Macie-Mitgliedskonten für eine Organisation verwalten - Amazon Macie
Mitgliedskonten hinzufügenMacie für Mitgliedskonten sperrenMitgliedskonten entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Macie-Mitgliedskonten für eine Organisation verwalten

Nachdem eine AWS Organizations Organisation in Amazon Macie integriert und konfiguriert wurde, kann der delegierte Macie-Administrator der Organisation auf bestimmte Macie-Einstellungen, Daten und Ressourcen für Mitgliedskonten zugreifen. Als Macie-Administrator für eine Organisation können Sie Macie verwenden, um bestimmte Kontoverwaltungs- und Verwaltungsaufgaben für die Konten zentral durchzuführen. Beispielsweise ist Folgendes möglich:

  • Konten als Macie-Mitgliedskonten hinzufügen und entfernen.

  • Den Status von Macie für einzelne Konten verwalten, z. B. Macie für ein Konto aktivieren oder sperren.

  • Überwachen Sie die Macie-Kontingente und die geschätzten Nutzungskosten für einzelne Konten und die gesamte Organisation.

Sie können sich auch die Inventardaten und Richtlinienergebnisse von Amazon Simple Storage Service (Amazon S3) für Macie-Mitgliedskonten ansehen. Und Sie können sensible Daten in S3-Buckets entdecken, die den Konten gehören. Eine ausführliche Liste der Aufgaben, die Sie ausführen können, finden Sie unterBeziehungen zwischen Macie-Administrator und Mitgliedskonto.

Standardmäßig bietet Ihnen Macie Einblick in relevante Daten und Ressourcen für alle Macie-Mitgliedskonten in Ihrer Organisation. Sie können sich auch die Daten und Ressourcen einzelner Konten genauer ansehen. Wenn Sie beispielsweise das Übersichts-Dashboard verwenden, um den Amazon S3-Sicherheitsstatus Ihres Unternehmens zu bewerten, können Sie die Daten nach Konto filtern. Wenn Sie die geschätzten Nutzungskosten überwachen, können Sie auf ähnliche Weise auf Aufschlüsselungen der geschätzten Kosten für einzelne Mitgliedskonten zugreifen.

Zusätzlich zu den Aufgaben, die für Administrator- und Mitgliedskonten üblich sind, können Sie verschiedene Verwaltungsaufgaben für Ihre Organisation ausführen.

Als Macie-Administrator einer Organisation können Sie diese Aufgaben mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API ausführen. Wenn Sie lieber die Konsole verwenden möchten, müssen Sie die folgende AWS Organizations Aktion ausführen dürfen:. organizations:ListAccounts Mit dieser Aktion können Sie Informationen zu Konten, die Teil Ihrer Organisation sind, in abrufen und anzeigen AWS Organizations.

Hinzufügen von Macie-Mitgliedskonten zu einer Organisation

In einigen Fällen müssen Sie möglicherweise manuell ein Konto als Amazon Macie Macie-Mitgliedskonto hinzufügen. Dies ist bei Konten der Fall, die Sie zuvor als Mitgliedskonten entfernt (getrennt) haben. Dies ist auch der Fall, wenn Sie Macie nicht so konfiguriert haben, dass neue Mitgliedskonten automatisch aktiviert und hinzugefügt werden, wenn Konten zu Ihrer Organisation in hinzugefügt werden. AWS Organizations

Wenn Sie ein Konto als Macie-Mitgliedskonto hinzufügen:

  • Macie ist derzeit für das Konto aktiviert AWS-Region, sofern es in der Region nicht bereits aktiviert ist.

  • Das Konto ist mit Ihrem Macie-Administratorkonto als Mitgliedskonto in der Region verknüpft. Das Mitgliedskonto erhält keine Einladung oder andere Benachrichtigung darüber, dass Sie diese Beziehung zwischen Ihren Konten hergestellt haben.

  • Die automatische Erkennung sensibler Daten ist möglicherweise für das Konto in der Region aktiviert. Dies hängt von den Konfigurationseinstellungen ab, die Sie für die Organisation angegeben haben. Weitere Informationen finden Sie unter Konfiguration der automatisierten Erkennung sensibler Daten.

