委任 GuardDuty 管理者アカウントの変更

ステップ 1 - 各リージョンの既存の委任 GuardDuty 管理者アカウントを削除するには

1. 既存の委任 GuardDuty 管理者アカウントとして、管理者アカウントに関連付けられているすべてのメンバーアカウントを一覧表示します。OnlyAssociated=false を使用して ListMembers を実行します。

2. GuardDuty またはオプションの保護プランの自動有効化の詳細設定が ALL に設定されている場合は、UpdateOrganizationConfiguration を実行して組織設定を NEW または NONE に更新します。このアクションにより、次のステップですべてのメンバーアカウントの関連付けを解除するときのエラーを防止します。

3. DisassociateMembers を実行して、管理者アカウントに関連付けられているすべてのメンバーアカウントの関連付けを解除します。

4. DeleteMembers を実行して、管理者アカウントとメンバーアカウント間の関連付けを削除します。

5. 組織管理アカウントとして、DisableOrganizationAdminAccount を実行して既存の委任 GuardDuty 管理者アカウントを削除します。

6. この委任 GuardDuty 管理者アカウントがある AWS リージョンごとに、これらのステップを繰り返します。

ステップ 2 - AWS Organizations で既存の委任 GuardDuty 管理者アカウントの登録を解除するには (1 回限りのグローバルアクション)

• 「AWS Organizations API Reference」の DeregisterDelegatedAdministrator を実行して、AWS Organizations で既存の委任 GuardDuty 管理者アカウントを登録解除します。

  または、以下の AWS CLI コマンドを実行できます。

  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com

  111122223333 は既存の委任 GuardDuty 管理者アカウントに必ず置き換えてください。

  古い委任 GuardDuty 管理者アカウントを登録解除したら、新しい委任 GuardDuty 管理者アカウントにメンバーアカウントとして追加できます。

1. GuardDuty コンソール、API、または AWS CLI から任意のアクセス方法を使用して、各リージョンの新しい委任 GuardDuty 管理者アカウントを指定します。詳細については、「委任 GuardDuty 管理者アカウントの指定」を参照してください。

2. DescribeOrganizationConfiguration を実行して、組織の現在の自動有効化設定を表示します。

   重要

   新しい委任 GuardDuty 管理者アカウントにメンバーを追加する前に、組織の自動有効化設定を確認する必要があります。この設定は、新しい委任 GuardDuty 管理者アカウントおよび選択したリージョンに固有であり、AWS Organizations には関連しません。新しい委任 GuardDuty 管理者アカウントの下に (新規または既存の) 組織メンバーアカウントを追加すると、GuardDuty またはオプションの保護プランが有効になるときに、新しい委任 GuardDuty 管理者アカウントの自動有効化設定が適用されます。

   GuardDuty コンソール、API、または AWS CLI から任意のアクセス方法を使用して、新しい委任 GuardDuty 管理者アカウントの組織設定を変更します。詳細については、「組織の自動有効化の詳細設定の指定」を参照してください。