Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Designación de una cuenta de administrador delegado para Amazon Inspector
<a name="designating-admin"></a>

 El administrador delegado es una cuenta que administra un servicio para una organización. En este tema se describe cómo designar a un administrador delegado para Amazon Inspector. 

## Consideraciones
<a name="delegated-admin-considerations"></a>

 Antes de designar a un administrador delegado, tenga en cuenta lo siguiente: 

**El administrador delegado puede administrar un máximo de 10 000 miembros.**  
 Si superas las 10 000 cuentas de miembro, recibirás una notificación a través del Amazon CloudWatch Personal Health Dashboard y un correo electrónico a la cuenta del administrador delegado.   
 Cuando Amazon Inspector se habilita mediante AWS Organizations políticas para organizaciones con más de 10 000 cuentas (hasta 50 000), la política se aplica a todas las cuentas. Sin embargo, solo se asociarán 10 000 cuentas a la organización de Amazon Inspector, es decir, el administrador delegado solo podrá ver los resultados y el estado de las cuentas de estas 10 000 cuentas en la consola de Amazon Inspector. 

**Un administrador delegado es regional.**  
 Amazon Inspector es un servicio regional. Debe repetir los pasos del procedimiento en todos los Región de AWS lugares en los que vaya a utilizar Amazon Inspector. 

**Una organización solo puede tener un administrador delegado.**  
 Si designa una cuenta como administradora delegada en una Región de AWS, esa cuenta debe ser la administradora delegada en todas las demás. Regiones de AWS

**Cambiar de administrador delegado no desactivará Amazon Inspector para las cuentas de miembros.**  
 Si elimina un administrador delegado, las cuentas de miembro pasan a ser cuentas independientes y la configuración de análisis no se ve afectada. 

**Su AWS organización debe tener todas las funciones activadas.**  
Esta es la configuración predeterminada para AWS Organizations. Si no está activada, consulte [Activación de todas las características en la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html). 

**Las políticas de la organización tienen prioridad sobre la configuración de administrador delegado.**  
 Si su organización usa AWS Organizations políticas para habilitar Amazon Inspector, la configuración de la política determina qué tipos de escaneo están habilitados. Recomendamos designar al administrador delegado antes de crear las políticas de la organización para garantizar una gobernanza coherente. Para obtener más información, consulte [Modelo de gobierno de la política de la organización](admin-member-relationship.md#org-policy-overview). 

## Permisos necesarios para designar un administrador delegado
<a name="delegated-admin-permissions"></a>

 Debe tener permiso para activar Amazon Inspector y designar un administrador delegado de Amazon Inspector. Agregue la siguiente instrucción al final de la política de IAM para conceder estos permisos. Para obtener más información, consulte [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html). 

```
{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}
```

## Designar un administrador delegado para su organización AWS
<a name="delegated-admin-proc"></a>

 En el siguiente procedimiento, se describe cómo designar a un administrador delegado para la organización. Antes de completar el procedimiento, asegúrese de estar en la misma organización que las cuentas de miembros que desea que administre el administrador delegado. 

**nota**  
 Debe usar la cuenta de AWS Organizations administración para completar este procedimiento. Solo la cuenta AWS Organizations de administración puede designar un administrador delegado. Es posible que se necesiten permisos para designar un administrador delegado. Para obtener más información, consulte [Permisos necesarios para designar un administrador delegado](#delegated-admin-permissions). 

 Al activar Amazon Inspector por primera vez, Amazon Inspector crea el rol vinculado al servicio `AWSServiceRoleForAmazonInspector` para la cuenta. Para obtener información sobre cómo utiliza Amazon Inspector los roles vinculados a servicios, consulte [Uso de roles vinculados a servicios para Amazon Inspector](using-service-linked-roles.md). 

------
#### [ Console ]

**Designación de un administrador delegado para Amazon Inspector**

1.  Inicia sesión en la cuenta AWS Organizations de administración y, a continuación, abre la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión 2/home](https://console.aws.amazon.com/inspector/v2/home). 

1.  Utilice el Región de AWS selector para especificar Región de AWS dónde desea designar al administrador delegado. 

1.  Del panel de navegación, elija **Configuración general**. 

1.  En **Administrador delegado**, introduzca el identificador de 12 dígitos del Cuenta de AWS que desee designar como administrador delegado. 

