter un nouveau compte en tant qu'administrateur délégué.

Suivez les étapes indiquées sur cette page pour changer d'administrateur délégué.

Table des matières

Prérequis

Avant de supprimer le compte courant

Avant de supprimer le compte d'administrateur délégué actuel, tenez compte des points suivants :

Tâche de nettoyage de l'outil de recherche de preuves - Si l'administrateur délégué actuel (compte A) a activé l'outil de recherche de preuves, vous devrez effectuer une tâche de nettoyage avant de désigner le compte B comme nouvel administrateur délégué.

Avant d'utiliser votre compte de gestion pour supprimer le compte A, assurez-vous que le compte A se connecte à Audit Manager et désactive l'outil de recherche de preuves. La désactivation de l’outil de recherche d’éléments probants supprime automatiquement l’entrepôt de données d’événements créé dans le compte lorsque l’outil de recherche d’éléments probants a été activé.

Si cette tâche n'est pas terminée, le magasin de données d'événements reste dans le compte A. Dans ce cas, nous recommandons à l'administrateur délégué d'origine d'utiliser CloudTrail Lake pour supprimer manuellement le magasin de données d'événements.

Cette tâche de nettoyage est nécessaire pour éviter de vous retrouver avec plusieurs entrepôts de données d’événements. Audit Manager ignore un entrepôt de données d’événements inutilisé une fois que vous avez supprimé ou modifié un compte d’administrateur délégué. Toutefois, si vous ne supprimez pas le magasin de données d'événements inutilisé, le magasin de données d'événements continue de supporter des frais de stockage de la part de CloudTrail Lake.
Suppression des données : lorsque vous supprimez un compte d'administrateur délégué pour Audit Manager, les données de ce compte ne sont pas supprimées. Si vous souhaitez supprimer les données de ressources d’un compte d’administrateur délégué, vous devez effectuer cette tâche séparément avant de supprimer le compte. Vous pouvez également réaliser cette opération dans la console Audit Manager. Vous pouvez également utiliser l'une des API opérations de suppression proposées par Audit Manager. Pour obtenir la liste des opérations de suppression disponibles, consultez la section Suppression des données d’Audit Manager.

À l’heure actuelle, Audit Manager ne propose pas d’option permettant de supprimer des éléments probants pour un administrateur délégué spécifique. Au lieu de cela, lorsque votre compte de gestion annule l’enregistrement d’Audit Manager, nous procédons à un nettoyage du compte administrateur délégué actuel au moment de la désinscription.

Avant d'ajouter le nouveau compte

Avant d'ajouter le nouveau compte d'administrateur délégué, tenez compte des points suivants :

Le nouveau compte doit appartenir à une organisation.
Avant de désigner un nouvel administrateur délégué, vous devez activer toutes les fonctionnalités de votre organisation. Vous devez également configurer les paramètres du Security Hub de votre organisation. Audit Manager peut ainsi collecter des éléments probants relatifs au Security Hub à partir de vos comptes membres.
Le compte d'administrateur délégué doit avoir accès à la KMS clé que vous avez fournie lors de la configuration d'Audit Manager.
Vous ne pouvez pas utiliser votre compte AWS Organizations de gestion en tant qu'administrateur délégué dans Audit Manager.

Procédure

Vous pouvez changer d'administrateur délégué à l'aide de la console Audit Manager, du AWS Command Line Interface (AWS CLI) ou du gestionnaire d'auditAPI.

Avertissement

Lorsque vous modifiez d’administrateur délégué, vous continuez à avoir accès aux éléments probants que vous avez précédemment collectés sous l’ancien compte d’administrateur délégué. Cependant, Audit Manager arrête de collecter et de joindre des éléments probants à l’ancien compte d’administrateur délégué.

Audit Manager console

Pour modifier l'administrateur délégué actuel sur la console Audit Manager

(Facultatif) Si l’administrateur délégué actuel (compte A) a activé l’outil de recherche d’éléments probants, effectuez la tâche de nettoyage suivante :
1. Avant de désigner le compte B comme nouvel administrateur délégué, assurez-vous que le compte A se connecte à Audit Manager et désactive l’outil de recherche d’éléments probants.
  
  La désactivation de l’outil de recherche d’éléments probants supprime automatiquement l’entrepôt de données d’événements créé lorsque le compte A a activé l’outil de recherche d’éléments probants. Si vous n'effectuez pas cette étape, le compte A doit accéder à CloudTrail Lake et supprimer manuellement le magasin de données d'événements. Dans le cas contraire, le magasin de données événementielles reste dans le compte A et continue de supporter les frais de stockage de CloudTrail Lake.
Dans l’onglet Paramètres généraux, accédez à la section Administrateur délégué et choisissez Supprimer.
Dans la fenêtre contextuelle qui s’affiche, choisissez Supprimer pour confirmer.
Sous ID du compte d’administrateur délégué, entrez l’ID du nouveau compte de l’administrateur délégué.
Sélectionnez Déléguer.

AWS CLI

Pour modifier l'administrateur délégué actuel dans AWS CLI

Commencez par exécuter la deregister-organization-admin-accountcommande à l'aide du --admin-account-id paramètre pour spécifier l'ID de compte de l'administrateur délégué actuel.

Dans l'exemple suivant, remplacez le placeholder text avec vos propres informations.


aws auditmanager deregister-organization-admin-account --admin-account-id 111122223333

Exécutez ensuite la register-organization-admin-accountcommande à l'aide du --admin-account-id paramètre pour spécifier l'ID de compte du nouvel administrateur délégué.

Dans l'exemple suivant, remplacez le placeholder text avec vos propres informations.


aws auditmanager register-organization-admin-account --admin-account-id 444455556666

Audit Manager API

Pour modifier l'administrateur délégué actuel à l'aide du API

Commencez par appeler l'DeregisterOrganizationAdminAccountopération et utilisez le adminAccountIdparamètre pour spécifier l'ID de compte de l'administrateur délégué actuel.

Appelez ensuite l'RegisterOrganizationAdminAccountopération et utilisez le adminAccountIdparamètre pour spécifier l'ID de compte du nouvel administrateur délégué.

Pour plus d'informations, cliquez sur les liens précédents pour en savoir plus dans la APIréférence Audit Manager. Cela inclut des informations sur la façon d'utiliser cette opération et ce paramètre dans l'un des langages spécifiques. AWS SDKs

Étapes suivantes

Pour supprimer votre compte d'administrateur délégué, consultezSupprimer un administrateur délégué.

Ressources supplémentaires

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ajouter un administrateur délégué

Supprimer un administrateur délégué