Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration und Konfiguration einer Organisation in Macie

Um mit der Nutzung von Amazon Macie zu beginnen AWS Organizations, legt das AWS Organizations Verwaltungskonto für die Organisation ein Konto als delegiertes Macie-Administratorkonto für die Organisation fest. Dadurch wird Macie als vertrauenswürdiger Service in aktiviert. AWS Organizations Es aktiviert Macie auch im aktuellen Konto AWS-Region für das angegebene Administratorkonto, und es ermöglicht dem designierten Administratorkonto, Macie für andere Konten in der Organisation in dieser Region zu aktivieren und zu verwalten. Informationen dazu, wie diese Berechtigungen gewährt werden, finden Sie AWS-Services im AWS Organizations Benutzerhandbuch unter AWS Organizations Zusammen mit anderen Benutzern verwenden.

Der delegierte Macie-Administrator konfiguriert dann die Organisation in Macie, hauptsächlich indem er die Konten der Organisation als Macie-Mitgliedskonten in der Region hinzufügt. Der Administrator kann dann auf bestimmte Macie-Einstellungen, Daten und Ressourcen für diese Konten in dieser Region zugreifen. Sie können auch die automatische Erkennung sensibler Daten durchführen und Aufgaben zur Erkennung sensibler Daten ausführen, um sensible Daten in Amazon Simple Storage Service (Amazon S3) -Buckets zu erkennen, die den Konten gehören.

In diesem Thema wird erklärt, wie Sie einen delegierten Macie-Administrator für eine Organisation benennen und die Konten der Organisation als Macie-Mitgliedskonten hinzufügen. Bevor Sie diese Aufgaben ausführen, sollten Sie sicherstellen, dass Sie die Beziehung zwischen Macie-Administrator - und Mitgliedskonten verstehen. Es ist auch eine gute Idee, die Überlegungen und Empfehlungen zur Verwendung von Macie mit zu lesen. AWS Organizations

Um die Organisation in mehreren Regionen zu integrieren und zu konfigurieren, wiederholen das AWS Organizations Verwaltungskonto und der delegierte Macie-Administrator diese Schritte in jeder weiteren Region.

Schritt 1: Überprüfen Sie Ihre Berechtigungen

Bevor Sie das delegierte Macie-Administratorkonto für Ihre Organisation festlegen, stellen Sie sicher, dass Sie (als Benutzer des AWS Organizations Verwaltungskontos) die folgende Macie-Aktion ausführen dürfen:. macie2:EnableOrganizationAdminAccount Mit dieser Aktion können Sie mithilfe von Macie das delegierte Macie-Administratorkonto für Ihre Organisation festlegen.

Stellen Sie außerdem sicher, dass Sie die folgenden Aktionen ausführen dürfen: AWS Organizations

Mit diesen Aktionen können Sie: Informationen über Ihre Organisation abrufen, Macie in Ihr Unternehmen integrieren AWS Organizations, Informationen darüber abrufen, in welche AWS-Services Sie sich integriert haben AWS Organizations, und ein delegiertes Macie-Administratorkonto für Ihre Organisation festlegen.

Um diese Berechtigungen zu gewähren, fügen Sie die folgende Erklärung in eine AWS Identity and Access Management (IAM) -Richtlinie für Ihr Konto ein:

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

Wenn Sie Ihr AWS Organizations Verwaltungskonto als delegiertes Macie-Administratorkonto für die Organisation festlegen möchten, benötigt Ihr Konto außerdem die Erlaubnis, die folgende IAM Aktion auszuführen:. CreateServiceLinkedRole Mit dieser Aktion können Sie Macie für das Verwaltungskonto aktivieren. Aufgrund bewährter AWS Sicherheitsmethoden und des Prinzips der geringsten Rechte empfehlen wir Ihnen jedoch, dies nicht zu tun.