1.  Elija **Delegado** y, a continuación, vuelva a elegir **Delegado**. 

 Al designar un administrador delegado, [todos los tipos de análisis](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html) se activan de forma predeterminada para la cuenta. Si desea activar Amazon Inspector para la cuenta AWS Organizations de administración, complete el siguiente procedimiento. 

**Para activar Amazon Inspector para la cuenta AWS Organizations de administración**

1.  Inicie sesión en la cuenta de administrador delegado y, a continuación, abra la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión](https://console.aws.amazon.com/inspector/v2/home) 2/home. 

1.  Del panel de navegación, elija **Administración de cuentas**. 

1.  **En **Cuentas**, selecciona la cuenta de AWS Organizations administración y, a continuación, selecciona Activar.** 

1.  Seleccione los tipos de digitalización que desee activar para la cuenta AWS Organizations de administración y, a continuación, seleccione **Enviar**. 

------
#### [ API ]

**Designación de un administrador delegado con la API**
+  Ejecute la operación de la [EnableDelegatedAdminAccount](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html)API con las credenciales de la cuenta Cuenta de AWS de administración de Organizations. También puede usar el AWS Command Line Interface para hacer esto ejecutando el siguiente comando CLI:`aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111`. 
**nota**  
 Debe especificar el ID de la cuenta que desea convertir en administrador delegado de Amazon Inspector. 

------

# Activación de los análisis de Amazon Inspector para cuentas de miembros
<a name="adding-member-accounts"></a>

 Puedes activar Amazon Inspector para las cuentas de los miembros de tu organización mediante varios métodos. El método que elija depende de sus requisitos de gobierno y de su estructura organizativa. 

**AWS Organizations políticas (recomendadas para una gobernanza centralizada)**  
 Usa AWS Organizations políticas para habilitar automáticamente Amazon Inspector en toda tu organización con un control centralizado. Este enfoque garantiza una cobertura de digitalización uniforme y se aplica automáticamente a las cuentas nuevas. Para obtener instrucciones detalladas, consulte la AWS Organizations documentación para crear las políticas de Amazon Inspector. 

**Activación por administrador delegado**  
 Como administrador delegado, puede activar Amazon Inspector manualmente para cuentas de miembros específicas o para todas las cuentas de miembros a través de la consola o la API de Amazon Inspector. Este enfoque proporciona flexibilidad cuando no se utilizan las políticas de la organización. 

**Autoactivación de la cuenta de los miembros**  
 Las cuentas de los miembros pueden activar Amazon Inspector para su propia cuenta cuando no estén restringidas por las políticas de la organización. Una vez activada, la cuenta se asocia al administrador delegado. 

## Activación del análisis de cuentas de los miembros
<a name="w2aac45c13c11b7"></a>

 Los siguientes procedimientos describen cómo activar el escaneo de las cuentas de los miembros mediante los métodos del administrador delegado y de las cuentas de los miembros. Para obtener más información acerca de los tipos de análisis de Amazon Inspector, consulte [Tipos de análisis automatizado en Amazon Inspector](scanning-resources.md). 

**Activación automática de los análisis de cuentas de miembros**

1.  Inicie sesión con las credenciales de la cuenta de administrador delegado y, a continuación, abra la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión](https://console.aws.amazon.com/inspector/v2/home) 2/home. 

1.  Utilice el selector de regiones para elegir la ubicación en la Región de AWS que desea activar el escaneo de todas las cuentas de los miembros. 

1.  Del panel de navegación, elija **Administración de cuentas**. La pestaña **Cuentas** muestra todas las cuentas de los miembros asociadas a la cuenta AWS Organizations de administración. 

1.  En **Organización**, seleccione la casilla situada junto al **número de cuenta**. A continuación, elija **Activar** para seleccionar las opciones de análisis que desea aplicar a las cuentas de los miembros. Puede seleccionar los siguientes tipos de análisis: 
   +  Análisis de Amazon EC2 
   +  Análisis de Amazon ECR 
   +  Análisis estándar de Lambda 
   +  Análisis de código de Lambda 

   1.  Tras seleccionar los tipos de análisis preferidos, elija **Guardar**. 
**nota**  
 Si tiene varias páginas de cuentas, debe repetir este paso en cada página. Puede elegir el icono del engranaje para cambiar el número de cuentas mostradas en cada página. 

