Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Varias cuentas en Amazon GuardDuty
<a name="guardduty_accounts"></a>

Cuando su AWS entorno tiene varias cuentas, puede administrarlas designando una Cuenta de AWS como cuenta de administrador. A continuación, puede asociar el múltiplo Cuentas de AWS a esta cuenta de administrador como sus cuentas de miembros. Con esta configuración, una cuenta de GuardDuty administrador designada puede evaluar y supervisar la seguridad general de su organización. La cuenta de administrador también puede realizar tareas de administración de cuentas, como revisar todos los hallazgos generados y configurar los planes de protección en ella GuardDuty. 

En GuardDuty, una organización consta de una cuenta de GuardDuty administrador delegado y una o más cuentas de miembros asociadas. Puede asociar las cuentas de dos maneras: integrándolas o utilizando un método tradicional de enviar y aceptar invitaciones de membresía en la GuardDuty consola. AWS Organizations GuardDuty recomienda que se integre con AWS Organizations. 

AWS Organizations es un servicio de administración de cuentas global que permite a AWS los administradores consolidar y administrar múltiples cuentas de forma centralizada Cuentas de AWS. Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin cargo adicional y se integra con varios Servicios de AWS, incluidos Macie y Amazon GuardDuty. AWS Security Hub CSPM Para obtener más información, consulte la [Guía del usuario de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

**Topics**
+ [Comprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros](administrator_member_relationships.md)
+ [Administrar GuardDuty cuentas con AWS Organizations](guardduty_organizations.md)
+ [Administrar GuardDuty cuentas por invitación](guardduty_invitations.md)
+ [GuardDuty consideraciones para exportar los detalles de las cuentas de los miembros en formato CSV](exporting-guardduty-accounts-data-to-csv.md)

# Comprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros
<a name="administrator_member_relationships"></a>

Cuando se utiliza GuardDuty en un entorno de varias cuentas, la cuenta de administrador puede gestionar determinados aspectos de las cuentas de los miembros GuardDuty en nombre de las cuentas de los miembros. Una cuenta de administrador puede realizar las siguientes funciones principales:
+ **Agregar y eliminar cuentas de miembros asociadas**: el proceso mediante el cual una cuenta de administrador puede hacerlo varía según la forma en que administre las cuentas, mediante el método de invitación AWS Organizations o según el método de GuardDuty invitación.

  GuardDuty recomienda administrar sus cuentas de miembros mediante AWS Organizations.
+ **Habilitación de la cuenta de GuardDuty administrador delegado GuardDuty en la cuenta de administración**: si la cuenta AWS Organizations de administración alguna vez se desactiva GuardDuty, la cuenta de GuardDuty administrador delegado puede habilitarla GuardDuty en la cuenta de administración. Sin embargo, es necesario que la cuenta de administración no haya eliminado explícitamente el [Permisos de rol vinculados al servicio para GuardDuty](slr-permissions.md).
+ *Configurar el estado de las cuentas de los miembros*: una cuenta de administrador puede habilitar o deshabilitar el estado de los planes de GuardDuty protección y habilitar, suspender o deshabilitar el estado GuardDuty en nombre de las cuentas de los miembros asociadas.

  La cuenta de GuardDuty administrador delegado gestionada con AWS Organizations puede activarse automáticamente GuardDuty cuando Cuentas de AWS se añaden como miembros.
+ **Personalice cuándo generar hallazgos**: una cuenta de administrador puede personalizar los hallazgos dentro de la GuardDuty red mediante la creación y administración de reglas de supresión, listas de IP confiables y listas de amenazas. En un entorno de cuentas múltiples, el soporte para configurar estas funciones solo está disponible para una cuenta de administrador delegado GuardDuty . Una cuenta de miembro no puede actualizar esta configuración.

En la siguiente tabla se detalla la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros.

**Clave para la tabla**
+ **Auto**: una cuenta solo puede realizar la acción enumerada para su propia cuenta.
+ **Cualquiera**: una cuenta puede realizar la acción enumerada para cualquier cuenta asociada.
+ **Todas**: una cuenta puede realizar la acción enumerada y se aplica a todas las cuentas asociadas. Por lo general, la cuenta que realiza esta acción es una cuenta de GuardDuty administrador designada
+ **Celdas con guión (-)**: las celdas de la tabla con guión (-) indican que la cuenta no puede realizar la acción indicada.


| 
| 
| **Action** | **A través de AWS Organizations** | **Por invitación** | 
| --- |--- |--- |
| **Cuenta de GuardDuty administrador delegado** | **Cuenta de miembro asociada** | **GuardDuty cuenta de administrador** | **Cuenta de miembro asociada** | 
| --- |--- |--- |--- |
| Habilitar GuardDuty | Cualquiera | – | Auto | Auto | 
| Habilitar GuardDuty automáticamente para toda la organización (ALL,NEW,NONE) | Todos | – | – | – | 
| Ver todas las cuentas de los miembros de Organizations, independientemente de su GuardDuty estado | Cualquiera | – | – | – | 
| Genere ejemplos de hallazgos | Auto | Auto | Auto | Auto | 
| Ver todos los GuardDuty hallazgos | Cualquiera | Propia | Cualquiera | Propia | 
| Archive GuardDuty los hallazgos | Cualquiera | – | Cualquiera | – | 
| Aplicar reglas de supresión | Todos | – | Todos | – | 
| Cree listas de IP confiables o listas de amenazas | Todos | – | Todos | – | 
| Actualice la lista de IP de confianza o las listas de amenazas | Todos | – | Todos | – | 
| Elimine la lista de IP de confianza o las listas de amenazas | Todos | – | Todos | – | 
| Establezca la frecuencia EventBridge de las notificaciones | Todos | – | Todos | – | 
| Establecer la ubicación de Amazon S3 para exportar resultados | Todos | Auto | Auto | Auto | 
|  Habilitar uno o varios planes de protección opcionales para toda la organización (`ALL`, `NEW`, `NONE`) Esto no incluye la protección contra malware para S3.  | Todos | – | – | – | 
| Habilite cualquier plan de GuardDuty protección para cuentas individuales Esto no incluye Malware Protection for EC2 y la protección contra malware para S3. | Cualquiera | – | Cualquiera | – | 
|  Malware Protection for EC2  | Cualquiera | – | Propia | – | 
|  Malware Protection for EC2: análisis de malware bajo demanda  | Cualquiera | Auto | Auto | Auto | 
|  Protección contra malware para S3  | – | Auto | – | Auto | 
| Desvincular una cuenta de miembro | Cualquier \$1 | – | Cualquiera | – | 
| Desasociarse de una cuenta de administrador | – | – | – | Auto | 
| Eliminar una cuenta de miembro disociada | Cualquiera | – | Cualquiera | – | 
| Suspender GuardDuty | Cualquier \$1 | – | Cualquier \$1 | – | 
| Desactivar GuardDuty | Cualquier \$1 | – | Cualquier \$1 | Auto | 

\$1 Indica que la cuenta de GuardDuty administrador delegado solo puede realizar esta acción si no ha configurado las preferencias de activación automática para los miembros de `ALL` la organización.

\$1 Indica que una cuenta de GuardDuty administrador delegado no se puede deshabilitar directamente GuardDuty en la cuenta de un miembro. La cuenta de GuardDuty administrador delegado primero debe desasociar la cuenta de miembro y, a continuación, eliminarla. Después de esto, cada cuenta de miembro puede desactivarse GuardDuty en sus propias cuentas. Para obtener más información sobre cómo realizar estas tareas en la organización, consulte [Administre continuamente sus cuentas de miembros dentro de GuardDuty](maintaining-guardduty-organization-delegated-admin.md).