Wenn Sie sich entscheiden, diese Berechtigung zu erteilen, fügen Sie der IAM Richtlinie für Ihr AWS Organizations Verwaltungskonto die folgende Erklärung hinzu:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

Ersetzen Sie in der Erklärung 111122223333 durch die Konto-ID für das Verwaltungskonto.

Wenn Sie Macie in einem Opt-In verwalten möchten AWS-Region (Region, die standardmäßig deaktiviert ist), aktualisieren Sie auch den Wert für den Macie-Service Principal im Resource Element und in der Bedingung. iam:AWSServiceName Der Wert muss den Regionalcode für die Region angeben. Gehen Sie beispielsweise wie folgt vor, um Macie in der Region Naher Osten (Bahrain) mit dem Regionalcode me-south-1 zu verwalten:

Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, sowie den Regionalcode für jede Region finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz Informationen darüber, ob es sich bei einer Region um eine Opt-in-Region handelt, finden Sie im Benutzerhandbuch unter Aktivieren oder Deaktivieren AWS-Regionen in Ihrem Konto.AWS Account Management

Schritt 2: Bestimmen Sie das delegierte Macie-Administratorkonto für die Organisation

Nachdem Sie Ihre Berechtigungen überprüft haben, können Sie (als Benutzer des AWS Organizations Verwaltungskontos) das delegierte Macie-Administratorkonto für Ihre Organisation festlegen.

Um das delegierte Macie-Administratorkonto für eine Organisation festzulegen

Um das delegierte Macie-Administratorkonto für Ihre Organisation festzulegen, können Sie die Amazon Macie-Konsole oder Amazon Macie verwenden. API Nur ein Benutzer des AWS Organizations Verwaltungskontos kann diese Aufgabe ausführen.

Console

Gehen Sie wie folgt vor, um das delegierte Macie-Administratorkonto mithilfe der Amazon Macie Macie-Konsole festzulegen.

Um das delegierte Macie-Administratorkonto zu bestimmen

1. Melden Sie sich AWS Management Console mit Ihrem AWS Organizations Verwaltungskonto bei an.

2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, für die Sie das delegierte Macie-Administratorkonto für Ihre Organisation einrichten möchten.

3. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

4. Führen Sie je nachdem, ob Macie für Ihr Verwaltungskonto in der aktuellen Region aktiviert ist, einen der folgenden Schritte aus:

   • Wenn Macie nicht aktiviert ist, wählen Sie auf der Willkommensseite die Option Erste Schritte aus.

   • Wenn Macie aktiviert ist, wählen Sie im Navigationsbereich Einstellungen aus.

5. Geben Sie unter Delegierter Administrator die 12-stellige Konto-ID für das Konto ein AWS-Konto , das Sie als Macie-Administratorkonto festlegen möchten.

6. Wählen Sie Delegieren.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie Ihre Organisation in Macie integrieren möchten. Sie müssen in jeder dieser Regionen dasselbe Macie-Administratorkonto angeben.

API

Verwenden Sie den EnableOrganizationAdminAccountBetrieb von Amazon Macie, um das delegierte Macie-Administratorkonto programmgesteuert festzulegen. API Um das Konto in mehreren Regionen zuzuweisen, reichen Sie die Bezeichnung für jede Region ein, in der Sie Ihre Organisation mit Macie integrieren möchten. Sie müssen in jeder dieser Regionen dasselbe Macie-Administratorkonto angeben.

Wenn Sie die Bezeichnung einreichen, verwenden Sie den erforderlichen adminAccountId Parameter, um die 12-stellige Konto-ID anzugeben, die als Macie-Administratorkonto für die Organisation bestimmt werden AWS-Konto soll. Stellen Sie außerdem sicher, dass Sie die Region angeben, für die die Benennung gilt.

Führen Sie den Befehl aus, um das Macie-Administratorkonto mithilfe von AWS Command Line Interface (AWS CLI) festzulegen. enable-organization-admin-account Geben Sie für den admin-account-id Parameter die 12-stellige Konto-ID an, die AWS-Konto Sie angeben möchten. Verwenden Sie den region Parameter, um die Region anzugeben, für die die Bezeichnung gilt. Beispielsweise:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

Wo us-east-1 ist die Region, für die die Bezeichnung gilt (Region USA Ost (Nord-Virginia)) und 111122223333 ist die Konto-ID für das Konto, das angegeben werden soll.