Beachten Sie, dass Sie kein Konto hinzufügen können, das bereits mit einem anderen Macie-Administratorkonto verknüpft ist. Das Konto muss zuerst von seinem aktuellen Administratorkonto getrennt werden. Darüber hinaus können Sie das AWS Organizations Verwaltungskonto nicht als Mitgliedskonto hinzufügen, es sei denn, Macie ist bereits für das Konto aktiviert. Weitere Informationen zu zusätzlichen Anforderungen finden Sie unterÜberlegungen zur Verwendung von Macie mit AWS Organizations.

So fügen Sie einer Organisation ein Macie-Mitgliedskonto hinzu

Um Ihrer Organisation ein oder mehrere Macie-Mitgliedskonten hinzuzufügen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

Console

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie-Konsole ein oder mehrere Macie-Mitgliedskonten hinzuzufügen.

Um ein Macie-Mitgliedskonto hinzuzufügen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie ein Mitgliedskonto hinzufügen möchten.

  3. Wählen Sie im Navigationsbereich Accounts (Konten) aus. Die Seite Konten wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

  4. (Optional) Verwenden Sie das Filterfeld über der Tabelle Bestehende Konten, um Konten, die Teil Ihrer Organisation sind AWS Organizations und keine Macie-Mitgliedskonten sind, einfacher zu identifizieren, um die folgenden Filterbedingungen hinzuzufügen:

    • Typ = Organisation

    • Status = Kein Mitglied

    Um auch Konten anzuzeigen, die Sie zuvor entfernt haben und die Sie möglicherweise als Mitgliedskonten hinzufügen möchten, fügen Sie außerdem die Filterbedingung Status = Entfernt hinzu.

  5. Aktivieren Sie in der Tabelle Bestehende Konten das Kontrollkästchen für jedes Konto, das Sie als Mitgliedskonto hinzufügen möchten.

  6. Wählen Sie im Menü Aktionen die Option Mitglied hinzufügen aus.

  7. Bestätigen Sie, dass Sie die ausgewählten Konten als Mitgliedskonten hinzufügen möchten.

Nachdem Sie Ihre Auswahl bestätigt haben, ändert sich der Status der ausgewählten Konten in Ihrem Kontobestand auf Aktiviert und anschließend auf Aktiviert.

Um ein Mitgliedskonto in weiteren Regionen hinzuzufügen, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

API

Um ein oder mehrere Macie-Mitgliedskonten programmgesteuert hinzuzufügen, verwenden Sie den CreateMemberBetrieb der Amazon Macie Macie-API.

Wenn Sie Ihre Anfrage einreichen, verwenden Sie die unterstützten Parameter, um die 12-stellige Konto-ID und E-Mail-Adresse für jeden, den Sie hinzufügen möchten AWS-Konto , anzugeben. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um ein Konto in weiteren Regionen hinzuzufügen, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID und E-Mail-Adresse eines hinzuzufügenden Kontos abzurufen, können Sie die Ausgabe des API-Betriebs und des ListAccountsBetriebs der Amazon Macie AWS Organizations Macie-API korrelieren. ListMembers Nehmen Sie für den ListMembers Betrieb der Macie-API den onlyAssociated Parameter in Ihre Anfrage auf und setzen Sie den Wert des Parameters auf. false Wenn der Vorgang erfolgreich ist, gibt Macie ein members Array zurück, das Details zu allen Konten enthält, die Ihrem Macie-Administratorkonto in der angegebenen Region zugeordnet sind, einschließlich Konten, die derzeit keine Mitgliedskonten sind. Beachten Sie Folgendes im Array:

  • Wenn der Wert für die relationshipStatus Eigenschaft eines Kontos nicht Enabled oder istPaused, ist das Konto mit Ihrem Konto verknüpft, es handelt sich jedoch nicht um ein Macie-Mitgliedskonto.

  • Wenn ein Konto nicht im Array enthalten ist, aber in der Ausgabe des ListAccounts AWS Organizations API-Betriebs enthalten ist, ist das Konto Teil Ihrer Organisation, AWS Organizations aber es ist nicht mit Ihrem Konto verknüpft und ist daher kein Macie-Mitgliedskonto.

