Désignation du compte administrateur Detective pour une organisation - Amazon Detective
Gestion du compte administrateur DetectiveAutorisations requises pour configurer le compte administrateur DetectiveDésignation d’un compte administrateur Detective (console)Désignation d’un compte administrateur Detective (API Detective, AWS CLI)Supprimer un compte administrateur Detective (console)Suppression du compte administrateur Detective (Detective API, AWS CLI)Suppression du compte d'administrateur délégué (Organizations API, AWS CLI)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Désignation du compte administrateur Detective pour une organisation

Dans le graphe de comportement de l’organisation, le compte administrateur Detective gère l’appartenance au graphe de comportement pour tous les comptes de l’organisation.

Gestion du compte administrateur Detective

Le compte de gestion de l'organisation désigne le compte administrateur Detective pour l'organisation de chaque Région AWS organisation.

Configuration du compte administrateur Detective en tant que compte administrateur délégué

Le compte administrateur Detective devient également le compte administrateur délégué de Detective in AWS Organizations. Il y a exception si le compte de gestion de l’organisation s’auto-désigne comme compte administrateur Detective. Le compte de gestion de l’organisation ne peut pas être un administrateur délégué dans Organizations.

Une fois le compte administrateur délégué défini dans Organizations, le compte de gestion de l’organisation ne peut choisir que le compte administrateur délégué ou son propre compte comme compte administrateur Detective. Nous vous recommandons de choisir le compte administrateur délégué dans toutes les régions.

Création et gestion du graphe du comportement de l’organisation

Lorsque le compte de gestion de l’organisation choisit un compte administrateur Detective, Detective crée un nouveau graphe de comportement pour ce compte. Ce graphe de comportement est celui de l’organisation.

Si le compte administrateur Detective est un compte administrateur pour un graphe de comportement existant, ce graphe de comportement devient alors le graphe de comportement de l’organisation.

Le compte administrateur Detective choisit les comptes d’organisation à activer comme comptes membres dans le graphe de comportement de l’organisation.

Ce schéma montre comment le compte de gestion de l’organisation choisit le compte administrateur Detective. Le compte administrateur Detective est le compte administrateur du graphe de comportement de l’organisation et le compte administrateur délégué dans Organizations. Le compte administrateur Detective a accès à tous les comptes de l’organisation.

Le compte administrateur Detective peut également envoyer des invitations à des comptes n’appartenant pas à l’organisation. Pour plus d’informations, consultez Gestion des comptes de l’organisation en tant que comptes membres et Gestion des comptes membres.

Suppression du compte administrateur Detective

Le compte de gestion de l’organisation peut supprimer le compte administrateur Detective actuel dans une région. Lorsque vous supprimez le compte administrateur Detective, Detective le supprime uniquement de la région actuelle. Cela ne modifie pas le compte administrateur délégué dans Organizations.

Lorsque le compte de gestion de l’organisation supprime le compte administrateur Detective dans une région, Detective supprime le graphe de comportement de l’organisation. Detective est désactivé pour le compte administrateur Detective supprimé.

Pour supprimer le compte administrateur délégué actuel pour Detective, vous devez utiliser l’API Organizations. Lorsque vous supprimez le compte administrateur délégué pour Detective dans Organizations, Detective supprime tous les graphes de comportement de l’organisation dans lesquels le compte administrateur délégué est le compte administrateur Detective. Les graphes de comportement de l’organisation dont le compte de gestion de l’organisation est le compte administrateur Detective ne sont pas affectés.

Autorisations requises pour configurer le compte administrateur Detective

Pour vous assurer que le compte de gestion de l’organisation est en mesure de configurer le compte administrateur Detective, vous pouvez associer la politique gérée par AmazonDetectiveOrganizationsAccess à vos entités AWS Identity and Access Management (IAM).

Désignation d’un compte administrateur Detective (console)

Le compte de gestion de l’organisation peut utiliser la console Detective pour désigner le compte administrateur Detective.

Il n’est pas nécessaire d’activer Detective pour gérer le compte administrateur Detective. Vous pouvez gérer le compte administrateur Detective depuis la page Activation Detective.