Nachdem Sie das Macie-Administratorkonto für Ihre Organisation festgelegt haben, kann der Macie-Administrator mit der Konfiguration der Organisation in Macie beginnen.

Schritt 3: Automatisches Aktivieren und Hinzufügen neuer Organisationskonten als Macie-Mitgliedskonten

Standardmäßig ist Macie nicht automatisch für neue Konten aktiviert, wenn die Konten zu Ihrer Organisation in AWS Organizations hinzugefügt werden. Darüber hinaus werden die Konten nicht automatisch als Macie-Mitgliedskonten hinzugefügt. Die Konten werden im Kontoinventar des Macie-Administrators angezeigt. Macie ist jedoch nicht unbedingt für die Konten aktiviert, und der Macie-Administrator kann nicht unbedingt auf die Macie-Einstellungen, Daten und Ressourcen für die Konten zugreifen.

Wenn Sie der delegierte Macie-Administrator für die Organisation sind, können Sie diese Konfigurationseinstellung ändern. Sie können die automatische Aktivierung für Ihre Organisation aktivieren. Wenn Sie dies tun, wird Macie automatisch für neue Konten aktiviert, wenn die Konten Ihrer Organisation in hinzugefügt werden. AWS Organizations Darüber hinaus werden die Konten automatisch als Mitgliedskonten mit Ihrem Macie-Administratorkonto verknüpft. Das Aktivieren dieser Einstellung hat keine Auswirkungen auf bestehende Konten in Ihrer Organisation. Um Macie für bestehende Konten zu aktivieren und zu verwalten, müssen Sie die Konten manuell als Macie-Mitgliedskonten hinzufügen. Im nächsten Schritt wird erklärt, wie das geht.

Um automatisch neue Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen

Um automatisch neue Konten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen, können Sie die Amazon Macie-Konsole oder Amazon Macie verwenden. API Nur der delegierte Macie-Administrator für die Organisation kann diese Aufgabe ausführen.

Console

Um diese Aufgabe mithilfe der Konsole ausführen zu können, müssen Sie berechtigt sein, die folgende AWS Organizations Aktion auszuführen:. organizations:ListAccounts Mit dieser Aktion können Sie Informationen zu den Konten in Ihrer Organisation abrufen und anzeigen. Wenn Sie über diese Berechtigungen verfügen, gehen Sie wie folgt vor, um automatisch neue Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen.

Um automatisch neue Organisationskonten zu aktivieren und hinzuzufügen

1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie automatisch neue Konten als Macie-Mitgliedskonten aktivieren und hinzufügen möchten.

3. Wählen Sie im Navigationsbereich Accounts (Konten) aus.

4. Wählen Sie auf der Seite Konten im Abschnitt Neue Konten die Option Bearbeiten aus.

5. Wählen Sie im Dialogfeld „Einstellungen für neue Konten bearbeiten“ die Option „Macie aktivieren“ aus.

   Um die automatische Erkennung vertraulicher Daten auch für neue Mitgliedskonten zu aktivieren, wählen Sie Automatische Erkennung vertraulicher Daten aktivieren aus. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter Durchführung einer automatisierten Erkennung sensibler Daten.

6. Wählen Sie Save (Speichern) aus.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie Ihre Organisation in Macie konfigurieren möchten.

Um diese Einstellungen anschließend zu ändern, wiederholen Sie die vorherigen Schritte und deaktivieren Sie das Kontrollkästchen für jede Einstellung.