Um ein Mitgliedskonto mithilfe von AWS Command Line Interface (AWS CLI) hinzuzufügen, führen Sie den Befehl create-member aus. Verwenden Sie den region Parameter, um die Region anzugeben, in der das Konto hinzugefügt werden soll. Verwenden Sie die account Parameter, um die Konto-ID und die E-Mail-Adresse für jedes hinzuzufügende Konto anzugeben. Zum Beispiel:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Wo us-east-1 ist die Region, in der das Konto als Mitgliedskonto hinzugefügt werden soll (Region USA Ost (Nord-Virginia)), und die account Parameter geben die Konto-ID (123456789012) und die E-Mail-Adresse (janedoe@example.com) für das Konto an.

Wenn Ihre Anfrage erfolgreich ist, ändert sich der Status (relationshipStatus) des angegebenen Kontos Enabled in Ihrem Kontobestand.

Macie für Mitgliedskonten in einer Organisation sperren

Als Amazon Macie-Administrator für eine Organisation in AWS Organizations können Sie Macie für ein Mitgliedskonto in Ihrer Organisation sperren. In diesem Fall können Sie Macie auch zu einem späteren Zeitpunkt wieder für das Konto aktivieren.

Wenn du Macie für ein Mitgliedskonto sperrst:

  • Macie verliert den Zugriff auf die aktuellen AWS-Region Amazon S3 S3-Daten des Kontos und stellt diese nicht mehr bereit.

  • Macie beendet die Ausführung aller Aktivitäten für das Konto in der Region. Dazu gehören die Überwachung von S3-Buckets im Hinblick auf Sicherheit und Zugriffskontrolle, die automatische Erkennung sensibler Daten und die Ausführung von Aufgaben zur Erkennung sensibler Daten, die derzeit ausgeführt werden.

  • Macie storniert alle Aufträge zur Erkennung sensibler Daten, die von dem Konto in der Region erstellt wurden. Ein Auftrag kann nicht wieder aufgenommen oder neu gestartet werden, nachdem er storniert wurde. Wenn Sie Jobs zur Analyse von Daten erstellt haben, die dem Mitgliedskonto gehören, storniert Macie Ihre Jobs nicht. Stattdessen werden bei den Jobs Ressourcen übersprungen, die dem Konto gehören.

Während der Sperrung behält Macie die Sitzungs-ID, die Einstellungen und die Ressourcen bei, die es für das Konto in der jeweiligen Region speichert oder verwaltet. Macie speichert auch bestimmte Daten für das Konto in der Region. Beispielsweise bleiben die Ergebnisse des Kontos erhalten und sind bis zu 90 Tage lang nicht betroffen. Wenn die automatische Erkennung sensibler Daten für das Konto aktiviert wurde, bleiben die vorhandenen Ergebnisse ebenfalls erhalten und sind bis zu 30 Tage lang nicht betroffen. Ihrem Unternehmen fallen keine Macie-Gebühren für das Konto in dieser Region an, während Macie für das Konto in der Region gesperrt ist.

Um Macie für ein Mitgliedskonto in einer Organisation zu sperren

Um Macie für ein Mitgliedskonto in einer Organisation zu sperren, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

Console

Gehen Sie wie folgt vor, um Macie mithilfe der Amazon Macie Macie-Konsole für ein Mitgliedskonto zu sperren.

Um Macie für ein Mitgliedskonto zu sperren

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Macie für ein Mitgliedskonto sperren möchten.

  3. Wählen Sie im Navigationsbereich Accounts (Konten) aus. Die Seite „Konten“ wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

  4. Wählen Sie in der Tabelle Bestehende Konten das Kontrollkästchen für das Konto aus, für das Sie Macie sperren möchten.

  5. Wählen Sie im Menü Aktionen die Option Macie sperren aus.

  6. Bestätigen Sie, dass Sie Macie für das Konto sperren möchten.

Nachdem du die Sperrung bestätigt hast, ändert sich der Status des Accounts in deinem Kontobestand auf Pausiert (gesperrt). Um Macie für das Konto in weiteren Regionen zu sperren, wiederhole die vorherigen Schritte in jeder weiteren Region.

