Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Designación del Detective administrador de una organización
<a name="accounts-designate-admin"></a>

En el gráfico de comportamiento de la organización, la cuenta de administrador de Detective gestiona la suscripción al gráfico de comportamiento de todas las cuentas de la organización.

Cómo se administra la cuenta de administrador de Detectives: la cuenta de administración de la organización designa la cuenta de administrador de Detectives de la organización en cada una Región de AWS de ellas.

Establecer la cuenta de administrador de Detective como cuenta de administrador delegado: la cuenta de administrador de Detective también se convierte en la cuenta de administrador delegado de Detective in. AWS Organizations La excepción es si la cuenta de administración de la organización se designa como la cuenta de administrador de Detective. La cuenta de administración de la organización no puede ser un administrador delegado en Organizations.

Una vez configurada la cuenta de administrador delegado en Organizations, la cuenta de administración de la organización solo puede elegir la cuenta de administrador delegado o su propia cuenta como cuenta de administrador de Detective. Le recomendamos que elija la cuenta de administrador delegado en todas las regiones.

Creación y administración del gráfico de comportamiento de la organización: cuando la cuenta de administración de la organización elige una cuenta de administrador de detectives, Detective crea un nuevo gráfico de comportamiento para esa cuenta. Ese gráfico de comportamiento es el gráfico de comportamiento de la organización.

Si la cuenta de administrador de Detective es una cuenta de administrador para un gráfico de comportamiento existente, ese gráfico de comportamiento se convierte en el gráfico de comportamiento de la organización.

La cuenta de administrador de Detective elige cuentas de la organización para habilitarlas como cuentas de miembros en el gráfico de comportamiento de la organización.

![\[En este diagrama se muestra cómo la cuenta de administración de la organización selecciona la cuenta de administrador de Detective. La cuenta de administrador de Detective es la cuenta de administrador del gráfico de comportamiento de la organización y la cuenta de administrador delegado en Organizations. La cuenta de administrador de Detective tiene acceso a todas las cuentas de la organización.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/diagram_account_delegation.png)


La cuenta de administrador de Detective también puede enviar invitaciones a cuentas que no pertenecen a la organización. Para obtener más información, consulte [Administrar las cuentas de la organización como cuentas de miembros de Detectives](accounts-orgs-members.md) y [Administrar las cuentas de los miembros invitados en Detective](accounts-invited-members.md).

Permisos necesarios para configurar la cuenta de administrador de Detective: para garantizar que la cuenta de administración de la organización pueda configurar la cuenta de administrador de Detective, puede adjuntar la [política `AmazonDetectiveOrganizationsAccess` gestionada](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) a sus entidades AWS Identity and Access Management (IAM).

# Designación de un administrador de Detectives
<a name="accounts-designate-admin-console"></a>

La cuenta de administración de la organización puede utilizar la consola de Detective para designar la cuenta de administrador de Detective.

No es necesario habilitar Detective para administrar la cuenta de administrador de Detective. Puede administrar la cuenta de administrador de Detective desde la página **Habilitar Detective**.

------
#### [ Enable Detective page (Console) ]

Para designar un administrador de Detectives desde la página **Activar Detective**, sigue estos pasos.

1. Abra la consola de Amazon Detective en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Elija **Comenzar**.

1. En el panel **Permisos necesarios para las cuentas de administrador**, conceda los permisos necesarios a la cuenta para que pueda trabajar como administrador de Detective, con pleno acceso a todas las acciones de Detective. Para trabajar como administrador, se recomienda asociar la política `AmazonDetectiveFullAccess` a la entidad principal. 

1. Elija **Adjuntar política de IAM** para ver la política recomendada directamente en la consola de IAM.

1. En función de si tiene permisos en la consola de IAM o no, continúe de la siguiente forma: 
   + Si tiene permisos para trabajar con la consola de IAM, asocie la política recomendada a la entidad principal que utiliza para Detective.
   + Si no tiene permisos para trabajar con la consola de IAM, copie el nombre de recurso de Amazon (ARN) de la política para proporcionarlo al administrador de IAM. El administrador puede asociar la política en su nombre.