Pour désigner un compte administrateur Detective (page Activation Detective)

  1. Ouvrez la console Amazon Detective à l’adresse https://console.aws.amazon.com/detective/.

  2. Choisissez Get started (Démarrer).

  3. Dans le volet Autorisations requises pour les comptes administrateurs, accordez les autorisations nécessaires au compte de votre choix afin qu’il puisse fonctionner en tant qu’administrateur Detective avec un accès complet à toutes les actions de Detective. Pour opérer en tant qu’administrateur, nous vous recommandons d’associer la politique AmazonDetectiveFullAccess au principal.

  4. Choisissez Associer la politique d’IAM pour afficher la politique recommandée directement dans la console IAM.

  5. Selon que vous disposez ou non d’autorisations dans la console IAM, procédez comme suit :

    • Si vous êtes autorisé à opérer dans la console IAM, associez la politique recommandée au principal que vous utilisez pour Detective.

    • Si vous n’avez pas l’autorisation d’opérer dans la console IAM, copiez l’Amazon Resource Name (ARN) de la politique et communiquez-le à votre administrateur IAM. Il peut ensuite associer la police en votre nom.

  6. Sous Administrateur délégué, choisissez le compte administrateur Detective.

    Les options disponibles varient selon que vous disposez ou non d’un compte administrateur délégué pour Detective dans Organizations.

    • Si vous ne possédez pas de compte administrateur délégué pour Detective dans Organizations, entrez l’identifiant du compte pour le désigner comme compte administrateur Detective.

      Il se peut que vous disposiez déjà d’un compte administrateur et d’un graphe de comportement issus du processus d’invitation manuel. Dans ce cas, nous vous recommandons de désigner ce compte comme compte administrateur Detective.

      Si vous avez un compte d'administrateur délégué dans Organizations for Amazon GuardDuty ou Amazon Macie, Detective vous invite à sélectionner l'un de ces comptes. AWS Security Hub Vous pouvez également saisir un autre compte.

    • Si vous disposez d’un compte administrateur délégué pour Detective dans Organizations, vous êtes invité à choisir ce compte ou le vôtre. Nous vous recommandons de choisir le compte administrateur délégué dans toutes les régions.

  7. Choisisssez Delegate (Déléguer).

Si Detective est activé ou si vous êtes membre d’un graphe de comportement existant, vous pouvez désigner le compte administrateur Detective sur la page Général.

Pour désigner un compte administrateur Detective (page Général)

  1. Ouvrez la console Amazon Detective à l’adresse https://console.aws.amazon.com/detective/.

  2. Dans le volet de navigation Detective, sous Paramètres, choisissez Général.

  3. Dans le volet des politiques gérées, vous pouvez en savoir plus sur toutes les politiques gérées prises en charge par Detective. Vous pouvez accorder les autorisations nécessaires à un compte en fonction des actions que vous souhaitez que les utilisateurs effectuent dans Detective. Pour opérer en tant qu’administrateur, nous vous recommandons d’associer la politique AmazonDetectiveFullAccess au principal.

  4. Selon que vous disposez ou non d’autorisations dans la console IAM, procédez comme suit :

    • Si vous êtes autorisé à opérer dans la console IAM, associez la politique recommandée au principal que vous utilisez pour Detective.

    • Si vous n’avez pas l’autorisation d’opérer dans la console IAM, copiez l’Amazon Resource Name (ARN) de la politique et communiquez-le à votre administrateur IAM. Il peut ensuite associer la police en votre nom.

    Les options disponibles varient selon que vous disposez ou non d’un compte administrateur délégué pour Detective dans Organizations.

    • Si vous ne possédez pas de compte administrateur délégué pour Detective dans Organizations, entrez l’identifiant du compte pour le désigner comme compte administrateur Detective.

      Il se peut que vous disposiez déjà d’un compte administrateur et d’un graphe de comportement issus du processus d’invitation manuel. Dans ce cas, nous vous recommandons de désigner ce compte comme compte administrateur Detective.

      Si vous avez un compte d'administrateur délégué dans Organizations for Amazon GuardDuty ou Amazon Macie, Detective vous invite à sélectionner l'un de ces comptes. AWS Security Hub Vous pouvez également saisir un autre compte.

    • Si vous disposez d’un compte administrateur délégué pour Detective dans Organizations, vous êtes invité à choisir ce compte ou le vôtre. Nous vous recommandons de choisir le compte administrateur délégué dans toutes les régions.

