投稿日現在の挙動を確認したものです。
将来的に挙動が変わる可能性があること 、記載されている結果のみ発生するという意味ではないことをご注意ください。
なお、記録された API はCloudTrailから確認しました。
組織管理アカウント東京リージョンのコンソールから委任された管理者を指定する
記録されたAPI
組織管理アカウントの東京リージョンで、EnableOrganizationAdminAccount API が記録されました。
EnableOrganizationAdminAccount
https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html
組織のSecurityHub管理者アカウントを指定します。組織管理アカウントからのみ呼び出すことができます。(機械翻訳)
また、バージニア北部リージョンで、EnableAWSServiceAccess API、RegisterDelegatedAdministrator API も記録されていました。
東京ではなくバージニア北部リージョンに記録されていたのは、Organizations APIのエンドポイントがバージニア北部であるからと思われます。
EnableAWSServiceAccess
https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html
AWSサービス(ServicePrincipalで指定されたサービス)とAWS組織の統合を有効にする。統合を有効にすると、指定されたサービスが組織内のすべてのアカウントでサービスリンクされたロールを作成することを許可します。これにより、サービスはお客様の組織とそのアカウントでお客様に代わって操作を実行することができます。(機械翻訳)
RegisterDelegatedAdministrator
https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html
指定したメンバーアカウントで、指定した AWS サービスの Organizations 機能を管理できるようにします。AWS Organizations サービスのデータへの読み取り専用アクセスが許可されます。このアカウントは、AWS サービスにアクセスし管理するための IAM 権限が引き続き必要です。
Organizations の現在のリリースでは、中国以外の商用 AWS リージョンからのすべての AWS API および AWS CLI 呼び出しに us-east-1 リージョンを指定します。(機械翻訳)
https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html
結果
- 組織管理アカウントで指定されたアカウントがSecurityHubの管理者アカウントとなる
- 指定されたアカウントはSecurityHubを有効化していなかったが、自動的に有効化されていた
- その他のリージョンのSecurityHubが有効化されたりといった影響はなかった
組織管理アカウント東京リージョンのコンソールから委任された管理者を削除する
記録されたAPI
組織管理アカウントの東京リージョンでDisableOrganizationAdminAccount APIが記録されていました。
DisableOrganizationAdminAccount
https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html
Security Hub の管理者アカウントを無効にします。組織管理アカウントからのみ呼び出すことができます。(機械翻訳)
また、バージニア北部リージョンでDeregisterDelegatedAdministrator APIが記録されていました。
DeregisterDelegatedAdministrator
https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html
指定したメンバー AWS アカウントを、指定した AWS サービスの委任管理者として削除します。(機械翻訳)
結果
- 東京リージョンだけでなく、全リージョンで委任された管理者ではなくなっていた
- 管理者アカウントで管理していたメンバーアカウントは、メンバーアカウントから解除されていた
- SecurityHub自体は無効化されておらず、有効化のままだった
Security Hubの管理者アカウントを削除する。( コンソール)
組織管理アカウントは、現在のSecurity Hubの管理者アカウントを削除することができます。コンソールを使用してSecurity Hubの管理者アカウントを削除すると、すべてのRegionでSecurity Hubの管理者アカウントが削除されます。また、Security Hubは組織を呼び出して、Security Hubの委任された管理者アカウントを削除します。Security Hubの管理者アカウントが削除されると、メンバーアカウントは削除されたSecurity Hubの管理者アカウントから関連付けが解除されます。
有効化されたメンバーアカウントは、依然としてSecurity Hubが有効になっています。新しいSecurity Hub管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントとなります。(機械翻訳)
https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html
まとめ
当然ですが、以下ドキュメント記載通りの挙動でした。
リージョンごとに委任された管理者を削除したい場合は、SecurityHub API を利用する必要がありそうです。