1.  En **Administrador delegado**, elija la cuenta de administrador de Detective.

   Habrá unas opciones disponibles u otras en función de si ha designado o no una cuenta de administrador delegado para Detective en Organizations.
   + Si no tiene una cuenta de administrador delegado para Detective en Organizations, introduzca el identificador de la cuenta para designarla como cuenta de administrador de Detective.

     Es posible que ya tenga una cuenta de administrador y un gráfico de comportamiento a raíz del proceso de invitación manual. En ese caso, se recomienda designar esa cuenta como cuenta de administrador de Detective.

     Si tiene una cuenta de administrador delegado en Organizations for Amazon o Amazon Macie GuardDuty AWS Security Hub CSPM, Detective le pedirá que seleccione una de esas cuentas. También puede introducir una cuenta diferente.
   + Si tiene una cuenta de administrador delegado para Detective en Organizations, se le solicitará que elija esa cuenta o su propia cuenta. Le recomendamos que elija la cuenta de administrador delegado en todas las regiones.

1. Elija **Delegar**.

Si tiene Detective habilitado o su cuenta es una cuenta de miembro en un gráfico de comportamiento, puede designar la cuenta de administrador de Detective en la página **General**.

------
#### [ General page (Console) ]

Para designar un administrador de Detectives desde la página **General**, sigue estos pasos.

1. Abra la consola de Amazon Detective en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación de Detective, vaya a **Configuración** y elija **General**.

1. En el panel **Políticas administradas**, puede obtener más información sobre todas las políticas administradas que admite Detective. Puede conceder los permisos necesarios a una cuenta en función de las acciones que quiera permitir a los usuarios en Detective. Para trabajar como administrador, se recomienda asociar la política `AmazonDetectiveFullAccess` a la entidad principal. 

1. En función de si tiene permisos en la consola de IAM o no, continúe de la siguiente forma: 
   + Si tiene permisos para trabajar con la consola de IAM, asocie la política recomendada a la entidad principal que utiliza para Detective.
   + Si no tiene permisos para trabajar con la consola de IAM, copie el nombre de recurso de Amazon (ARN) de la política para proporcionarlo al administrador de IAM. El administrador puede asociar la política en su nombre.

   Habrá unas opciones disponibles u otras en función de si ha designado o no una cuenta de administrador delegado para Detective en Organizations.
   + Si no tiene una cuenta de administrador delegado para Detective en Organizations, introduzca el identificador de la cuenta para designarla como cuenta de administrador de Detective.

     Es posible que ya tenga una cuenta de administrador y un gráfico de comportamiento a raíz del proceso de invitación manual. En ese caso, se recomienda designar esa cuenta como cuenta de administrador de Detective.

     Si tiene una cuenta de administrador delegado en Organizations for Amazon o Amazon Macie GuardDuty AWS Security Hub CSPM, Detective le pedirá que seleccione una de esas cuentas. También puede introducir una cuenta diferente.
   + Si tiene una cuenta de administrador delegado para Detective en Organizations, se le solicitará que elija esa cuenta o su propia cuenta. Le recomendamos que elija la cuenta de administrador delegado en todas las regiones.

1. Elija **Delegar**.

------
#### [ Detective API, AWS CLI ]

Para designar la cuenta de administrador de Detective, puede utilizar una llamada a la API o la AWS Command Line Interface. Debe utilizar las credenciales de la cuenta de administración de la organización.

Si ya tiene una cuenta de administrador delegado para Detective en Organizations, debe elegir esa cuenta o su propia cuenta. Se recomienda que elija la cuenta de administrador delegado.

**Para designar la cuenta de administrador de Detective (API de Detective AWS CLI),**
+ **API de Detective**: utilice la operación [https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html). Debe proporcionar el identificador de la cuenta de AWS para la cuenta de administrador de Detective. Para obtener el identificador de la cuenta, utilice la operación [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html).
+ **AWS CLI:**: en la línea de comandos, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html).

  ```
  aws detective enable-organization-admin-account --account-id <admin account ID>
  ```

  **Ejemplo**

  ```
  aws detective enable-organization-admin-account --account-id 777788889999
  ```

------

# Eliminación de la cuenta de administrador de Detective
<a name="accounts-remove-admin-overview"></a>

La cuenta de administración de la organización puede eliminar la cuenta de administrador delegado en una región. Al eliminar la cuenta de administrador de Detective, Detective solo la elimina de la región actual. No cambia la cuenta de administrador delegado en Organizations.