1.  Active la configuración **Activar Inspector automáticamente para nuevas cuentas de miembros** y seleccione las opciones de análisis que desea aplicar a nuevas cuentas de miembro agregadas a la organización. Puede seleccionar los siguientes tipos de análisis: 
   +  Análisis de Amazon EC2 
   +  Análisis de Amazon ECR 
   +  Análisis estándar de Lambda 
   +  Análisis de código de Lambda 

   1.  Tras seleccionar los tipos de análisis preferidos, elija **Activar**. 
**nota**  
 El parámetro **Activar Inspector automáticamente para las nuevas cuentas de miembros** activa Amazon Inspector para todos los miembros futuros de la organización.   
 Si el número de cuentas de miembros es más de 5000, esta configuración se desactiva automáticamente. Si el número total de cuentas de miembros disminuye por debajo de 5000, la configuración se reactiva automáticamente. 

1.  (Recomendado) Repita cada uno de estos pasos en cada Región de AWS lugar donde desee activar el escaneo de las cuentas de los miembros. 

**Activación del análisis de cuentas de miembros específicas**

1.  Inicie sesión con las credenciales de la cuenta de administrador delegado y, a continuación, abra la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión](https://console.aws.amazon.com/inspector/v2/home) 2/home. 

1.  Utilice el selector de regiones para elegir la ubicación en la Región de AWS que desea activar el escaneo de todas las cuentas de los miembros. 

1.  Del panel de navegación, elija **Administración de cuentas**. La pestaña **Cuentas** muestra todas las cuentas de los miembros asociadas a la cuenta AWS Organizations de administración. 

1.  En **Organización**, marque la casilla situada junto a cada número de cuenta de miembro para la que desee activar el análisis. A continuación, elija **Activar** para seleccionar las opciones de análisis que desea aplicar a las cuentas de los miembros. Puede seleccionar los siguientes tipos de análisis: 
   +  Análisis de Amazon EC2 
   +  Análisis de Amazon ECR 
   +  Análisis estándar de Lambda 
   +  Análisis de código de Lambda 

   1.  Tras seleccionar los tipos de análisis preferidos, elija **Guardar**. 
**nota**  
 Si tiene varias páginas de cuentas, debe repetir este paso en cada página. Puede elegir el icono del engranaje para cambiar el número de cuentas mostradas en cada página. 

1.  (Recomendado) Repita cada uno de estos pasos en cada Región de AWS lugar donde desee activar el escaneo de miembros específicos. 

**Activación de los análisis como cuenta de miembro**

1.  Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión 2/home](https://console.aws.amazon.com/inspector/v2/home). 

1.  Utilice el selector de regiones para elegir Región de AWS dónde quiere activar el escaneo de todas las cuentas de los miembros. 

1.  Del panel de navegación, elija **Administración de cuentas**. La pestaña **Cuentas** muestra todas las cuentas de los miembros asociadas a la cuenta AWS Organizations de administración. 

1.  En **Organización**, seleccione la casilla situada junto al número de la cuenta. A continuación, elija **Activar** para seleccionar las opciones de análisis que desee aplicar. Puede seleccionar los siguientes tipos de análisis: 
   +  Análisis de Amazon EC2 
   +  Análisis de Amazon ECR 
   +  Análisis estándar de Lambda 
   +  Análisis de código de Lambda 

   1.  Tras seleccionar los tipos de análisis preferidos, elija **Guardar**. 

1.  (Recomendado) Repita estos pasos en cada región en la que desee activar los análisis para la cuenta de miembro. 
**nota**  
 Si su cuenta AWS Organizations de administración tiene una cuenta de administrador delegado para Amazon Inspector, puede activar su cuenta como cuenta de miembro para ver los detalles del escaneo. 

**Importante**  
 Si las políticas de la organización gestionan la habilitación de Amazon Inspector para sus cuentas, el administrador delegado y las cuentas de los miembros no pueden modificar los tipos de escaneo gestionados por políticas mediante Amazon Inspector. enablement/disablement APIs Las solicitudes de API fallarán y aparecerá un error que indicará que el recurso está gestionado por la política de la organización. Aún puedes habilitar otros tipos de análisis no gestionados por la política. 