API

Verwenden Sie den UpdateOrganizationConfigurationBetrieb von Amazon Macie, um automatisch programmgesteuert neue Macie-Mitgliedskonten zu aktivieren und hinzuzufügen. API Wenn Sie Ihre Anfrage einreichen, setzen Sie den Wert für den Parameter auf. autoEnable true (Der Standardwert ist false.) Stellen Sie außerdem sicher, dass Sie die Region angeben, für die sich Ihre Anfrage bezieht. Um automatisch neue Konten in weiteren Regionen zu aktivieren und hinzuzufügen, reichen Sie die Anfrage für jede weitere Region ein.

Wenn Sie AWS CLI zum Senden der Anfrage verwenden, führen Sie den update-organization-configurationBefehl aus und geben Sie den auto-enable Parameter an, um neue Konten automatisch zu aktivieren und hinzuzufügen. Beispielsweise:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

Wo us-east-1 ist die Region, in der automatisch neue Konten aktiviert und hinzugefügt werden, die Region USA Ost (Nord-Virginia).

Um diese Einstellung später zu ändern und das automatische Aktivieren und Hinzufügen neuer Konten zu beenden, führen Sie denselben Befehl erneut aus und verwenden Sie den no-auto-enable Parameter anstelle des auto-enable Parameters in jeder zutreffenden Region.

Sie können die automatische Erkennung sensibler Daten auch für neue Mitgliedskonten aktivieren. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter Durchführung einer automatisierten Erkennung sensibler Daten. Um diese Funktion automatisch für Mitgliedskonten zu aktivieren, verwenden Sie den UpdateAutomatedDiscoveryConfigurationVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den Befehl aus. update-automated-discovery-configuration

Schritt 4: Aktivieren und fügen Sie vorhandene Organisationskonten als Macie-Mitgliedskonten hinzu

Wenn Sie Macie mit integrieren AWS Organizations, wird Macie nicht automatisch für alle vorhandenen Konten in Ihrer Organisation aktiviert. Darüber hinaus werden die Konten nicht automatisch als Macie-Mitgliedskonten mit dem delegierten Macie-Administratorkonto verknüpft. Daher besteht der letzte Schritt bei der Integration und Konfiguration Ihrer Organisation in Macie darin, bestehende Organisationskonten als Macie-Mitgliedskonten hinzuzufügen. Wenn Sie ein vorhandenes Konto als Macie-Mitgliedskonto hinzufügen, wird Macie automatisch für das Konto aktiviert und Sie (als delegierter Macie-Administrator) erhalten Zugriff auf bestimmte Macie-Einstellungen, Daten und Ressourcen für das Konto.

Beachten Sie, dass Sie kein Konto hinzufügen können, das derzeit mit einem anderen Macie-Administratorkonto verknüpft ist. Um das Konto hinzuzufügen, arbeiten Sie mit dem Kontoinhaber zusammen, um das Konto zunächst von seinem aktuellen Administratorkonto zu trennen. Außerdem können Sie kein vorhandenes Konto hinzufügen, wenn Macie derzeit für das Konto gesperrt ist. Der Kontoinhaber muss Macie zunächst für das Konto erneut aktivieren. Wenn Sie das AWS Organizations Verwaltungskonto als Mitgliedskonto hinzufügen möchten, muss ein Benutzer dieses Kontos schließlich zuerst Macie für das Konto aktivieren.

Um bestehende Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen

Um bestehende Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen, können Sie die Amazon Macie-Konsole oder Amazon Macie verwenden. API Nur der delegierte Macie-Administrator für die Organisation kann diese Aufgabe ausführen.

Console

Um diese Aufgabe mithilfe der Konsole ausführen zu können, müssen Sie berechtigt sein, die folgende AWS Organizations Aktion auszuführen:. organizations:ListAccounts Mit dieser Aktion können Sie Informationen zu den Konten in Ihrer Organisation abrufen und anzeigen. Wenn Sie über diese Berechtigungen verfügen, gehen Sie wie folgt vor, um bestehende Konten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen.

Um bestehende Organisationskonten zu aktivieren und hinzuzufügen

1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie bestehende Konten aktivieren und als Macie-Mitgliedskonten hinzufügen möchten.

