Macie-Mitgliedskonten für eine Organisation verwalten - Amazon Macie
Mitgliedskonten hinzufügenMacie für Mitgliedskonten sperrenMitgliedskonten entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Macie-Mitgliedskonten für eine Organisation verwalten

Nachdem eine AWS Organizations Organisation in Amazon Macie integriert und konfiguriert wurde, kann der delegierte Macie-Administrator der Organisation auf bestimmte Macie-Einstellungen, Daten und Ressourcen für Mitgliedskonten zugreifen. Als Macie-Administrator für eine Organisation können Sie Macie verwenden, um bestimmte Kontoverwaltungs- und Verwaltungsaufgaben für die Konten zentral durchzuführen. Beispielsweise ist Folgendes möglich:

  • Konten als Macie-Mitgliedskonten hinzufügen und entfernen.

  • Den Status von Macie für einzelne Konten verwalten, z. B. Macie für ein Konto aktivieren oder sperren.

  • Überwachen Sie die Macie-Kontingente und die geschätzten Nutzungskosten für einzelne Konten und die gesamte Organisation.

Sie können sich auch die Inventardaten und Richtlinienergebnisse von Amazon Simple Storage Service (Amazon S3) für Macie-Mitgliedskonten ansehen. Und Sie können sensible Daten in S3-Buckets entdecken, die den Konten gehören. Eine ausführliche Liste der Aufgaben, die Sie ausführen können, finden Sie unterBeziehungen zwischen Macie-Administrator und Mitgliedskonto.

Standardmäßig bietet Ihnen Macie Einblick in relevante Daten und Ressourcen für alle Macie-Mitgliedskonten in Ihrer Organisation. Sie können sich auch die Daten und Ressourcen einzelner Konten genauer ansehen. Wenn Sie beispielsweise das Übersichts-Dashboard verwenden, um den Amazon S3-Sicherheitsstatus Ihres Unternehmens zu bewerten, können Sie die Daten nach Konto filtern. Wenn Sie die geschätzten Nutzungskosten überwachen, können Sie auf ähnliche Weise auf Aufschlüsselungen der geschätzten Kosten für einzelne Mitgliedskonten zugreifen.

Zusätzlich zu den Aufgaben, die für Administrator- und Mitgliedskonten üblich sind, können Sie verschiedene Verwaltungsaufgaben für Ihre Organisation ausführen.

Als Macie-Administrator für eine Organisation können Sie diese Aufgaben mithilfe der Amazon Macie-Konsole oder Amazon Macie ausführen. API Wenn Sie lieber die Konsole verwenden möchten, müssen Sie berechtigt sein, die folgende AWS Organizations Aktion auszuführen:. organizations:ListAccounts Mit dieser Aktion können Sie Informationen zu Konten, die Teil Ihrer Organisation sind, in abrufen und anzeigen AWS Organizations.

Hinzufügen von Macie-Mitgliedskonten zu einer Organisation

In einigen Fällen müssen Sie möglicherweise manuell ein Konto als Amazon Macie Macie-Mitgliedskonto hinzufügen. Dies ist bei Konten der Fall, die Sie zuvor als Mitgliedskonten entfernt (getrennt) haben. Dies ist auch der Fall, wenn Sie Macie nicht so konfiguriert haben, dass neue Mitgliedskonten automatisch aktiviert und hinzugefügt werden, wenn Konten zu Ihrer Organisation in hinzugefügt werden. AWS Organizations

Wenn Sie ein Konto als Macie-Mitgliedskonto hinzufügen:

  • Macie ist derzeit für das Konto aktiviert AWS-Region, sofern es in der Region nicht bereits aktiviert ist.

  • Das Konto ist mit Ihrem Macie-Administratorkonto als Mitgliedskonto in der Region verknüpft. Das Mitgliedskonto erhält keine Einladung oder andere Benachrichtigung darüber, dass Sie diese Beziehung zwischen Ihren Konten hergestellt haben.

