Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración y configuración de una organización en Macie

Para empezar a usar Amazon Macie con AWS Organizations, la cuenta de AWS Organizations administración de la organización designa una cuenta como la cuenta de administrador delegado de Macie para la organización. Esto hace que Macie sea un servicio de confianza en. AWS Organizations También habilita a Macie en la cuenta Región de AWS de administrador actual designada y permite que la cuenta de administrador designada habilite y administre Macie para otras cuentas de la organización en esa región. Para obtener información sobre cómo se conceden estos permisos, consulte Utilización AWS Organizations con otros Servicios de AWS en la Guía del AWS Organizations usuario.

A continuación, el administrador delegado de Macie configura la organización en Macie, principalmente añadiendo las cuentas de la organización como cuentas de miembros de Macie en la región. A continuación, el administrador puede acceder a determinados ajustes, datos y recursos de Macie para esas cuentas de esa región. También pueden realizar descubrimientos automatizados de datos confidenciales y ejecutar tareas de descubrimiento de datos confidenciales para detectar datos confidenciales en los buckets de Amazon Simple Storage Service (Amazon S3) que son propiedad de las cuentas.

En este tema se explica cómo designar a un administrador delegado de Macie para una organización y cómo añadir las cuentas de la organización como cuentas de miembros de Macie. Antes de realizar estas tareas, asegúrese de entender la relación entre las cuentas de administrador y miembro de Macie. También es una buena idea revisar las consideraciones y recomendaciones para usar Macie con. AWS Organizations

Para integrar y configurar la organización en varias regiones, la cuenta de AWS Organizations administración y el administrador delegado de Macie repiten estos pasos en cada región adicional.

Paso 1: Verificar sus permisos

Antes de designar la cuenta de administrador delegado de Macie para su organización, compruebe que usted (como usuario de la cuenta de AWS Organizations administración) tiene permiso para realizar la siguiente acción de Macie:. macie2:EnableOrganizationAdminAccount Esta acción le permite designar la cuenta de administrador de Macie delegada para su organización mediante Macie.

Compruebe también que está autorizado a realizar las siguientes acciones: AWS Organizations

Estas acciones le permiten: recuperar información sobre su organización; integrar Macie con ella AWS Organizations; recuperar la información con la Servicios de AWS que se ha integrado AWS Organizations; y designar una cuenta de administrador de Macie delegada para su organización.

Para conceder estos permisos, incluye la siguiente declaración en la política AWS Identity and Access Management (IAM) de tu cuenta:

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

Si desea designar su cuenta de AWS Organizations administración como la cuenta de administrador delegado de Macie para la organización, su cuenta también necesita permiso para realizar la siguiente IAM acción:. CreateServiceLinkedRole Esta acción le permite habilitar Macie para la cuenta de administración. Sin embargo, basándonos en las mejores prácticas de AWS seguridad y en el principio del privilegio mínimo, no le recomendamos que lo haga.

Si decide conceder este permiso, añada la siguiente declaración a la IAM política de su cuenta AWS Organizations de administración:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

En la declaración, sustituya 111122223333 con el identificador de cuenta de la cuenta de administración.

Si quiere administrar Macie de forma opcional Región de AWS (la región está deshabilitada de forma predeterminada), actualice también el valor de la entidad principal de servicio de Macie en el Resource elemento y la condición. iam:AWSServiceName El valor debe especificar el código de región de la región. Por ejemplo, para administrar Macie en la región de Medio Oriente (Baréin), que tiene el código de región me-south-1, haga lo siguiente:

Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie cuotas en la Referencia general de AWS. Para determinar si una región es una región opcional, consulta la sección Habilitar o deshabilitar Regiones de AWS tu cuenta en la Guía del AWS Account Management usuario.

Paso 2: designar la cuenta de administrador delegada de Macie para la organización

Tras verificar sus permisos, usted (como usuario de la cuenta de AWS Organizations administración) puede designar la cuenta de administrador delegada de Macie para su organización.

Designar la cuenta de administrador delegada de Macie para una organización

Para designar la cuenta de administrador delegado de Macie para su organización, puede utilizar la consola Amazon Macie o Amazon Macie. API Solo un usuario de la cuenta de AWS Organizations administración puede realizar esta tarea.

Console

Siga estos pasos para designar la cuenta de administrador delegada de Macie mediante la consola de Amazon Macie.

Designar la cuenta de administrador delegada de Macie

1. Inicie sesión AWS Management Console con su cuenta AWS Organizations de administración.

2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee designar la cuenta de administrador delegado de Macie para su organización.

3. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

4. Lleve a cabo una de las siguientes acciones, en función de si Macie está habilitada para su cuenta de administración en la región actual:

   • Si Macie no está activado, seleccione Comenzar en la página de bienvenida.

   • Si Macie está activado, seleccione Configuración en el panel de navegación.

5. En Administrador delegado, introduzca el identificador de cuenta de 12 dígitos de la cuenta Cuenta de AWS que desee designar como cuenta de administrador de Macie.

6. Seleccione Delegar.

Repita los pasos anteriores en cada región adicional en la que desee integrar la organización con Macie. Debe designar la misma cuenta de administrador de Macie en cada una de esas regiones.