# Administrar GuardDuty cuentas con AWS Organizations
<a name="guardduty_organizations"></a>

En una AWS organización, la cuenta de administración puede designar cualquier cuenta de esta organización como cuenta de administrador delegado. GuardDuty Para esta cuenta de administrador, GuardDuty se habilita automáticamente solo en la cuenta actual Región de AWS. De forma predeterminada, la cuenta de administrador puede habilitar y administrar todas GuardDuty las cuentas de los miembros de la organización dentro de esa región. La cuenta de administrador puede ver y añadir miembros a esta AWS organización.

En las siguientes secciones, se explican diversas tareas que puede realizar como cuenta de GuardDuty administrador delegado.

**Topics**
+ [Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations](#delegated_admin_important)
+ [Permisos necesarios para designar una cuenta de GuardDuty administrador delegado](organizations_permissions.md)
+ [Designación de una cuenta de administrador delegado GuardDuty](delegated-admin-designate.md)
+ [Configuración de las preferencias de habilitación automática de la organización](set-guardduty-auto-enable-preferences.md)
+ [Cómo agregar miembros a la organización](add-member-accounts-guardduty-organization.md)
+ [(Opcional) Habilitar planes de protección para cuentas de miembro existentes](guardduty_quick_protection_plan_config.md)
+ [Administre continuamente sus cuentas de miembros dentro de GuardDuty](maintaining-guardduty-organization-delegated-admin.md)
+ [Suspensión GuardDuty para cuenta de miembro](suspending-guardduty-member-account-from-admin.md)
+ [Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md)
+ [Eliminar las cuentas de los miembros de GuardDuty la organización](delete-member-accounts-guardduty-organization.md)
+ [Cambiar la cuenta de GuardDuty administrador delegado](change-guardduty-delegated-admin.md)

## Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations
<a name="delegated_admin_important"></a>

Las siguientes consideraciones y recomendaciones pueden ayudarle a entender cómo funciona una cuenta de GuardDuty administrador delegado en GuardDuty:

**Una cuenta de GuardDuty administrador delegado puede gestionar un máximo de 50 000 miembros.**  
Hay un límite de 50 000 cuentas de miembros por cuenta de GuardDuty administrador delegado. Esto incluye las cuentas de miembros que se agreguen a través de su organización AWS Organizations o las que hayan aceptado la invitación de la cuenta de GuardDuty administrador para unirse a su organización. Sin embargo, puede haber más de 50 000 cuentas en su AWS organización.  
Si superas el límite de 50 000 cuentas de CloudWatch miembros, recibirás una notificación y un correo electrónico a la cuenta de GuardDuty administrador delegado designada. Panel de estado

**Una cuenta de GuardDuty administrador delegado es regional.**  
A diferencia AWS Organizations de, GuardDuty es un servicio regional. Las cuentas de GuardDuty administrador delegado y sus cuentas de miembros deben añadirse AWS Organizations en cada región deseada en la que se haya GuardDuty activado. Si la cuenta de administración de la organización designa una cuenta de GuardDuty administrador delegado solo en EE. UU. Este (Norte de Virginia), la cuenta de GuardDuty administrador delegado solo administrará las cuentas de los miembros que se agreguen a la organización en esa región. Para obtener más información sobre la paridad de funciones en las regiones en las que GuardDuty está disponible, consulte. [Regiones y puntos de conexión](guardduty_regions.md)

**Casos especiales para las regiones incluidas**  
+ Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (`NEW`) o para todas las cuentas de miembros (`ALL`), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra **Cuentas** en el panel de navegación de la [GuardDuty consola](https://console.aws.amazon.com/guardduty/) o utilice la API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)
+ Cuando trabaje con la configuración de GuardDuty activación automática establecida en`NEW`, asegúrese de que se cumpla la siguiente secuencia:

  1. Las cuentas de miembro se incluyen en una región incluida.

  1. Agregue las cuentas de miembro a la organización en AWS Organizations.

  Si cambias el orden de estos pasos, la configuración de GuardDuty activación automática con **no `NEW` funcionará** en la región de suscripción específica porque la cuenta de miembro ya no es nueva en la organización. GuardDuty ofrece dos soluciones alternativas: 
  + Establezca la configuración de GuardDuty activación automática en`ALL`, que incluye las cuentas de los miembros nuevas y existentes. En este caso, el orden de estos pasos no es relevante.
  + Si la cuenta de un miembro ya forma parte de su organización, gestione la GuardDuty configuración de esta cuenta de forma individual en la región de suscripción específica mediante la GuardDuty consola o la API.

**Es obligatorio para que una AWS organización tenga la misma cuenta de GuardDuty administrador delegado en todas las. Regiones de AWS**  
Debe designar una cuenta de miembro como cuenta de GuardDuty administrador delegado en todos los Regiones de AWS lugares GuardDuty que estén habilitados. Por ejemplo, si designa una cuenta de miembro *111122223333* en*Europe (Ireland)*, no podrá designar otra cuenta de miembro *555555555555* en*Canada (Central)*. Es obligatorio que utilices la misma cuenta que la cuenta de GuardDuty administrador delegado en todas las demás regiones.  
Puede designar una nueva cuenta de GuardDuty administrador delegado en cualquier momento. Para obtener más información sobre cómo eliminar la cuenta de GuardDuty administrador delegado existente, consulte. [Cambiar la cuenta de GuardDuty administrador delegado](change-guardduty-delegated-admin.md)

**No se recomienda configurar la cuenta de administración de la organización como cuenta de GuardDuty administrador delegado.**  
La cuenta de administración de su organización puede ser la cuenta de GuardDuty administrador delegado. Sin embargo, las prácticas recomendadas de seguridad de AWS siguen el principio de privilegios mínimos y no recomiendan esta configuración.

**El cambio de una cuenta de GuardDuty administrador delegado no desactiva las cuentas de GuardDuty los miembros.**  
Si elimina una cuenta de GuardDuty administrador delegado, GuardDuty elimina todas las cuentas de miembro asociadas a esta cuenta de administrador delegado GuardDuty . GuardDuty sigue habilitada para todas estas cuentas de miembros.

# Permisos necesarios para designar una cuenta de GuardDuty administrador delegado
<a name="organizations_permissions"></a>

Para empezar a usar Amazon GuardDuty con AWS Organizations, la cuenta AWS Organizations de administración de la organización designa una cuenta como cuenta de GuardDuty administrador delegado. Esto se habilita GuardDuty como un servicio confiable en. AWS Organizations También habilita GuardDuty la cuenta de GuardDuty administrador delegado y también permite que la cuenta de administrador delegado active y gestione otras cuentas GuardDuty de la organización en la región actual. Para obtener información sobre cómo se conceden estos permisos, consulte [Utilización AWS Organizations con otros AWS servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Como cuenta de AWS Organizations administración, antes de designar la cuenta de GuardDuty administrador delegado para su organización, compruebe que puede realizar la siguiente GuardDuty acción:`guardduty:EnableOrganizationAdminAccount`. Esta acción le permite designar la cuenta de GuardDuty administrador delegado para su organización mediante. GuardDuty También debe asegurarse de que está autorizado a realizar las AWS Organizations acciones que le ayuden a recuperar información sobre su organización.

Para conceder estos permisos, incluye la siguiente declaración en la política AWS Identity and Access Management (IAM) de tu cuenta:

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

Si desea designar su cuenta AWS Organizations de administración como cuenta de GuardDuty administrador delegado, su cuenta también necesitará la acción de IAM:. `CreateServiceLinkedRole` Esta acción le permite inicializar la cuenta de GuardDuty administración. Sin embargo, revise [Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations](guardduty_organizations.md#delegated_admin_important) antes de proceder a agregar los permisos. 