# Desasociación de cuentas de miembros en Amazon Inspector
<a name="disassociating-member-accounts"></a>

 Como administrador delegado, es posible que tenga que desasociar una cuenta de miembro de la cuenta. Cuando desasocia una cuenta de miembro, Amazon Inspector sigue activado en la cuenta y la cuenta pasa a ser una cuenta independiente. Tampoco tiene permiso para administrar más Amazon Inspector para la cuenta. Sin embargo, puede asociar cuentas de miembros previamente desasociadas a la cuenta en cualquier momento. En esta sección se describe cómo desasociar cuentas de miembros como administrador delegado. 

**nota**  
 Para desasociar las cuentas gestionadas por políticas, no debe haber ninguna política de organización de Amazon Inspector adjunta a esa cuenta para el tipo de escaneo. 

------
#### [ Console ]

**Desasociación de las cuentas de miembros mediante la consola**

1.  [Inicie sesión con las credenciales de la cuenta de administrador delegado y, a continuación, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/ la versión 2/home](https://console.aws.amazon.com/inspector/v2/home) 

1.  Utilice el selector de regiones para elegir Región de AWS dónde quiere desasociar las cuentas de los miembros. 

1.  Del panel de navegación, elija **Administración de cuentas**. 

1.  En **Organización**, seleccione la casilla situada junto a cada número de cuenta que desea desasociar. 

1.  Elija el menú **Acciones** y, a continuación, elija **Desasociar cuenta**. 

------
#### [ API ]

**Para desasociar las cuentas de miembros mediante la API**

Use la operación de la API de [DisassociateMember](https://docs.aws.amazon.com/inspector/v2/APIReference/API_DisassociateMember.html). En la solicitud, indica la cuenta IDs que vas a desvincular.

------

# Eliminación del administrador delegado en Amazon Inspector
<a name="remove-delegated-admin"></a>

 Es posible que tenga que eliminar la cuenta de administrador delegado de Amazon Inspector. Puedes hacerlo desde la cuenta de AWS Organizations administración. Al eliminar la cuenta de administrador delegado de Amazon Inspector, Amazon Inspector seguirá activado en la cuenta y en todas las cuentas de sus miembros. La cuenta de administrador delegado y todas sus cuentas de miembro se convierten en cuentas independientes y retienen su configuración de análisis original. 

**nota**  
 Si AWS Organizations las políticas gestionan la habilitación de Amazon Inspector, la eliminación del administrador delegado no afecta a la aplicación de la política. Las cuentas permanecerán habilitadas de acuerdo con la configuración de las políticas de la organización, aunque las conclusiones sobre las cuentas de los miembros ya no estarán visibles en la consola central de administradores delegados hasta que se designe a un nuevo administrador delegado. 

 En esta sección se describe cómo eliminar la cuenta de administrador delegado. 

## Eliminación del administrador delegado de Amazon Inspector
<a name="w2aac45c13c15b9"></a>

 Los siguientes procedimientos describen cómo eliminar al administrador delegado de Amazon Inspector y cómo asociar las cuentas de los miembros de la cuenta del administrador delegado. 

 Para obtener información sobre cómo asignar un administrador delegado de Amazon Inspector, consulte [Designación de una cuenta de administrador delegado para Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html). 

**nota**  
 Tras asignar un administrador delegado de Amazon Inspector, el administrador delegado de Amazon Inspector debe asociar las cuentas de los miembros manualmente. 

**Eliminación de un administrador delegado**

1.  Inicie sesión Consola de administración de AWS con la cuenta de AWS Organizations administración. 

1.  Abre la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión 2/home](https://console.aws.amazon.com/inspector/v2/home). 

1.  Utilice el selector de regiones para elegir la ubicación Región de AWS en la que desea eliminar al administrador delegado. 

1.  Del panel de navegación, elija **Configuración general**. 

1.  En **Administrador delegado**, elija **Eliminar** y, a continuación, confirme su acción. 

**Asociación de miembros con un nuevo administrador delegado**

1.  Inicie sesión con las credenciales de la cuenta de administrador delegado y, a continuación, abra la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión](https://console.aws.amazon.com/inspector/v2/home) 2/home. 

1.  Utilice el selector de regiones para elegir el Región de AWS lugar al que desea asociar miembros. 

1.  Del panel de navegación, elija **Administración de cuentas**. 

1.  En **Organización**, seleccione la casilla situada junto al **número de cuenta**. 

1.  Elija **Acciones** y **Agregar miembro**.