  • Die automatische Erkennung sensibler Daten ist möglicherweise für das Konto in der Region aktiviert. Dies hängt von den Konfigurationseinstellungen ab, die Sie für die Organisation angegeben haben. Weitere Informationen finden Sie unter Konfiguration der automatisierten Erkennung sensibler Daten.

Beachten Sie, dass Sie kein Konto hinzufügen können, das bereits mit einem anderen Macie-Administratorkonto verknüpft ist. Das Konto muss zuerst von seinem aktuellen Administratorkonto getrennt werden. Darüber hinaus können Sie das AWS Organizations Verwaltungskonto nicht als Mitgliedskonto hinzufügen, es sei denn, Macie ist bereits für das Konto aktiviert. Weitere Informationen zu zusätzlichen Anforderungen finden Sie unterÜberlegungen zur Verwendung von Macie mit AWS Organizations.

So fügen Sie einer Organisation ein Macie-Mitgliedskonto hinzu

Um Ihrer Organisation ein oder mehrere Macie-Mitgliedskonten hinzuzufügen, können Sie die Amazon Macie-Konsole oder Amazon Macie verwenden. API

Console

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie-Konsole ein oder mehrere Macie-Mitgliedskonten hinzuzufügen.

Um ein Macie-Mitgliedskonto hinzuzufügen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie ein Mitgliedskonto hinzufügen möchten.

  3. Wählen Sie im Navigationsbereich Accounts (Konten) aus. Die Seite Konten wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

  4. (Optional) Verwenden Sie das Filterfeld über der Tabelle Bestehende Konten, um Konten, die Teil Ihrer Organisation sind AWS Organizations und keine Macie-Mitgliedskonten sind, einfacher zu identifizieren, um die folgenden Filterbedingungen hinzuzufügen:

    • Typ = Organisation

    • Status = Kein Mitglied

    Um auch Konten anzuzeigen, die Sie zuvor entfernt haben und die Sie möglicherweise als Mitgliedskonten hinzufügen möchten, fügen Sie außerdem die Filterbedingung Status = Entfernt hinzu.

  5. Aktivieren Sie in der Tabelle Bestehende Konten das Kontrollkästchen für jedes Konto, das Sie als Mitgliedskonto hinzufügen möchten.

  6. Wählen Sie im Menü Aktionen die Option Mitglied hinzufügen aus.

  7. Bestätigen Sie, dass Sie die ausgewählten Konten als Mitgliedskonten hinzufügen möchten.

Nachdem Sie Ihre Auswahl bestätigt haben, ändert sich der Status der ausgewählten Konten in Ihrem Kontobestand auf Aktiviert und anschließend auf Aktiviert.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie ein Mitgliedskonto hinzufügen möchten.

API

Verwenden Sie den CreateMemberBetrieb von Amazon Macie, um programmgesteuert ein oder mehrere Macie-Mitgliedskonten hinzuzufügen. API

Wenn Sie Ihre Anfrage einreichen, geben Sie mithilfe der unterstützten Parameter die 12-stellige Konto-ID und E-Mail-Adresse für jedes Konto an AWS-Konto , das Sie hinzufügen möchten. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um ein Konto in weiteren Regionen hinzuzufügen, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID und E-Mail-Adresse eines hinzuzufügenden Kontos abzurufen, können Sie die Ausgabe des Betriebs von AWS Organizations API und des ListAccountsListMembersBetriebs von Amazon API Macie korrelieren. Nehmen Sie für den ListMembers Betrieb des Macie API den onlyAssociated Parameter in Ihre Anfrage auf und setzen Sie den Wert des Parameters auf. false Wenn der Vorgang erfolgreich ist, gibt Macie ein members Array zurück, das Details zu allen Konten enthält, die Ihrem Macie-Administratorkonto in der angegebenen Region zugeordnet sind, einschließlich Konten, die derzeit keine Mitgliedskonten sind. Beachten Sie Folgendes im Array:

  • Wenn der Wert für die relationshipStatus Eigenschaft eines Kontos nicht Enabled oder istPaused, ist das Konto mit Ihrem Konto verknüpft, es handelt sich jedoch nicht um ein Macie-Mitgliedskonto.

