委任 GuardDuty 管理者アカウントの変更

ステップ 1 - 各リージョンの既存の委任 GuardDuty 管理者アカウントを削除するには

1. 既存の委任 GuardDuty 管理者アカウントとして、管理者アカウントに関連付けられているすべてのメンバーアカウントを一覧表示します。 を実行するListMembersOnlyAssociated=false を伴う 。

2. GuardDuty またはオプションの保護プランの自動有効化設定が に設定されている場合はALL、 を実行します。 UpdateOrganizationConfiguration は、組織設定を NEWまたは に更新しますNONE。このアクションにより、次のステップですべてのメンバーアカウントの関連付けを解除するときのエラーを防止します。

3. を実行するDisassociateMembers は、管理者アカウントに関連付けられているすべてのメンバーアカウントの関連付けを解除します。

4. を実行するDeleteMembers は、管理者アカウントとメンバーアカウント間の関連付けを削除します。

5. 組織管理アカウントとして、 を実行します。 DisableOrganizationAdminAccount 既存の委任 GuardDuty 管理者アカウントを削除します。

6. この委任 GuardDuty 管理者アカウントがある各 AWS リージョン で、これらのステップを繰り返します。

ステップ 2 - で既存の委任 GuardDuty 管理者アカウントの登録を解除するには AWS Organizations (1 回限りのグローバルアクション）

• AWS Organizations API リファレンスDeregisterDelegatedAdministratorで を実行して、既存の委任 GuardDuty 管理者アカウントの登録を解除します AWS Organizations。

  または、次の AWS CLI コマンドを実行できます。

  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com

  を既存の委任 GuardDuty 管理者アカウント111122223333に置き換えてください。

  古い委任 GuardDuty 管理者アカウントを登録解除したら、それを新しい委任 GuardDuty 管理者アカウントのメンバーアカウントとして追加できます。

1. コンソール、または APIまたは を使用して GuardDuty 、各リージョンの新しい委任 GuardDuty 管理者アカウントを指定します AWS CLI。詳細については、「委任 GuardDuty 管理者アカウントの指定」を参照してください。

2. DescribeOrganizationConfiguration を実行して、組織の現在の自動有効化設定を表示します。

   重要

   新しい委任 GuardDuty 管理者アカウントにメンバーを追加する前に、組織の自動有効化設定を確認する必要があります。この設定は、新しい委任 GuardDuty 管理者アカウントと選択したリージョンに固有であり、関連しません AWS Organizations。新しい委任 GuardDuty 管理者アカウントの下に (新規または既存の) 組織メンバーアカウントを追加すると、新しい委任 GuardDuty 管理者アカウントの自動有効化設定は、 GuardDuty またはそのオプションの保護プランを有効にするときに適用されます。

   任意のアクセス方法 - GuardDuty コンソール、 APIまたは を使用して、新しい委任 GuardDuty 管理者アカウントの組織設定を変更します AWS CLI。詳細については、「組織の自動有効化の詳細設定の指定」を参照してください。