  5. Choisisssez Delegate (Déléguer).

Désignation d’un compte administrateur Detective (API Detective, AWS CLI)

Pour désigner le compte administrateur Detective, vous pouvez utiliser un appel d’API ou l’ AWS Command Line Interface. Vous devez utiliser les informations d’identification du compte de gestion de l’organisation.

Si vous possédez déjà un compte administrateur délégué pour Detective dans les organisations, vous devez choisir ce compte ou le vôtre. Nous vous recommandons de choisir le compte administrateur délégué.

Pour désigner le compte administrateur Detective (Detective API, AWS CLI)

  • API Detective : utilisez l’opération EnableOrganizationAdminAccount. Vous devez fournir l’identifiant du compte AWS administrateur Detective. Pour obtenir l’identifiant du compte, utilisez l’opération ListOrganizationAdminAccounts.

  • AWS CLI : À l’invite de commande, exécutez la commande enable-organization-admin-account.

    aws detective enable-organization-admin-account --account-id <admin account ID>

    Exemple

    aws detective enable-organization-admin-account --account-id 777788889999

Supprimer un compte administrateur Detective (console)

Depuis la console Detective, vous pouvez supprimer le compte administrateur Detective.

Lorsque vous supprimez le compte administrateur Detective, Detective est désactivé pour le compte et le graphe du comportement de l’organisation est supprimé. Le compte administrateur Detective est supprimé uniquement dans la région actuelle.

Important

La suppression d’un compte administrateur Detective n’affecte pas le compte administrateur délégué dans Organizations.

Pour supprimer le compte administrateur Detective (page Activation Detective)

  1. Ouvrez la console Amazon Detective à l’adresse https://console.aws.amazon.com/detective/.

  2. Choisissez Get started (Démarrer).

  3. Sous Administrateur délégué, choisissez Désactiver Amazon Detective.

  4. Dans la boîte de dialogue de confirmation, saisissez disable, puis choisissez Désactiver Amazon Detective.

Pour supprimer un compte administrateur Detective (page Général)

  1. Ouvrez la console Amazon Detective à l’adresse https://console.aws.amazon.com/detective/.

  2. Dans le volet de navigation Detective, sous Paramètres, choisissez Général.

  3. Sous Administrateur délégué, choisissez Désactiver Amazon Detective.

  4. Dans la boîte de dialogue de confirmation, saisissez disable, puis choisissez Désactiver Amazon Detective.

Suppression du compte administrateur Detective (Detective API, AWS CLI)

Pour supprimer le compte administrateur Detective, vous pouvez utiliser un appel d’API ou le AWS CLI. Vous devez utiliser les informations d’identification du compte de gestion de l’organisation.

Lorsque vous supprimez le compte administrateur Detective, Detective est désactivé pour le compte et le graphe du comportement de l’organisation est supprimé.

Important

La suppression d’un compte administrateur Detective n’affecte pas le compte administrateur délégué dans Organizations.

Pour supprimer le compte administrateur Detective (Detective API, AWS CLI)

  • API Detective : utilisez l’opération DisableOrganizationAdminAccount.

    Lorsque vous utilisez l’API Detective pour supprimer le compte administrateur Detective, celui-ci est supprimé uniquement dans la région d’émission de l’appel ou de la commande d’API.

  • AWS CLI : À l’invite de commande, exécutez la commande disable-organization-admin-account.

    aws detective disable-organization-admin-account

Suppression du compte d'administrateur délégué (Organizations API, AWS CLI)

La suppression du compte administrateur Detective ne supprime pas automatiquement le compte administrateur délégué dans Organizations. Pour supprimer le compte administrateur Detective délégué, vous pouvez utiliser les Organizations API.

Lorsque vous supprimez le compte administrateur délégué, cela supprime tous les graphes de comportement de l’organisation dans lesquels le compte administrateur délégué est le compte administrateur Detective. Cela désactive également Detective pour le compte dans ces régions.

Pour supprimer le compte d'administrateur délégué (API Organizations, AWS CLI)

  • Organizations API : utilisez l’opération DeregisterDelegatedAdministrator. Vous devez fournir l’identifiant du compte administrateur Detective et le principal du service Detective, qui est detective.amazonaws.com.

  • AWS CLI : À l’invite de commande, exécutez la commande deregister-delegated-administrator.

    aws organizations deregister-delegated-administrator --account-id <Detective administrator account ID> --service-principal <Detective service principal>

    Exemple

    aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com