Para continuar designando la cuenta de administración como cuenta de GuardDuty administrador delegado, añada la siguiente declaración a la política de IAM y *111122223333* sustitúyala por el Cuenta de AWS ID de la cuenta de administración de su organización:

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# Designación de una cuenta de administrador delegado GuardDuty
<a name="delegated-admin-designate"></a>

En esta sección se indican los pasos para designar un administrador delegado en la organización de GuardDuty. 

Como cuenta de administración de la AWS organización, asegúrese de leer detenidamente el funcionamiento [Recomendaciones y consideraciones](guardduty_organizations.md#delegated_admin_important) de una cuenta de GuardDuty administrador delegado. Antes de continuar, asegúrese de contar con [Permisos necesarios para designar una cuenta de GuardDuty administrador delegado](organizations_permissions.md).

Elija un método de acceso preferido para designar una cuenta de GuardDuty administrador delegado para su organización. Solo una cuenta de administración puede realizar este paso.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice las credenciales de la cuenta de administración de la organización de AWS Organizations .

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee designar la cuenta de GuardDuty administrador delegado de su organización.

1. Realice una de las siguientes acciones, en función de si GuardDuty está habilitada para su cuenta de administración en la región actual:
   + Si no GuardDuty está activado, selecciona **Amazon GuardDuty : todas las funciones** y elige **Comenzar**. Esta acción te llevará a la GuardDuty página **de bienvenida**.
   + Si GuardDuty está habilitada, selecciona **Configuración** en el panel de navegación.

1. En **Administrador delegado**, introduzca el Cuenta de AWS ID de 12 dígitos de la cuenta que desee designar como cuenta de GuardDuty administrador delegado de la organización.

   Asegúrese de activar la cuenta GuardDuty de GuardDuty administrador delegado recién designada; de lo contrario, no podrá realizar ninguna acción.

1. Elija **Delegar**.

1. (Recomendado) Repita los pasos anteriores para designar la cuenta de GuardDuty administrador delegado en cada una de las cuentas que Región de AWS haya GuardDuty activado.

------
#### [ API/CLI ]

1. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)con las credenciales de la cuenta Cuenta de AWS de administración de la organización.
   + Alternativamente, puede usarlo AWS Command Line Interface para hacer esto. El siguiente AWS CLI comando designa una cuenta de GuardDuty administrador delegado únicamente para su región actual. Ejecute el siguiente AWS CLI comando y asegúrese de *111111111111* reemplazarlo por el Cuenta de AWS ID de la cuenta que desea designar como cuenta de administrador delegado GuardDuty :

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     Para designar la cuenta de GuardDuty administrador delegado para otras regiones, especifique la región en el AWS CLI comando. El siguiente ejemplo muestra cómo habilitar una cuenta de GuardDuty administrador delegado en el oeste de EE. UU. (Oregón). Asegúrese de *us-west-2* sustituirla por la región a la que desee asignar la cuenta de GuardDuty administrador delegado.

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     Para obtener información sobre la Regiones de AWS ubicación GuardDuty disponible, consulte[Regiones y puntos de conexión](guardduty_regions.md).

   Si GuardDuty está deshabilitado para tu cuenta de GuardDuty administrador delegado, no podrá realizar ninguna acción. Si aún no lo ha hecho, asegúrese de activar la GuardDuty cuenta de GuardDuty administrador delegado recién designada.

1. (Recomendado) Repita los pasos anteriores para designar la cuenta de GuardDuty administrador delegado en cada uno de los lugares en los que Región de AWS haya GuardDuty activado la cuenta.

------

# Configuración de las preferencias de habilitación automática de la organización
<a name="set-guardduty-auto-enable-preferences"></a>

La función de organización de activación automática le GuardDuty ayuda a establecer el mismo estado GuardDuty y el estado de los planes de protección para `ALL` las cuentas existentes o de `NEW` los miembros de su organización, en un solo paso. Del mismo modo, también puede especificar cuándo no desea realizar ninguna acción en las cuentas de miembro. Para ello, seleccione `NONE`. En los siguientes pasos se explica esta configuración y también se indica cuándo conviene utilizar un ajuste específico.

**nota**  
Puede configurar las preferencias de activación automática para todos los planes de protección excepto [Protección contra malware para S3](gdu-malware-protection-s3.md).

Elija un método de acceso preferente para actualizar las preferencias de habilitación automática de la organización.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador.

1. En el panel de navegación, elija **Cuentas**.

   La página **Cuentas** proporciona opciones de configuración para que la cuenta de GuardDuty administrador se **active automáticamente** GuardDuty y los planes de protección opcionales en nombre de las cuentas de los miembros que pertenecen a la organización.

1. Para actualizar la configuración de habilitación automática existente, seleccione **Editar**.  
![\[Al seleccionar Editar, se actualizarán las preferencias de habilitación automática en nombre de las cuentas de miembro de la organización.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   Este soporte está disponible para configurar GuardDuty y todos los planes de protección opcionales compatibles con usted. Región de AWS Puede seleccionar una de las siguientes opciones de configuración GuardDuty en nombre de sus cuentas de miembro:
   + **Habilitar para todas las cuentas (`ALL`)**: seleccione esta opción para habilitar la opción correspondiente para todas las cuentas de una organización. Esto incluye las cuentas nuevas que se unen a la organización y las cuentas que pueden haber sido suspendidas o eliminadas de la organización. Esto también incluye la cuenta de GuardDuty administrador delegado.
**nota**  
Es posible que la actualización de la configuración de todas las cuentas de miembro tarde hasta 24 horas.
   + **Habilitación automática para cuentas nuevas (`NEW`)**: seleccione esta opción para habilitar GuardDuty automáticamente los planes de protección opcionales solo para las cuentas de los nuevos miembros cuando se unan a su organización.
   + **No habilitar (`NONE`)**: seleccione esta opción para impedir que se habilite la opción correspondiente en las cuentas de su organización. En este caso, la cuenta de GuardDuty administrador administrará cada cuenta de forma individual. 

     Al actualizar la configuración de habilitación automática de `ALL` o `NEW` a `NONE`, esta acción no desactiva la opción correspondiente para las cuentas existentes. Esta configuración se aplicará a las nuevas cuentas que se unan a la organización. Después de actualizar la configuración de habilitación automática, ninguna cuenta nueva tendrá la opción correspondiente como habilitada.
**nota**  
Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (`NEW`) o para todas las cuentas de miembros (`ALL`), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra **Cuentas** en el panel de navegación de la [GuardDuty consola](https://console.aws.amazon.com/guardduty/) o utilice la API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)

1. Seleccione **Save changes (Guardar cambios)**.

1. (Opcional) si desea utilizar las mismas preferencias en cada región, actualice las preferencias en cada una de las regiones admitidas por separado.

   Es posible que algunos de los planes de protección opcionales no estén disponibles en todos los Regiones de AWS lugares GuardDuty disponibles. Para obtener más información, consulte [Regiones y puntos de conexión](guardduty_regions.md).

------
#### [ API/CLI ]

1. Utilice [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)las credenciales de la cuenta de GuardDuty administrador delegado para configurar GuardDuty automáticamente los planes de protección opcionales en esa región para su organización. Para obtener información sobre las distintas configuraciones de activación automática, consulte [autoEnableOrganizationMiembros](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers).

   Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   Para configurar las preferencias de habilitación automática para cualquiera de los planes de protección opcionales admitidos en su región, siga los pasos que se indican en las secciones de la documentación correspondientes a cada plan de protección.

1. Puede validar las preferencias de su organización en la región actual. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html). Asegúrese de especificar el ID de detector de la cuenta de GuardDuty administrador delegado.
**nota**  
La actualización de la configuración de todas las cuentas de miembros puede tardar hasta 24 horas en efectuarse. 