Um Macie später wieder für das Konto zu aktivieren, kehren Sie zur Seite Konten auf der Konsole zurück. Markieren Sie das Kontrollkästchen für das Konto und wählen Sie dann im Menü Aktionen die Option Macie aktivieren aus. Um Macie für das Konto in weiteren Regionen wieder zu aktivieren, wiederholen Sie diese Schritte in jeder weiteren Region.

API

Um Macie für ein Mitgliedskonto programmgesteuert zu sperren, verwenden Sie den UpdateMemberSessionBetrieb der Amazon Macie Macie-API. Sie können diesen Vorgang auch verwenden, um Macie später wieder für das Konto zu aktivieren.

Wenn Sie Ihre Anfrage einreichen, verwenden Sie den id Parameter, um die 12-stellige Konto-ID für das Konto anzugeben, für AWS-Konto das Sie Macie sperren möchten. Geben Sie für den Parameter status PAUSED an: Geben Sie außerdem die Region an, für die sich die Anfrage bezieht. Um Macie für das Konto in weiteren Regionen zu sperren, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID für das Konto abzurufen, können Sie den ListMembersBetrieb der Amazon Macie Macie-API verwenden. Wenn Sie dies tun, sollten Sie erwägen, die Ergebnisse zu filtern, indem Sie den onlyAssociated Parameter in Ihre Anfrage aufnehmen. Wenn Sie den Wert dieses Parameters auf setzentrue, gibt Macie ein members Array zurück, das nur Details zu den Konten enthält, bei denen es sich derzeit um Mitgliedskonten handelt.

Um Macie mithilfe von für ein Mitgliedskonto zu sperren AWS CLI, führen Sie den update-member-sessionBefehl aus. Verwenden Sie den region Parameter, um die Region anzugeben, in der Macie für das Konto gesperrt werden soll. Verwenden Sie den id Parameter, um die Konto-ID für das Konto anzugeben. Geben Sie für den Parameter status PAUSED an: Zum Beispiel:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

Wo us-east-1 ist die Region, in der Macie gesperrt werden soll (Region USA Ost (Nord-Virginia)), 123456789012 ist die Konto-ID für das Konto, für das Macie gesperrt werden soll, und PAUSED gibt den neuen Macie-Status für das Konto an.

Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere Antwort zurück und der Status des angegebenen Kontos ändert sich in Ihrem Kontobestand. Paused Um Macie später wieder für das Konto zu aktivieren, führen Sie den update-member-session Befehl erneut aus und geben Sie ENABLED den Parameter an. status

Macie-Mitgliedskonten aus einer Organisation entfernen

Wenn Sie nicht mehr auf die Einstellungen, Daten und Ressourcen von Amazon Macie für ein Mitgliedskonto zugreifen möchten, können Sie das Konto als Macie-Mitgliedskonto entfernen. Dazu trennen Sie das Konto von Ihrem Macie-Administratorkonto. Beachten Sie, dass nur Sie dies für ein Mitgliedskonto tun können. Ein AWS Organizations Mitgliedskonto kann nicht von seinem Macie-Administratorkonto getrennt werden.

Wenn Sie ein Macie-Mitgliedskonto entfernen, bleibt Macie für das aktuelle Konto aktiviert. AWS-Region Das Konto wird jedoch von Ihrem Macie-Administratorkonto getrennt und es wird zu einem eigenständigen Macie-Konto. Dies bedeutet, dass Sie den Zugriff auf alle Macie-Einstellungen, Daten und Ressourcen für das Konto verlieren, einschließlich Metadaten und Richtlinienergebnissen für die Amazon S3 S3-Daten des Kontos. Dies bedeutet auch, dass Sie Macie nicht mehr verwenden können, um sensible Daten in S3-Buckets zu ermitteln, die dem Konto gehören. Wenn Sie zu diesem Zweck bereits Aufträge zur Erkennung sensibler Daten erstellt haben, überspringen die Jobs Buckets, die dem Konto gehören. Wenn Sie die automatische Erkennung sensibler Daten für das Konto aktiviert haben, verlieren sowohl Sie als auch das Mitgliedskonto den Zugriff auf statistische Daten, Inventardaten und andere Informationen, die Macie während der automatischen Erkennung für das Konto erstellt und direkt bereitgestellt hat.