  • Wenn ein Konto nicht im Array enthalten ist, aber in der Ausgabe des ListAccounts Vorgangs von enthalten ist AWS Organizations API, gehört das Konto zwar zu Ihrer Organisation, ist AWS Organizations aber nicht mit Ihrem Konto verknüpft und ist daher kein Macie-Mitgliedskonto.

Um mit dem ein Mitgliedskonto hinzuzufügen AWS CLI, führen Sie den Befehl create-member aus. Verwenden Sie den region Parameter, um die Region anzugeben, in der das Konto hinzugefügt werden soll. Verwenden Sie die account Parameter, um die Konto-ID und die E-Mail-Adresse für jedes hinzuzufügende Konto anzugeben. Beispielsweise:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Wo us-east-1 ist die Region, in der das Konto als Mitgliedskonto hinzugefügt werden soll (Region USA Ost (Nord-Virginia)), und die account Parameter geben die Konto-ID an (123456789012) und E-Mail-Adresse (janedoe@example.com) für das Konto.

Wenn Ihre Anfrage erfolgreich ist, ändert sich der Status (relationshipStatus) des angegebenen Kontos Enabled in Ihrem Kontoinventar.

Macie für Mitgliedskonten in einer Organisation sperren

Als Amazon Macie-Administrator für eine Organisation in AWS Organizations können Sie Macie für ein Mitgliedskonto in Ihrer Organisation sperren. In diesem Fall können Sie Macie auch zu einem späteren Zeitpunkt wieder für das Konto aktivieren.

Wenn du Macie für ein Mitgliedskonto sperrst:

  • Macie verliert den Zugriff auf die aktuellen AWS-Region Amazon S3 S3-Daten des Kontos und stellt diese nicht mehr bereit.

  • Macie beendet die Ausführung aller Aktivitäten für das Konto in der Region. Dazu gehören die Überwachung von S3-Buckets im Hinblick auf Sicherheit und Zugriffskontrolle, die automatische Erkennung sensibler Daten und die Ausführung von Aufgaben zur Erkennung sensibler Daten, die derzeit ausgeführt werden.

  • Macie storniert alle Aufträge zur Erkennung sensibler Daten, die von dem Konto in der Region erstellt wurden. Ein Auftrag kann nicht wieder aufgenommen oder neu gestartet werden, nachdem er storniert wurde. Wenn Sie Jobs zur Analyse von Daten erstellt haben, die dem Mitgliedskonto gehören, storniert Macie Ihre Jobs nicht. Stattdessen werden bei den Jobs Ressourcen übersprungen, die dem Konto gehören.

Solange ein Konto gesperrt ist, behält Macie die Macie-Sitzungs-ID, die Einstellungen und Ressourcen für das Konto in der entsprechenden Region. Beispielsweise bleiben die Ergebnisse des Kontos erhalten und sind bis zu 90 Tage lang nicht betroffen. Ihrem Unternehmen fallen für das Konto in der entsprechenden Region keine Macie-Gebühren an, während Macie für das Konto in dieser Region gesperrt ist.

Um Macie für ein Mitgliedskonto in einer Organisation zu sperren

Um Macie für ein Mitgliedskonto in einer Organisation zu sperren, können Sie die Amazon Macie-Konsole oder Amazon Macie verwenden. API

Console

Gehen Sie wie folgt vor, um Macie mithilfe der Amazon Macie Macie-Konsole für ein Mitgliedskonto zu sperren.

Um Macie für ein Mitgliedskonto zu sperren

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Macie für ein Mitgliedskonto sperren möchten.