1. Como alternativa, ejecute el siguiente AWS CLI comando para configurar las preferencias y habilitar o deshabilitar automáticamente GuardDuty en esa región las nuevas cuentas (`NEW`) que se unan a la organización, todas las cuentas (`ALL`) o ninguna de las cuentas (`NONE`) de la organización. Para obtener más información, consulte [autoEnableOrganizationMiembros](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers). Según sus preferencias, es posible que deba sustituir `NEW` por `ALL` o `NONE`. Si configura el plan de protección con`ALL`, el plan de protección también se habilitará para la cuenta de GuardDuty administrador delegado. Asegúrese de especificar el ID del detector de la cuenta de GuardDuty administrador delegado que gestiona la configuración de la organización.

   Para encontrar el `detectorId` de su cuenta y su región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. Puede validar las preferencias de su organización en la región actual. Ejecute el siguiente AWS CLI comando mediante el ID de detector de la cuenta de GuardDuty administrador delegado.

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

(Se recomienda) repita los pasos anteriores en cada región utilizando el ID de detector de la cuenta de GuardDuty administrador delegado.

**nota**  
Cuando una cuenta de GuardDuty administrador delegado opta por no participar en una región de suscripción, incluso si su organización tiene la configuración de activación GuardDuty automática configurada solo para cuentas de miembros nuevos (`NEW`) o para todas las cuentas de miembros (`ALL`), GuardDuty no se puede habilitar para ninguna cuenta de miembro de la organización que esté deshabilitada actualmente. GuardDuty Para obtener información sobre la configuración de las cuentas de sus miembros, abra **Cuentas** en el panel de navegación de la [GuardDuty consola](https://console.aws.amazon.com/guardduty/) o utilice la API. [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)

------

# Cómo agregar miembros a la organización
<a name="add-member-accounts-guardduty-organization"></a>

Como cuenta de GuardDuty administrador delegado, puede añadir una o varias Cuentas de AWS a la GuardDuty organización. Al añadir una cuenta como GuardDuty miembro, se GuardDuty habilitará automáticamente en esa región. Hay una excepción a la cuenta de administración de la organización. Antes de que la cuenta de administración se añada como GuardDuty miembro, debe estar GuardDuty habilitada.

Elige el método que prefieras para añadir una cuenta de miembro a tu GuardDuty organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

   La tabla de cuentas muestra todas las cuentas de los miembros que están activas (no suspendidas Cuentas de AWS) y que pueden estar asociadas a la cuenta de GuardDuty administrador delegado. Si la cuenta de miembro está asociada a la cuenta de administrador de la organización, el **Tipo** será uno de los siguientes: **A través de Organizations** o **Por invitación**. Si una cuenta de miembro no está asociada a la cuenta de GuardDuty administrador de la organización, el **tipo** de esta cuenta de miembro es **No miembro**.

1. Seleccione una o más cuentas IDs que desee añadir como miembros. Estas cuentas IDs deben tener el **tipo** as **Via Organizations**.

   Las cuentas que se agregan por invitación no forman parte de su organización. Puede administrador dichas cuentas de forma individual. Para obtener más información, consulte [Administración de cuentas por invitación](guardduty_invitations.md).

1. Seleccione el menú desplegable **Acciones** y, a continuación, elija **Agregar miembro**. Después de añadir esta cuenta como miembro, se aplicará la GuardDuty configuración de activación automática. En función de los ajustes establecidos[Configuración de las preferencias de habilitación automática de la organización](set-guardduty-auto-enable-preferences.md), la GuardDuty configuración de estas cuentas puede cambiar. 

1. Puede seleccionar la flecha hacia abajo de la columna **Estado** para ordenar las cuentas según el estado **No es miembro** y, a continuación, elegir las cuentas que no GuardDuty estén habilitadas en la región actual.

   Si aún no se ha agregado como miembro ninguna de las cuentas que figuran en la tabla de cuentas, puedes habilitarlas GuardDuty en la región actual para todas las cuentas de la organización. Elija **Habilitar** en el encabezado de la parte superior de la página. Esta acción activa automáticamente la GuardDuty configuración de activación **automática**, de modo que GuardDuty se habilita para cualquier cuenta nueva que se una a la organización.

1. Elija **Confirmar** para agregar las cuentas como miembros. Esta acción también se activa GuardDuty para todas las cuentas seleccionadas. El **Estado** de las cuentas invitadas cambiará a **Habilitado**.

1. (Recomendado) Repita estos pasos en cada una de ellas Región de AWS. Esto garantiza que la cuenta de GuardDuty administrador delegado pueda gestionar las búsquedas y otras configuraciones de las cuentas de los miembros en todas las regiones en las que haya GuardDuty activado la cuenta.

   La función de activación automática se habilita GuardDuty para todos los futuros miembros de su organización. Esto permite que su cuenta de GuardDuty administrador delegado administre los nuevos miembros que se creen o se agreguen a la organización. Cuando la cantidad de cuentas de miembro alcanza el límite de 50 000, la característica de habilitación automática se desactiva automáticamente. Si se elimina una cuenta de miembro y la cantidad total de miembros disminuye por debajo de 50 000, la característica de habilitación automática se activa de nuevo. 

------
#### [ API/CLI ]
+ Se ejecuta con [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)las credenciales de la cuenta de GuardDuty administrador delegado.

  Debe especificar el identificador del detector regional de la cuenta de GuardDuty administrador delegado y los detalles de la cuenta (Cuenta de AWS IDs y las direcciones de correo electrónico correspondientes) de las cuentas que desee añadir como GuardDuty miembros. Puede crear uno o varios miembros con esta operación de API.

  Cuando ejecute CreateMembers en la organización, las preferencias de habilitación automática para nuevos miembros se aplicarán a medida que nuevas cuentas de miembro se unan a la organización. Cuando se ejecuta CreateMembers con una cuenta de miembro existente, la configuración de la organización también se aplicará a los miembros existentes. Esto podría cambiar la configuración actual de las cuentas de miembro existentes.

  Ejecuta [https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)la *referencia de la AWS Organizations API* para ver todas las cuentas de la AWS organización.
  + Como alternativa, puede utilizar AWS Command Line Interface. Ejecute el siguiente comando de la AWS CLI y asegúrese de utilizar su propio ID de detector válido, su ID de Cuenta de AWS y la dirección de correo electrónico asociada al ID de la cuenta. 

    Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    Para ver una lista de todos los miembros de la organización, ejecuta el siguiente AWS CLI comando:

    ```
    aws organizations list-accounts
    ```

  Después de añadir esta cuenta como miembro, se aplicará la GuardDuty configuración de activación automática.

------

# (Opcional) Habilitar planes de protección para cuentas de miembro existentes
<a name="guardduty_quick_protection_plan_config"></a>

El siguiente procedimiento incluye los pasos para habilitar planes de protección para cuentas de miembro existentes mediante la página **Cuentas**. Para conocer los pasos para hacerlo mediante la API o AWS CLI consulte los documentos relacionados con el plan de protección específico.

Puede habilitar planes de protección para cuentas individuales a través de la página **Cuentas**.

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Utilice las credenciales de la cuenta GuardDuty de administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. Seleccione una o más cuentas donde desee configurar un plan de protección. Repita los pasos siguientes para cada plan de protección que desee configurar:

   1. Seleccione **Editar planes de protección**. 

   1. En la lista de planes de protección, elija aquel que desee configurar.

   1. Elija una de las acciones que desee llevar a cabo para este plan de protección y, a continuación, seleccione **Confirmar**.

   1. Para la cuenta seleccionada, la columna correspondiente al plan de protección configurado mostrará la configuración actualizada como **Habilitado** o **No habilitado**.

