Cambiar la cuenta de administrador delegado de GuardDuty

Paso 1: Para eliminar la cuenta de administrador delegado de GuardDuty existente en cada región

1. Como cuenta de administrador delegado de GuardDuty existente, enumere todas las cuentas de miembro asociadas a la cuenta de administrador. Ejecutar ListMembers con OnlyAssociated=false.

2. Si la preferencia de habilitación automática para GuardDuty o cualquiera de los planes de protección opcionales está establecida en ALL, entonces ejecute UpdateOrganizationConfiguration para actualizar la configuración de la organización a NEW o NONE. Esta acción evitará que se produzca un error al desasociar todas las cuentas de miembro en el paso siguiente.

3. Ejecute DisassociateMembers para desasociar todas las cuentas de miembro que están asociadas a la cuenta de administrador.

4. Ejecute DeleteMembers para eliminar las asociaciones entre la cuenta de administrador y las cuentas de miembro.

5. Como cuenta de administración de la organización, ejecute DisableOrganizationAdminAccount para eliminar la cuenta existente de administrador delegado de GuardDuty.

6. Repita estos pasos en cada Región de AWS en la que tenga esta cuenta de administrador delegado de GuardDuty.

Paso 2: para anular el registro de una cuenta de administrador delegado de GuardDuty existente en AWS Organizations (acción global única)

• Ejecute DeregisterDelegatedAdministrator en la referencia de la API AWS Organizations, para anular el registro de la cuenta de administrador delegado de GuardDuty existente en AWS Organizations.

  También puede ejecutar el siguiente comando de la AWS CLI:

  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com

  Asegúrese de sustituir 111122223333 por la cuenta de administrador delegado de GuardDuty existente.

  Después de anular el registro de la antigua cuenta de administrador delegado de GuardDuty, puede agregarla como cuenta de miembro a la nueva cuenta de administrador delegado de GuardDuty.

1. Designe una nueva cuenta de administrador delegado de GuardDuty en cada región por medio del método de acceso que prefiera: consola de GuardDuty, o la API o la AWS CLI. Para obtener más información, consulte Designar una cuenta de administrador delegado de GuardDuty.

2. Ejecute DescribeOrganizationConfiguration para ver la configuración actual de habilitación automática de la organización.

   importante

   Antes de agregar cualquier miembro a la nueva cuenta de administrador delegado de GuardDuty, debe verificar la configuración de habilitación automática de la organización. Esta configuración se aplica específicamente a la nueva cuenta de administrador delegado de GuardDuty y a la región seleccionada, y no se relaciona con AWS Organizations. Cuando se agrega (nueva o existente) una cuenta de miembro de organización bajo la nueva cuenta de administrador delegado de GuardDuty, la configuración de habilitación automática de la nueva cuenta de administrador delegado de GuardDuty se aplicará al momento de habilitar GuardDuty o cualquiera de sus planes de protección opcionales.

   Cambia la configuración de la organización para la nueva cuenta de administrador delegado de GuardDuty a través del método de acceso que prefiera: consola de GuardDuty, o la API o la AWS CLI. Para obtener más información, consulte Configuración de las preferencias de habilitación automática de la organización.