  3. Wählen Sie im Navigationsbereich Accounts (Konten) aus. Die Seite „Konten“ wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

  4. Aktivieren Sie in der Tabelle Bestehende Konten das Kontrollkästchen für das Konto, für das Sie Macie sperren möchten.

  5. Wählen Sie im Menü Aktionen die Option Macie sperren aus.

  6. Bestätigen Sie, dass Sie Macie für das Konto sperren möchten.

Nachdem du die Sperrung bestätigt hast, ändert sich der Status des Accounts in deinem Kontobestand auf Pausiert (gesperrt).

Wiederhole die vorherigen Schritte in jeder weiteren Region, in der du Macie für das Konto sperren möchtest.

API

Um Macie für ein Mitgliedskonto programmgesteuert zu sperren, verwenden Sie den UpdateMemberSessionBetrieb von Amazon Macie. API

Wenn Sie Ihre Anfrage einreichen, verwenden Sie den id Parameter, um die 12-stellige Konto-ID für das Konto anzugeben, für AWS-Konto das Sie Macie sperren möchten. Geben Sie PAUSED als status Parameter den neuen Status für das Macie-Konto an. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um das Konto in weiteren Regionen zu sperren, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID für das zu sperrende Konto abzurufen, können Sie den ListMembersBetrieb von Amazon Macie API verwenden. Wenn Sie dies tun, sollten Sie erwägen, die Ergebnisse zu filtern, indem Sie den onlyAssociated Parameter in Ihre Anfrage aufnehmen. Wenn Sie den Wert dieses Parameters auf setzentrue, gibt Macie ein members Array zurück, das nur Details zu den Konten enthält, bei denen es sich derzeit um Mitgliedskonten handelt.

Um Macie mithilfe von für ein Mitgliedskonto zu sperren AWS CLI, führen Sie den update-member-sessionBefehl aus. Geben Sie mit dem region Parameter die Region an, in der Macie gesperrt werden soll, und geben Sie mit dem id Parameter die Konto-ID an, für die Macie gesperrt werden AWS-Konto soll. Geben Sie für den Parameter status PAUSED an: Beispielsweise:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

Wo us-east-1 ist die Region, in der Macie gesperrt werden soll (Region USA Ost (Nord-Virginia)), 123456789012 ist die Konto-ID für das Konto, für das Macie gesperrt werden soll, und PAUSED ist der neue Macie-Status für das Konto.

Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere Antwort zurück und der Status des angegebenen Kontos ändert sich Paused in Ihrem Kontobestand.

Macie-Mitgliedskonten aus einer Organisation entfernen

Wenn Sie nicht mehr auf die Einstellungen, Daten und Ressourcen von Amazon Macie für ein Mitgliedskonto zugreifen möchten, können Sie das Konto als Macie-Mitgliedskonto entfernen. Sie tun dies, indem Sie das Konto von Ihrem Macie-Administratorkonto trennen. Beachten Sie, dass nur Sie dies für ein Mitgliedskonto tun können. Ein AWS Organizations Mitgliedskonto kann nicht von seinem Macie-Administratorkonto getrennt werden.

Wenn Sie ein Macie-Mitgliedskonto entfernen, bleibt Macie für das aktuelle Konto aktiviert. AWS-Region Das Konto wird jedoch von Ihrem Macie-Administratorkonto getrennt und es wird zu einem eigenständigen Macie-Konto. Dies bedeutet, dass Sie den Zugriff auf alle Macie-Einstellungen, Daten und Ressourcen für das Konto verlieren, einschließlich Metadaten und Richtlinienergebnissen für die Amazon S3 S3-Daten des Kontos. Dies bedeutet auch, dass Sie Macie nicht mehr verwenden können, um sensible Daten in S3-Buckets zu ermitteln, die dem Konto gehören. Wenn Sie zu diesem Zweck bereits vertrauliche Discovery-Jobs erstellt haben, überspringen die Jobs Buckets, die dem Konto gehören. Wenn Sie die automatische Erkennung sensibler Daten für das Konto aktiviert haben, verlieren sowohl Sie als auch das Mitgliedskonto den Zugriff auf statistische Daten, Inventardaten und andere Informationen, die Macie während der automatischen Erkennung für das Konto erstellt und direkt bereitgestellt hat.