# Administre continuamente sus cuentas de miembros dentro de GuardDuty
<a name="maintaining-guardduty-organization-delegated-admin"></a>

Como cuenta de GuardDuty administrador delegado, usted es responsable de mantener la configuración GuardDuty y sus planes de protección opcionales para todas las cuentas de su organización, en cada una de ellas compatibles. Región de AWS En las siguientes secciones se proporcionan las opciones para mantener el estado de configuración de cualquiera de sus planes de protección opcionales GuardDuty o de cualquiera de sus planes de protección opcionales:

**Para mantener el estado de configuración de toda la organización en cada región**
+ **Configure las preferencias de activación automática para toda la organización mediante la GuardDuty consola**: puede habilitarla GuardDuty automáticamente para todos (`ALL`) los miembros de la organización o para los nuevos (`NEW`) miembros que se unan a la organización, o puede optar por no (`NONE`) habilitarla automáticamente para ninguno de los miembros de la organización.

  También puede configurar los mismos ajustes o ajustes diferentes para cualquiera de los planes de protección incluidos. GuardDuty

  Es posible que la actualización de la configuración de todas las cuentas de miembro de la organización tarde hasta 24 horas.
+ **Actualice las preferencias de activación automática mediante la API**: ejecute [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para configurar GuardDuty automáticamente sus planes de protección opcionales para la organización. Cuando vayas [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)a añadir nuevas cuentas de miembros a tu organización, los ajustes configurados se aplicarán automáticamente. Cuando se ejecuta CreateMembers con una cuenta de miembro existente, la configuración de la organización también se aplicará a los miembros existentes. Esto podría cambiar la configuración actual de las cuentas de miembro existentes.

  Para ver todas las cuentas de tu organización, consulta la [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)*referencia de la AWS Organizations API*.

**Para mantener el estado de configuración de las cuentas de miembro individualmente en cada región**
+ Para ver todas las cuentas de tu organización, consulta la [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)*referencia de la AWS Organizations API*.
+ Si desea que algunas cuentas de miembros tengan un estado de configuración diferente, ejecútelas [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)para cada cuenta de miembro de forma individual.

  Puede utilizar la GuardDuty consola para realizar la misma tarea accediendo a la página de **cuentas** de la GuardDuty consola.

  Para obtener información sobre cómo habilitar planes de protección para cuentas individuales ya sea mediante la consola o la API, consulte la página de configuración del plan de protección correspondiente.

# Suspensión GuardDuty para cuenta de miembro
<a name="suspending-guardduty-member-account-from-admin"></a>

Como cuenta de GuardDuty administrador delegado, puede suspender el GuardDuty servicio de una cuenta de miembro de su organización. Si lo hace, la cuenta de miembro seguirá perteneciendo a su GuardDuty organización. También puedes volver a activarlas GuardDuty para estas cuentas de miembros más adelante. Sin embargo, si finalmente desea desasociar (eliminar) esta cuenta de miembro, **después** de seguir los pasos que se indican en esta sección, deberá seguir los pasos que se indican en [Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md).

Si GuardDuty suspendes una cuenta de miembro, puedes esperar los siguientes cambios:
+ GuardDuty ya no supervisa la seguridad del AWS medio ambiente ni genera nuevos hallazgos.
+ Los resultados existentes en la cuenta de miembro permanecen intactos.
+ Una cuenta de miembro GuardDuty suspendida no conlleva ningún cargo por. GuardDuty

  Si la cuenta del miembro ha activado Malware Protection for S3 en uno o varios segmentos de su cuenta, la suspensión GuardDuty no afectará a la configuración de Malware Protection for S3. La cuenta de miembro aún incurrirá en el costo de uso correspondiente a la protección contra malware para S3. Para que la cuenta de miembro deje de utilizar la protección contra malware para S3, se debe desactivar esta característica para los buckets protegidos. Para obtener más información, consulte [Desactivar la protección contra malware para S3 para un bucket protegido](disable-malware-s3-protected-bucket.md).

Elige el método que prefieras GuardDuty para suspender la cuenta de un miembro de tu organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. En la página Cuentas, selecciona una o más cuentas que desees suspender GuardDuty.

1. Selecciona el menú desplegable **Acciones** y, a continuación, selecciona **Suspender GuardDuty**.

1. Selecciona **Suspender GuardDuty** para confirmar la selección.

   Esto cambiará el **Estado** de la cuenta de miembro a **Desactivado (suspendido)**.

   Repita los pasos anteriores en cada región adicional en la que desee desasociar o eliminar la cuenta de miembro.

------
#### [ API ]

1. Para recuperar el identificador de cuenta de miembro cuya suspensión deseas suspender GuardDuty, usa la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)API. Incluya el parámetro `OnlyAssociated` en la solicitud. Si estableces el valor de este parámetro en`true`, GuardDuty devuelve una `members` matriz que proporciona detalles solo sobre las cuentas que son GuardDuty miembros actualmente.

   Como alternativa, puedes usar AWS Command Line Interface (AWS CLI) para ejecutar el siguiente comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas suspender GuardDuty esta cuenta.

1. Para suspender una o más cuentas de GuardDuty miembros, ejecuta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html)la suspensión GuardDuty de una cuenta de miembro.

   Como alternativa, puede AWS CLI ejecutar el siguiente comando:

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas suspender esta cuenta. Si tienes una lista de cuentas IDs que deseas eliminar, sepáralas con un espacio.

------

Si además desea desasociar (eliminar) esta cuenta de miembro, siga los pasos que se indican en [Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md).

# Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador
<a name="disassociate-remove-member-account-from-admin"></a>

Cuando desee dejar de configurar los GuardDuty ajustes y de acceder a los datos de una cuenta de miembro, elimine esa cuenta como cuenta de GuardDuty miembro. Puede hacerlo desasociando (eliminando) esa cuenta de la cuenta de GuardDuty administrador. 

Al desasociar una cuenta de GuardDuty miembro, ocurre lo siguiente:
+ GuardDuty permanece habilitada para la cuenta actual Región de AWS, pero la cuenta se disocia de la cuenta de administrador delegado GuardDuty .
+ La cuenta desvinculada aún aparece en el inventario de cuentas.
+ La cuenta de GuardDuty administrador ya no tiene acceso a los resultados de esta cuenta independiente.
+ El propietario de la cuenta no recibe ninguna notificación de la desvinculación.

Puede volver a agregar la cuenta desvinculada a la organización en un momento posterior.

Elija el método que prefiera para desasociar (eliminar) una cuenta de miembro de la organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. En la tabla **Cuentas**, puede eliminar una cuenta que tenga **Tipo** como **Vía Organizations** y **Estado** como **Habilitado**.

   Seleccione una o más cuentas que tengan el mismo **Tipo** y **Estado**.

1. En el menú desplegable **Acciones**, seleccione **Desasociar cuenta**.

1. Elija **Desasociar cuenta** para confirmar la opción elegida.

1. El valor de **Estado** de las cuentas seleccionadas cambiará a **No es miembro**. El recuento de **Vía Organizations (Activas/Todas)** que aparece en la esquina superior derecha de la página Cuentas cambiará de modo que se refleje la actualización.

   Repita los pasos descritos anteriormente en cada región adicional en la que desee desasociar la cuenta de miembro.

------
#### [ API ]

1. Para recuperar el ID de cuenta de la cuenta de miembro que desea eliminar, utilice la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Incluya el parámetro `OnlyAssociated` en la solicitud. Si establece el valor de este parámetro en`true`, GuardDuty devuelve una `members` matriz que proporciona detalles únicamente sobre las cuentas de las que actualmente son GuardDuty miembros.

   Como alternativa, puedes usar AWS Command Line Interface (AWS CLI) para ejecutar el siguiente comando:

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas eliminar esta cuenta.

1. Para eliminar una o más cuentas de GuardDuty miembros, ejecute el [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)comando para eliminar la cuenta de miembro que está asociada a la cuenta de administrador.

