Alterando a conta do GuardDuty administrador delegado

Você pode remover a conta de GuardDuty administrador delegado da sua organização em cada região e, em seguida, delegar um novo administrador em cada região. Para manter a postura de segurança das contas dos membros da sua organização em uma região, você deve ter uma conta de GuardDuty administrador delegada nessa região.

Observação

Antes de remover uma conta de GuardDuty administrador delegado, você deve desassociar todas as contas de membros associadas à conta de GuardDuty administrador delegado e, em seguida, excluí-las da organização. GuardDuty Para obter mais informações sobre essas etapas, consulte os seguintes documentos:

• Desassociando (removendo) a conta do membro da conta do administrador

• Excluindo contas de membros da organização GuardDuty

Removendo a conta de GuardDuty administrador delegado existente

Etapa 1 - Para remover a conta de GuardDuty administrador delegado existente em cada região

1. Como conta de GuardDuty administrador delegado existente, liste todas as contas de membros associadas à sua conta de administrador. Executar ListMembers com OnlyAssociated=false.

2. Se a preferência de ativação automática GuardDuty ou qualquer um dos planos de proteção opcionais estiver definida comoALL, execute UpdateOrganizationConfigurationpara atualizar a configuração da organização para NEW ouNONE. Essa ação evitará um erro ao desassociar todas as contas dos membros na próxima etapa.

3. Executar DisassociateMemberspara desassociar todas as contas de membros associadas à conta de administrador.

4. Executar DeleteMemberspara excluir as associações entre a conta do administrador e as contas dos membros.

5. Como conta de gerenciamento da organização, execute DisableOrganizationAdminAccountpara remover a conta de GuardDuty administrador delegado existente.

6. Repita essas etapas em cada um Região da AWS em que você tenha essa conta de GuardDuty administrador delegado.

Etapa 2 - Para cancelar o registro da conta de GuardDuty administrador delegado existente em AWS Organizations (ação global única)

• Execute DeregisterDelegatedAdministratorna AWS Organizations APIReferência, para cancelar o registro da conta de GuardDuty administrador delegado existente em. AWS Organizations

  Como alternativa, você pode executar o seguinte AWS CLI comando:

  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com

  Certifique-se de substituir 111122223333 com a conta de GuardDuty administrador delegado existente.

  Depois de cancelar o registro da antiga conta de GuardDuty administrador delegado, você pode adicioná-la como uma conta de membro à nova conta de administrador delegado GuardDuty .

Designação de uma nova conta de GuardDuty administrador delegado em cada região

1. Designe uma nova conta de GuardDuty administrador delegado em cada região usando seu método de acesso preferido - GuardDuty console ou ouAPI. AWS CLI Para obter mais informações, consulte Designação de uma conta de administrador delegado GuardDuty .

2. Execute DescribeOrganizationConfigurationpara ver a configuração atual de ativação automática da sua organização.

   Importante

   Antes de adicionar qualquer membro à nova conta de GuardDuty administrador delegado, você deve verificar a configuração de ativação automática da sua organização. Essa configuração é específica para a nova conta de GuardDuty administrador delegado e para a região selecionada, e não está relacionada a. AWS Organizations Quando você adiciona uma conta de membro da organização (nova ou existente) à nova conta de GuardDuty administrador delegado, a configuração de ativação automática da nova conta de GuardDuty administrador delegado será aplicada no momento da ativação GuardDuty ou de qualquer um de seus planos de proteção opcionais.

   Altere a configuração da organização para a nova conta de GuardDuty administrador delegado usando seu método de acesso preferido - GuardDuty console ou API ou AWS CLI. Para obter mais informações, consulte Configurando as preferências de ativação automática da organização.