3. Wählen Sie im Navigationsbereich Accounts (Konten) aus. Die Seite Konten wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Macie-Konto verknüpft sind.

   Wenn ein Konto Teil Ihrer Organisation in ist AWS Organizations, lautet sein Typ Via AWS Organizations. Wenn ein Konto bereits ein Macie-Mitgliedskonto ist, lautet sein Status Aktiviert oder Pausiert (gesperrt).

4. Aktivieren Sie in der Tabelle Bestehende Konten das Kontrollkästchen für jedes Konto, das Sie als Macie-Mitgliedskonto hinzufügen möchten.

5. Wählen Sie im Menü Aktionen die Option Mitglied hinzufügen aus.

6. Bestätigen Sie, dass Sie die ausgewählten Konten als Mitgliedskonten hinzufügen möchten.

Nachdem Sie das Hinzufügen der ausgewählten Konten bestätigt haben, ändert sich der Status der Konten in Aktiviert in Bearbeitung und dann in Aktiviert. Nachdem Sie ein Mitgliedskonto hinzugefügt haben, können Sie auch die automatische Erkennung vertraulicher Daten für das Konto aktivieren: Aktivieren Sie in der Tabelle Bestehende Konten das Kontrollkästchen für jedes Konto, für das es aktiviert werden soll, und wählen Sie dann im Menü Aktionen die Option Automatische Erkennung vertraulicher Daten aktivieren aus. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter Durchführung einer automatisierten Erkennung sensibler Daten.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie Ihre Organisation in Macie konfigurieren möchten.

API

Verwenden Sie den CreateMemberBetrieb von Amazon Macie, um ein oder mehrere bestehende Konten programmgesteuert als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen. API Wenn Sie Ihre Anfrage einreichen, verwenden Sie die unterstützten Parameter, um die 12-stellige Konto-ID und E-Mail-Adresse für jedes AWS-Konto zu aktivierende und hinzuzufügende Konto anzugeben. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um bestehende Konten in weiteren Regionen zu aktivieren und hinzuzufügen, reichen Sie die Anfrage für jede weitere Region ein.

Um die Konto-ID und E-Mail-Adresse eines AWS-Konto zu aktivieren und hinzuzufügen, können Sie optional den ListMembersBetrieb des Amazon Macie API verwenden. Dieser Vorgang liefert Details zu den Konten, die mit Ihrem Macie-Konto verknüpft sind, einschließlich Konten, die keine Macie-Mitgliedskonten sind. Wenn der Wert für die relationshipStatus Eigenschaft eines Kontos nicht Enabled oder istPaused, handelt es sich bei dem Konto nicht um ein Macie-Mitgliedskonto.

Um ein oder mehrere bestehende Konten mit dem zu aktivieren und hinzuzufügen AWS CLI, führen Sie den Befehl create-member aus. Verwenden Sie den region Parameter, um die Region anzugeben, in der die Konten aktiviert und hinzugefügt werden sollen. Verwenden Sie die account Parameter, um die Konto-ID und die E-Mail-Adresse für jedes AWS-Konto hinzuzufügende Konto anzugeben. Beispielsweise:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Wo us-east-1 ist die Region, in der das Konto aktiviert und als Macie-Mitgliedskonto hinzugefügt werden soll (Region USA Ost (Nord-Virginia)), und die account Parameter geben die Konto-ID an (123456789012) und E-Mail-Adresse (janedoe@example.com) für das Konto.

Wenn Ihre Anfrage erfolgreich ist, ändert sich der Status (relationshipStatus) des angegebenen Kontos Enabled in Ihrem Kontoinventar.

Um auch die automatische Erkennung sensibler Daten für eines oder mehrere der Konten zu aktivieren, verwenden Sie den BatchUpdateAutomatedDiscoveryAccountsVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den Befehl batch-update-automated-discovery-accounts aus. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter Durchführung einer automatisierten Erkennung sensibler Daten.