   Como alternativa, puede AWS CLI ejecutar el siguiente comando:

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   Sustitúyala *us-east-1* por la región en la que deseas eliminar esta cuenta. Si tiene una lista de cuentas IDs que desea eliminar, sepárelas con un espacio.

------

# Eliminar las cuentas de los miembros de GuardDuty la organización
<a name="delete-member-accounts-guardduty-organization"></a>

Como cuenta de GuardDuty administrador delegado, una vez que haya desasociado una cuenta de miembro y ya no desee conservar esa cuenta de miembro en la GuardDuty organización, puede eliminarla de la organización GuardDuty . Esta cuenta de miembro dejará de aparecer en el inventario de cuentas. Sin embargo, si no GuardDuty se suspendió en esta cuenta de miembro, la configuración GuardDuty y los planes de protección dedicados siguen siendo los mismos. Esta cuenta pasará a ser una cuenta independiente y podrá [ GuardDutyinhabilitarse automáticamente](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html). 

Este paso no eliminará la cuenta de miembro de su AWS organización.

Elige el método que prefieras para eliminar una cuenta de miembro de tu GuardDuty organización.

------
#### [ Console ]

1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para iniciar sesión, utilice las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

1. En la tabla **Cuentas**, puede eliminar una cuenta que tenga **Tipo** como **Vía Organizations** y **Estado** como **Eliminada (desasociada)**.

   Seleccione una o más cuentas que tengan el mismo **Tipo** y **Estado**.

1. En el menú desplegable **Acciones**, elija **Eliminar cuenta**.

1. Elija **Eliminar cuentas** para confirmar la opción elegida. La cuenta de miembro seleccionada ya no aparecerá en la tabla Cuentas.

   Repita los pasos descritos anteriormente en cada región adicional en la que desee eliminar esta cuenta de miembro.

------
#### [ API/CLI ]

1. Para recuperar el ID de cuenta de la cuenta de miembro que desea eliminar, utilice la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html). Incluya el parámetro `OnlyAssociated` en la solicitud. Si establece el valor de este parámetro en`false`, GuardDuty devuelve una `members` matriz que proporciona detalles únicamente sobre las cuentas que actualmente son miembros GuardDuty disociados.

   Como alternativa, puedes usar AWS Command Line Interface (AWS CLI) para ejecutar el siguiente comando:

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Sustitúyalo por el ID del detector de cuentas de GuardDuty administrador delegado y *us-east-1* por la región en la que deseas eliminar esta cuenta.

1. Para eliminar una o más cuentas de GuardDuty miembros, ejecuta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)para eliminar la cuenta de miembro de la GuardDuty organización.

   Como alternativa, puede AWS CLI ejecutar el siguiente comando:

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*Sustitúyalo por el ID del detector de cuentas de GuardDuty administrador delegado y *us-east-1* por la región en la que deseas eliminar esta cuenta. Si tiene una lista de cuentas IDs que desea eliminar, sepárelas con un espacio.

------

# Cambiar la cuenta de GuardDuty administrador delegado
<a name="change-guardduty-delegated-admin"></a>

Puede eliminar la cuenta de GuardDuty administrador delegado de su organización en cada región y, a continuación, delegar un nuevo administrador en cada región. Para mantener el nivel de seguridad de las cuentas de los miembros de su organización en una región, debe tener una cuenta de GuardDuty administrador delegado en esa región.

**Nota**  
Antes de eliminar una cuenta de GuardDuty administrador delegado, debe desasociar todas las cuentas de miembro asociadas a la cuenta de GuardDuty administrador delegado y, a continuación, eliminarlas de la organización. GuardDuty Para obtener más información sobre estos pasos, consulte los siguientes documentos:  
[Desasociar (eliminar) la cuenta de miembro de la cuenta de administrador](disassociate-remove-member-account-from-admin.md)
[Eliminar las cuentas de los miembros de GuardDuty la organización](delete-member-accounts-guardduty-organization.md)

## Eliminar la cuenta de administrador delegado existente GuardDuty
<a name="remove-existing-guardduty-delegated-admin"></a>

**Paso 1: Eliminar la cuenta de GuardDuty administrador delegado existente en cada región**

1. Como cuenta de GuardDuty administrador delegado existente, enumere todas las cuentas de miembros asociadas a su cuenta de administrador. Ejecutar [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) con `OnlyAssociated=false`.

1. Si la preferencia de activación automática de alguno de los planes de protección opcionales GuardDuty o alguno de ellos está establecida en`ALL`, ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)para actualizar la configuración de la organización a uno `NEW` de los dos. `NONE` Esta acción evitará que se produzca un error al desasociar todas las cuentas de miembro en el paso siguiente.

1. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) para desasociar todas las cuentas de miembro que están asociadas a la cuenta de administrador.

1. Ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) para eliminar las asociaciones entre la cuenta de administrador y las cuentas de miembro.

1. Como cuenta de administración de la organización, ejecute [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)para eliminar la cuenta de GuardDuty administrador delegado existente.

1. Repita estos pasos en cada uno de los Región de AWS lugares en los que tenga esta cuenta de GuardDuty administrador delegado.

**Paso 2: Para anular el registro de una cuenta de GuardDuty administrador delegado existente en AWS Organizations (acción global única)**
+ Ejecuta [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)la *referencia de la AWS Organizations API* para anular el registro de la cuenta de administrador delegado GuardDuty existente en. AWS Organizations

  Como alternativa, puede ejecutar el siguiente comando: AWS CLI 

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  Asegúrese de *111122223333* reemplazarla por la cuenta de GuardDuty administrador delegado existente.

  Tras anular el registro de la antigua cuenta de GuardDuty administrador delegado, puede añadirla como cuenta de miembro a la nueva cuenta de administrador delegado GuardDuty .

## Designar una nueva cuenta de administrador delegado GuardDuty en cada región
<a name="designate-new-guardduty-delegated-admin"></a>

1. Designe una nueva cuenta de GuardDuty administrador delegado en cada región mediante el método de acceso que prefiera: GuardDuty consola, API o. AWS CLI Para obtener más información, consulte [Designación de una cuenta de administrador delegado GuardDuty](delegated-admin-designate.md).

1. Ejecute [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)para ver la configuración de activación automática actual de su organización.
**importante**  
Antes de añadir miembros a la nueva cuenta de GuardDuty administrador delegado, debe comprobar la configuración de activación automática de su organización. Esta configuración es específica de la nueva cuenta de GuardDuty administrador delegado y de la región seleccionada, y no está relacionada con ellas. AWS Organizations Al añadir una cuenta de miembro de la organización (nueva o existente) a la nueva cuenta de GuardDuty administrador delegado, la configuración de activación automática de la nueva cuenta de GuardDuty administrador delegado se aplicará en el momento de la activación GuardDuty o en cualquiera de sus planes de protección opcionales.

   Cambie la configuración organizativa de la nueva cuenta de GuardDuty administrador delegado mediante el método de acceso que prefiera: GuardDuty consola, API o. AWS CLI Para obtener más información, consulte [Configuración de las preferencias de habilitación automática de la organización](set-guardduty-auto-enable-preferences.md).

# Administrar GuardDuty cuentas por invitación
<a name="guardduty_invitations"></a>

Para administrar cuentas que estén fuera de la organización, puede utilizar el método de invitación heredado. Con este método, su cuenta se designa como cuenta de administrador cuando otra cuenta acepta su invitación para convertirse en cuenta de miembro. 

**nota**  
GuardDuty recomienda utilizarlas, AWS Organizations en lugar de GuardDuty invitaciones, para gestionar sus cuentas de miembros. Para obtener más información, consulte [Administración de cuentas con AWS Organizations](guardduty_organizations.md).