Cuando la cuenta de administración de la organización elimina la cuenta de administrador de Detective en una región, Detective elimina el gráfico de comportamiento de la organización. Detective se deshabilita en la cuenta de administrador de Detective eliminada.

Para eliminar la cuenta de administrador delegado actual de Detective, utilice la API de Organizations. Al eliminar la cuenta de administrador delegado de Detective en Organizations, Detective elimina todos los gráficos de comportamiento de la organización en las que la cuenta de administrador delegado es la cuenta de administrador de Detective. Los gráficos de comportamiento de la organización que tienen la cuenta de administración de la organización como cuenta de administrador de Detective no se ven afectados.

------
#### [ Console ]

En la consola de Detective, puede eliminar la cuenta de administrador de Detective.

Al eliminar la cuenta de administrador de Detective, Detective se deshabilita en la cuenta y se elimina el gráfico de comportamiento de la organización. La cuenta de administrador de Detective solo se elimina en la región actual.

**importante**  
Eliminar una cuenta de administrador de Detective no afecta a la cuenta de administrador delegado en Organizations.

**Eliminación de la cuenta de administrador de Detective (página **Habilitar Detective**)**

1. Abra la consola de Amazon Detective en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Elija **Comenzar**.

1. En **Administrador delegado**, elija **Deshabilitar Amazon Detective**.

1. En el cuadro de diálogo de confirmación, introduzca **disable** y, a continuación, elija **Deshabilitar Amazon Detective**.

**Eliminación de una cuenta de administrador de Detective (página **General**)**

1. Abra la consola de Amazon Detective en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación de Detective, vaya a **Configuración** y elija **General**.

1. En **Administrador delegado**, elija **Deshabilitar Amazon Detective**.

1. En el cuadro de diálogo de confirmación, introduzca **disable** y, a continuación, elija **Deshabilitar Amazon Detective**.

------
#### [ Detective API, AWS CLI ]

Para eliminar la cuenta de administrador de Detective, puede utilizar una llamada a la API o la AWS CLI. Debe utilizar las credenciales de la cuenta de administración de la organización.

Al eliminar la cuenta de administrador de Detective, Detective se deshabilita en la cuenta y se elimina el gráfico de comportamiento de la organización.

**importante**  
Eliminar una cuenta de administrador de Detective no afecta a la cuenta de administrador delegado en Organizations.

**Para eliminar la cuenta de administrador de Detective (API de Detective AWS CLI),**
+ **API de Detective**: utilice la operación [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html). 

  Si se utiliza la API de Detective para eliminar la cuenta de administrador de Detective, solo se elimina en la región en la que se emitió la llamada a la API o el comando. 
+ **AWS CLI:**: en la línea de comandos, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html).

  ```
  aws detective disable-organization-admin-account
  ```

------

## Eliminar la cuenta de administrador delegado
<a name="accounts-remove-admin-orgs-api"></a>

Al eliminar una cuenta de administrador de Detective no se elimina automáticamente la cuenta de administrador delegado en Organizations. Para eliminar la cuenta de administrador delegado actual de Detective, puede utilizar la API de Organizations. 

Al eliminar la cuenta de administrador delegado, se eliminan todos los gráficos de comportamiento de la organización en las que la cuenta de administrador delegado es la cuenta de administrador de Detective. También se deshabilita Detective para la cuenta en esas regiones.

**Para eliminar la cuenta de administrador delegado (Organizations API, AWS CLI)**
+ **API de Organizations**: utilice la operación [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html). Debe proporcionar el identificador de la cuenta de administrador de Detective y la entidad principal del servicio de Detective, que es `detective.amazonaws.com`.
+ **AWS CLI:**: en la línea de comandos, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html).

  ```
  aws organizations deregister-delegated-administrator --account-id <Detective administrator account ID> --service-principal <Detective service principal>
  ```

  **Ejemplo**

  ```
  aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com
  ```