Nachdem Sie ein Macie-Mitgliedskonto entfernt haben, erscheint das Konto weiterhin in Ihrem Kontoinventar. Macie benachrichtigt den Kontoinhaber nicht darüber, dass Sie das Konto entfernt haben. Sie können das Konto zu einem späteren Zeitpunkt wieder zu Ihrer Organisation hinzufügen. Wenn Sie das Konto hinzufügen und innerhalb von 30 Tagen die automatische Erkennung sensibler Daten aktivieren, erhalten Sie auch wieder Zugriff auf Daten und Informationen, die Macie zuvor erstellt und direkt bereitgestellt hat, während die automatische Erkennung für das Konto durchgeführt wurde.

Um ein Macie-Mitgliedskonto aus einer Organisation zu entfernen

Um ein Macie-Mitgliedskonto aus Ihrer Organisation zu entfernen, können Sie die Amazon Macie-Konsole oder Amazon Macie verwenden. API

Console

Gehen Sie wie folgt vor, um ein Macie-Mitgliedskonto mithilfe der Amazon Macie Macie-Konsole zu entfernen.

Um ein Macie-Mitgliedskonto zu entfernen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie ein Mitgliedskonto entfernen möchten.

  3. Wählen Sie im Navigationsbereich Accounts (Konten) aus. Die Seite Konten wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

  4. Aktivieren Sie in der Tabelle Bestehende Konten das Kontrollkästchen für das Konto, das Sie als Mitgliedskonto entfernen möchten.

  5. Wählen Sie im Menü Aktionen die Option Konto trennen aus.

  6. Bestätigen Sie, dass Sie das ausgewählte Konto als Mitgliedskonto entfernen möchten.

Nachdem Sie Ihre Auswahl bestätigt haben, ändert sich der Status des Kontos in Ihrem Kontobestand auf Entfernt (getrennt).

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie das Mitgliedskonto entfernen möchten.

API

Um ein Macie-Mitgliedskonto programmgesteuert zu entfernen, verwenden Sie den DisassociateMemberBetrieb von Amazon Macie. API

Wenn Sie Ihre Anfrage einreichen, geben Sie mithilfe des id Parameters die 12-stellige AWS-Konto ID für das Mitgliedskonto an, das entfernt werden soll. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um das Konto in weiteren Regionen zu entfernen, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID für das zu entfernende Mitgliedskonto abzurufen, können Sie den ListMembersBetrieb von Amazon Macie API verwenden. Wenn Sie dies tun, sollten Sie erwägen, die Ergebnisse zu filtern, indem Sie den onlyAssociated Parameter in Ihre Anfrage aufnehmen. Wenn Sie den Wert dieses Parameters auf setzentrue, gibt Macie ein members Array zurück, das nur Details zu den Konten enthält, bei denen es sich derzeit um Macie-Mitgliedskonten handelt.

Um ein Macie-Mitgliedskonto mit dem zu entfernen AWS CLI, führen Sie den Befehl disassociate-member aus. Verwenden Sie den region Parameter, um die Region anzugeben, in der das Konto entfernt werden soll. Verwenden Sie den id Parameter, um die Konto-ID für das Mitgliedskonto anzugeben, das entfernt werden soll. Beispielsweise:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

Wo us-east-1 ist die Region, in der das Konto entfernt werden soll (Region USA Ost (Nord-Virginia)) und 123456789012 ist die Konto-ID für das Konto, das entfernt werden soll.

Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere Antwort zurück und der Status des angegebenen Kontos ändert sich Removed in Ihrem Kontoinventar.