Si la cuenta no es de administrador, podrá aceptar una invitación de otra cuenta. Al aceptar, su cuenta se convierte en cuenta miembro. Una AWS cuenta no puede ser una cuenta de GuardDuty administrador y una cuenta de miembro al mismo tiempo.

Si acepta una invitación de una cuenta, no podrá aceptar una invitación de otra cuenta. Para aceptar una invitación de otra cuenta, primero tendrá que desasociar su cuenta de la cuenta de administrador existente. Como alternativa, la cuenta de administrador también puede desasociar la cuenta y eliminarla de su organización.

Las cuentas asociadas por invitación tienen una account-to-member relación de administrador general similar a la de las cuentas asociadas por AWS Organizations, tal como se describe en[Comprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros](administrator_member_relationships.md). Sin embargo, los usuarios de las cuentas de administrador de invitaciones no pueden habilitar GuardDuty en nombre de las cuentas de los miembros asociadas ni ver otras cuentas que no sean miembros de su AWS Organizations organización.

**importante**  
La transferencia de datos entre regiones puede producirse cuando se GuardDuty crean cuentas de miembros con este método. Para verificar las direcciones de correo electrónico de las cuentas de los miembros, GuardDuty utiliza un servicio de verificación de correo electrónico que funciona solo en la región de EE. UU. Este (Virginia del Norte).

**Topics**
+ [Agregar cuentas por invitación](guardduty_become_console.md)
+ [Consolidar las cuentas de GuardDuty administrador en una sola organización](consolidate-orgs.md)

# Agregar cuentas por invitación
<a name="guardduty_become_console"></a>

Como cuenta de administrador que ya está GuardDuty habilitada, puedes añadir miembros para empezar a utilizarla. GuardDuty Después de añadir a los miembros, puedes invitarlos a unirse GuardDuty y ellos pueden optar por responder a tu invitación.

**nota**  
GuardDuty recomienda utilizarla, AWS Organizations en lugar de GuardDuty invitaciones, para gestionar sus cuentas de miembros. Para obtener más información, consulte [Administración de cuentas con AWS Organizations](guardduty_organizations.md).

Elija un método de acceso preferido para añadir cuentas de GuardDuty miembros como cuentas de GuardDuty administrador. 

------
#### [ Console ]

**Paso 1: agregación de una cuenta**

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Cuentas**. 

1. Seleccione **Agregar cuentas mediante invitación** en el panel superior.

1. En la página **Agregar cuentas de miembros**, en **Escribir los detalles de la cuenta**, introduzca el ID de la Cuenta de AWS y la dirección de correo electrónico asociada a la cuenta que desea agregar. 

1. Para agregar otra fila para introducir los detalles de la cuenta de uno en uno, elija **Agregar otra cuenta.** También puede seleccionar **Cargar un archivo .csv con los detalles de la cuenta** para agregar cuentas en bloque.
**importante**  
La primera línea del archivo .csv debe contener el encabezado, tal como se muestra en el ejemplo siguiente: `Account ID,Email`. Cada línea subsiguiente debe contener un único Cuenta de AWS identificador válido y su dirección de correo electrónico asociada. El formato de una fila es válido si contiene solo un ID de Cuenta de AWS y la dirección de correo electrónico asociada separados por una coma.   

   ```
   Account ID,Email
                                   555555555555,user@example.com
   ```

1. Después de agregar todos los detalles de las cuentas, seleccione **Siguiente**. Puede ver las cuentas recién agregadas en la tabla Cuentas. El **Estado** de estas cuentas será **Invitación no enviada**. Para obtener información sobre cómo enviar una invitación a una o más cuentas agregadas, consulte [Step 2 - Invite an account](#guardduty_invite_member_proc).

**Paso 2: invitación a una cuenta**

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Cuentas**. 

1. Selecciona una o más cuentas a las que quieras invitar a Amazon GuardDuty. 

1. Seleccione el menú desplegable **Acciones** y, a continuación, elija **Invitar**.

1. En el cuadro de GuardDuty diálogo **Invitación a**, introduce un mensaje de invitación (opcional).

   Si la cuenta invitada no tiene acceso al correo electrónico, active la casilla **Enviar también una notificación por correo electrónico al usuario raíz del invitado Cuenta de AWS y generar una alerta en el nombre del invitado**. Panel de AWS Health

1. Seleccione **Send invitation** (Enviar invitación). Si los invitados tienen acceso a la dirección de correo electrónico especificada, pueden ver la invitación abriendo la consola en. GuardDuty [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. Cuando el invitado acepta la invitación, el valor de la columna **Estado** cambia a **Invitado**. Para obtener más información sobre la aceptación de una invitación, consulte [Step 3 - Accept an invitation](#guardduty_accept_invite_proc).

**Paso 3: aceptación de una invitación**

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
**importante**  
Debe habilitarla GuardDuty antes de poder ver o aceptar una invitación de membresía.

1. Haz lo siguiente solo si GuardDuty aún no la has activado; de lo contrario, puedes saltarte este paso y continuar con el siguiente.

   Si aún no lo has activado GuardDuty, selecciona **Get Started** en la GuardDuty página de Amazon. 

   En la página **Welcome to GuardDuty (Bienvenido a)**, elija **Enable GuardDuty (Habilitar)**.

1. Después de activar GuardDuty tu cuenta, sigue los siguientes pasos para aceptar la invitación a ser miembro: 

   1. En el panel de navegación, seleccione **Configuración**.

   1. Elija **Cuentas**.

   1. En **Cuentas**, asegúrese de verificar el propietario de la cuenta desde la que acepta la invitación. Active **Aceptar** para aceptar la invitación para hacerse miembro. 

1. Tras aceptar la invitación, su cuenta pasará a ser una cuenta de GuardDuty miembro. La cuenta cuyo propietario envió la invitación pasa a ser la cuenta de GuardDuty administrador. La cuenta de administrador sabrá que ha aceptado la invitación. **Se actualizará la tabla de GuardDuty cuentas de su cuenta.** El valor de la columna **Estado** correspondiente al ID de la cuenta de miembro cambiará a **Habilitado**. El propietario de la cuenta de administrador ahora puede ver GuardDuty y administrar las configuraciones del plan de protección en nombre de su cuenta. La cuenta de administrador también puede ver y gestionar las GuardDuty conclusiones generadas para su cuenta de miembro.

------
#### [ API/CLI ]

Puede designar una cuenta de GuardDuty administrador y crear o añadir cuentas de GuardDuty miembros mediante invitación a través de las operaciones de la API. Ejecute las siguientes operaciones de GuardDuty API para designar la cuenta de administrador y las cuentas de los miembros GuardDuty.

Complete el siguiente procedimiento con las credenciales de la cuenta Cuenta de AWS que desee designar como cuenta de GuardDuty administrador.

**Creación o agregación de cuentas de miembro**

1. Ejecute la operación de la [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)API con las credenciales de la AWS cuenta que se ha GuardDuty activado. Esta es la cuenta que quieres que sea la GuardDuty cuenta de administrador.

   Debe especificar el ID de detección de la AWS cuenta actual y el ID de cuenta y la dirección de correo electrónico de las cuentas de las que quiere convertirse en GuardDuty miembro. Puede crear uno o varios miembros con esta operación de API.

   También puede usar las herramientas de línea de AWS comandos para designar una cuenta de administrador mediante la ejecución del siguiente comando CLI. No olvide utilizar su propio ID de detector, ID de cuenta y correo electrónico.