Nachdem Sie ein Macie-Mitgliedskonto entfernt haben, erscheint das Konto weiterhin in Ihrem Kontoinventar. Macie benachrichtigt den Kontoinhaber nicht darüber, dass Sie das Konto entfernt haben. Erwägen Sie daher, den Kontoinhaber zu kontaktieren, um sicherzustellen, dass er mit der Verwaltung der Einstellungen und Ressourcen für sein Konto beginnt.

Sie können das Konto zu einem späteren Zeitpunkt erneut zu Ihrer Organisation hinzufügen. Wenn Sie dies tun und die automatische Erkennung sensibler Daten für das Konto innerhalb von 30 Tagen wieder aktivieren, erhalten Sie auch wieder Zugriff auf Daten und Informationen, die Macie zuvor erstellt und direkt bereitgestellt hat, während die automatische Erkennung für das Konto durchgeführt wurde. Darüber hinaus beginnen nachfolgende Ausführungen Ihrer bestehenden Jobs, einschließlich der S3-Buckets des Kontos, erneut.

Um ein Macie-Mitgliedskonto aus einer Organisation zu entfernen

Um ein Macie-Mitgliedskonto aus Ihrer Organisation zu entfernen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

Console

Gehen Sie wie folgt vor, um ein Macie-Mitgliedskonto mithilfe der Amazon Macie Macie-Konsole zu entfernen.

Um ein Macie-Mitgliedskonto zu entfernen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie ein Mitgliedskonto entfernen möchten.

  3. Wählen Sie im Navigationsbereich Accounts (Konten) aus. Die Seite Konten wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

  4. Aktivieren Sie in der Tabelle Bestehende Konten das Kontrollkästchen für das Konto, das Sie als Mitgliedskonto entfernen möchten.

  5. Wählen Sie im Menü Aktionen die Option Konto trennen aus.

  6. Bestätigen Sie, dass Sie das ausgewählte Konto als Mitgliedskonto entfernen möchten.

Nachdem Sie Ihre Auswahl bestätigt haben, ändert sich der Status des Kontos in Ihrem Kontobestand auf Entfernt (getrennt).

Um das Mitgliedskonto in weiteren Regionen zu entfernen, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

API

Um ein Macie-Mitgliedskonto programmgesteuert zu entfernen, verwenden Sie den DisassociateMemberBetrieb der Amazon Macie Macie-API.

Wenn Sie Ihre Anfrage einreichen, geben Sie mithilfe des id Parameters die 12-stellige AWS-Konto ID für das Mitgliedskonto an, das entfernt werden soll. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um das Konto in weiteren Regionen zu entfernen, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID für das zu entfernende Mitgliedskonto abzurufen, können Sie den ListMembersBetrieb der Amazon Macie Macie-API verwenden. Wenn Sie dies tun, sollten Sie erwägen, die Ergebnisse zu filtern, indem Sie den onlyAssociated Parameter in Ihre Anfrage aufnehmen. Wenn Sie den Wert dieses Parameters auf setzentrue, gibt Macie ein members Array zurück, das nur Details zu den Konten enthält, bei denen es sich derzeit um Macie-Mitgliedskonten handelt.

Um ein Macie-Mitgliedskonto mit dem zu entfernen AWS CLI, führen Sie den Befehl disassociate-member aus. Verwenden Sie den region Parameter, um die Region anzugeben, in der das Konto entfernt werden soll. Verwenden Sie den id Parameter, um die Konto-ID für das Mitgliedskonto anzugeben, das entfernt werden soll. Zum Beispiel:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

Wo us-east-1 ist die Region, in der das Konto entfernt werden soll (Region USA Ost (Nord-Virginia)), und 123456789012 ist die Konto-ID für das Konto, das entfernt werden soll.

Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere Antwort zurück und der Status des angegebenen Kontos ändert sich Removed in Ihrem Kontobestand.