   Para encontrar la `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
   ```

1. Se ejecuta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html)con las credenciales de la AWS cuenta que se ha GuardDuty activado. Esta es la cuenta que desea que sea la GuardDuty cuenta de administrador.

    Debe especificar el identificador del detector de la AWS cuenta corriente y la cuenta IDs de las cuentas de las que desea convertirse en GuardDuty miembros. Con esta operación de la API, puede invitar a uno o varios miembros.
**nota**  
También puede especificar un mensaje de invitación opcional mediante el parámetro de solicitud `message`.

   También puede utilizarla AWS Command Line Interface para designar las cuentas de los miembros ejecutando el siguiente comando. Asegúrese de usar su propio identificador de detección válido y una cuenta válida IDs para las cuentas que desee invitar. 

   Para encontrar el `detectorId` de tu cuenta y la región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
   ```

**Aceptación de invitaciones**

Complete el siguiente procedimiento con las credenciales de cada AWS cuenta que desee designar como cuenta de GuardDuty miembro.

1. Ejecute la operación de [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html)API para cada AWS cuenta que haya sido invitada a convertirse en cuenta de GuardDuty miembro y para la que desee aceptar una invitación. 

   Debe especificar si el recurso detector se va a habilitar mediante el GuardDuty servicio. Se debe crear y habilitar un detector GuardDuty para que entre en funcionamiento. Primero debe activarlo GuardDuty antes de aceptar una invitación.

   También puede hacerlo mediante las herramientas de línea de AWS comandos mediante el siguiente comando CLI.

   ```
   aws guardduty create-detector --enable
   ```

1. Ejecute la operación de [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html)API para cada AWS cuenta en la que desee aceptar la invitación de membresía, utilizando las credenciales de esa cuenta. 

   Debe especificar el ID de detección de esta AWS cuenta para la cuenta del miembro, el ID de cuenta de la cuenta de administrador que envió la invitación y el ID de invitación de la invitación que está aceptando. Puede consultar el ID de cuenta de la cuenta de administrador en el correo electrónico de invitación o con la operación [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html) de la API.

   También puede aceptar una invitación mediante las herramientas de línea de AWS comandos ejecutando el siguiente comando CLI. No olvide utilizar un ID de detector, un ID de cuenta de administrador y un ID de invitación que sean válidos.

   Para encontrar la `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
   ```

------

# Consolidar las cuentas de GuardDuty administrador en una sola organización
<a name="consolidate-orgs"></a>

GuardDuty recomienda utilizar la asociación AWS Organizations para gestionar las cuentas de los miembros en una cuenta de GuardDuty administrador delegado. Puede utilizar el proceso de ejemplo que se describe a continuación para consolidar la cuenta de administrador y el miembro asociado por invitación en una organización en una única cuenta de GuardDuty administrador GuardDuty delegado.

**nota**  
GuardDuty recomienda utilizarla, AWS Organizations en lugar de GuardDuty invitaciones, para gestionar las cuentas de los miembros. Para obtener más información, consulte [Administración de cuentas con AWS Organizations](guardduty_organizations.md).

Las cuentas que ya están siendo administradas por una cuenta de GuardDuty administrador delegado o las cuentas de miembros activos que están asociadas a una cuenta de GuardDuty administrador delegado no se pueden agregar a una cuenta de administrador delegado GuardDuty diferente. Cada organización solo puede tener una cuenta de GuardDuty administrador delegado por región y cada cuenta de miembro solo puede tener una cuenta de administrador delegado. GuardDuty 

Elija un método de acceso preferido para consolidar las cuentas de GuardDuty administrador en una única cuenta de administrador delegado. GuardDuty 

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Para iniciar sesión, utilice las credenciales de la cuenta de administración de la organización.

1. Todas las cuentas que desee gestionar GuardDuty deben formar parte de su organización. Para obtener información sobre cómo agregar una cuenta a su organización, consulte [Invitar a un usuario Cuenta de AWS a unirse a su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). 

1. Asegúrese de que todas las cuentas de los miembros estén asociadas a la cuenta que desee designar como cuenta única de GuardDuty administrador delegado. Desasocie cualquier cuenta de miembro que aún esté asociada a las cuentas de administrador preexistentes.

   Los siguientes pasos le ayudarán a desasociar las cuentas de miembro de la cuenta de administrador preexistente:

   1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   1. Para iniciar sesión, utilice las credenciales de la cuenta de administrador preexistente.

   1. En el panel de navegación, elija **Cuentas**.

   1. En la página **Cuentas**, seleccione una o más cuentas que quiera desasociar de la cuenta de administrador.

   1. Seleccione **Acciones** y, a continuación, seleccione **Desasociar cuenta**.

   1. Seleccione **Confirmar** para finalizar el paso.

1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Para iniciar sesión, utilice las credenciales de la cuenta de administración.

1. En el panel de navegación, seleccione **Configuración**. En la página de **configuración**, designe la cuenta de GuardDuty administrador delegado de la organización.

1. Inicie sesión en la cuenta de GuardDuty administrador delegado designada.

1. Agregue miembros de la organización. Para obtener más información, consulte [Administrar GuardDuty cuentas con AWS Organizations](guardduty_organizations.md).

------
#### [ API/CLI ]

1. Todas las cuentas que desee gestionar GuardDuty deben formar parte de su organización. Para obtener información sobre cómo agregar una cuenta a su organización, consulte [Invitar a un usuario Cuenta de AWS a unirse a su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). 

1. Asegúrese de que todas las cuentas de los miembros estén asociadas a la cuenta que desee designar como cuenta única de GuardDuty administrador delegado. 

   1. Ejecute [DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)para desasociar cualquier cuenta de miembro que aún esté asociada a las cuentas de administrador preexistentes.

   1. Como alternativa, puede ejecutar el siguiente comando y sustituirlo *777777777777* por el identificador de detección de la cuenta de administrador preexistente de la que desea desasociar la cuenta de miembro. AWS Command Line Interface *666666666666*Sustitúyalo por el Cuenta de AWS ID de la cuenta de miembro que deseas desasociar. 

      ```
      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666    
      ```

1. Ejecute [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)para delegar an Cuenta de AWS como cuenta de GuardDuty administrador delegado.

   Como alternativa, puede ejecutar el siguiente comando AWS Command Line Interface para delegar una cuenta de GuardDuty administrador delegado:

   ```
   aws guardduty enable-organization-admin-account --admin-account-id 777777777777
   ```

1. Agregue miembros de la organización. Para obtener más información, consulte [Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api).

------

**importante**  
Para maximizar la eficacia de un servicio regional GuardDuty, le recomendamos que designe su cuenta de GuardDuty administrador delegado y añada todas las cuentas de los miembros de cada región.

# GuardDuty consideraciones para exportar los detalles de las cuentas de los miembros en formato CSV
<a name="exporting-guardduty-accounts-data-to-csv"></a>

Como cuenta de GuardDuty administrador, puede exportar los detalles de la cuenta del miembro en formato CSV. Estos detalles incluyen el ID de la cuenta del miembro, el nombre, el tipo (agregado mediante invitación AWS Organizations o mediante invitación) y el estado de la configuración GuardDuty y los planes de protección específicos.

La opción **Exportar CSV** se muestra en la página de GuardDuty **cuentas** en función de cómo administres las cuentas de varios miembros. Al utilizar la opción **Exportar CSV**, podrá identificar qué cuentas de miembro tienen habilitado un plan de protección específico. 

En la siguiente lista se indican los criterios para determinar si el **CSV de exportación** estará disponible o no en la página de GuardDuty **cuentas**:
+ Solo se usa AWS Organizations para administrar varias cuentas de miembros y el número total de cuentas de miembros de su GuardDuty organización es de hasta 5000.
+ Utiliza ambos métodos de invitación AWS Organizations y el número total de cuentas de miembros en su GuardDuty organización es de hasta 5000.

  En este escenario, el CSV exportado incluirá si la cuenta de un miembro se agregó mediante un método basado en invitaciones AWS Organizations o mediante él.
+ Si utiliza únicamente el método basado en invitaciones para administrar varias cuentas de miembro, no existirá la opción **Exportar CSV**.