API

Para designar la cuenta de administrador delegado de Macie mediante programación, utilice la EnableOrganizationAdminAccountoperación de Amazon Macie. API Para designar la cuenta en varias regiones, envíe la designación para cada región en la que desee integrar la organización con Macie. Debe designar la misma cuenta de administrador de Macie en cada una de esas regiones.

Cuando envíe la designación, utilice el adminAccountId parámetro necesario para especificar el identificador de cuenta de 12 dígitos que desee designar como cuenta de administrador de Macie Cuenta de AWS para la organización. Asegúrese también de especificar la región a la que se aplica la designación.

Para designar la cuenta de administrador de Macie mediante AWS Command Line Interface (AWS CLI), ejecute el comando. enable-organization-admin-account Para el admin-account-id parámetro, especifique el identificador de cuenta de 12 dígitos Cuenta de AWS que desee designar. Utilice el parámetro de region para especificar la región a la que se aplica la designación. Por ejemplo:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

Donde us-east-1 es la región a la que se aplica la designación (la región EE.UU. Este (Virginia del Norte)) y 111122223333 es el identificador de la cuenta que se va a designar.

Tras designar la cuenta de administrador de Macie para su organización, el administrador de Macie puede empezar a configurar la organización en Macie.

Paso 3: habilitar automáticamente nuevas cuentas de miembro de la organización como cuentas miembro de Macie

De forma predeterminada, Macie no se habilita automáticamente para las cuentas nuevas cuando las añade a su organización en AWS Organizations. Además, las cuentas no se añaden automáticamente como cuentas de miembro de Macie. Las cuentas aparecen en el inventario de cuentas del administrador de Macie. Sin embargo, Macie no está necesariamente habilitado para las cuentas y el administrador de Macie no necesariamente puede acceder a la configuración, los datos y los recursos de Macie relacionados con las cuentas.

Si es el administrador delegado de Macie para la organización, puede cambiar este ajuste de configuración. Puede activar la activación automática en su organización. Si lo hace, Macie se habilitará automáticamente para nuevas cuentas cuando las añada a su organización. AWS Organizations Además, las cuentas se asocian automáticamente a su cuenta de administrador de Macie como cuentas de miembro. La habilitación de esta configuración no afecta a las cuentas existentes en la organización. Para habilitar y administrar Macie para las cuentas existentes, debe añadir manualmente las cuentas como cuentas de miembro de Macie. El siguiente paso explica cómo se realiza.

Para habilitar y añadir automáticamente nuevas cuentas de la organización como cuentas de miembros de Macie

Para activar y añadir nuevas cuentas automáticamente como cuentas de miembro de Macie, puede utilizar la consola Amazon Macie o Amazon Macie. API Sólo el administrador de Macie delegado de la organización puede realizar esta tarea.

Console

Para realizar esta tarea mediante la consola, debe poder realizar la siguiente AWS Organizations acción:. organizations:ListAccounts Esta acción permite recuperar y mostrar información sobre las cuentas de la organización. Si dispone de estos permisos, siga estos pasos para activar y añadir automáticamente nuevas cuentas de la organización como cuentas de miembros de Macie.

Activar y añadir nuevas cuentas de organización automáticamente

1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar y añadir nuevas cuentas automáticamente como cuentas de miembro de Macie.

3. En el panel de navegación, elija Accounts (Cuentas).

4. En la página Cuentas, en la sección Cuentas nuevas, selecciona Editar.

5. En el cuadro de diálogo Editar la configuración de las cuentas nuevas, selecciona Activar Macie.

   Para activar también la detección automática de datos confidenciales en las cuentas de los nuevos miembros, selecciona Activar la detección automática de datos confidenciales. Si habilita esta función para una cuenta, Macie selecciona continuamente objetos de muestra de los depósitos S3 de la cuenta y los analiza para determinar si contienen datos confidenciales. Para obtener más información, consulte Realización de la detección automatizada de datos confidenciales.

6. Seleccione Guardar.

Repita los pasos anteriores en cada región adicional en la que desee configurar la organización de Macie.

Para cambiar esta configuración posteriormente, repita los pasos anteriores y desactive las casillas de verificación de cada configuración.

API

Para activar y añadir automáticamente nuevas cuentas de miembros de Macie mediante programación, utilice la UpdateOrganizationConfigurationoperación de Amazon Macie. API Cuando envíe su solicitud, defina el valor del parámetro autoEnable en true. (El valor predeterminado es false). Asegúrese también de especificar la región a la que se aplica la solicitud. Para habilitar y añadir nuevas cuentas automáticamente en otras regiones, envíe la solicitud para cada región adicional.

Si utiliza la AWS CLI para enviar la solicitud, ejecute el update-organization-configurationcomando y especifique el auto-enable parámetro para habilitar y añadir nuevas cuentas automáticamente. Por ejemplo:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

Donde us-east-1 es la región en la que se habilitan y añaden nuevas cuentas automáticamente, la región EE.UU. Este (Virginia del Norte).

Para cambiar posteriormente esta configuración y dejar de habilitar y añadir nuevas cuentas automáticamente, ejecute el mismo comando de nuevo y utilice el parámetro no-auto-enable, en lugar del parámetro auto-enable, en cada región aplicable.

También puede habilitar la detección automática de datos confidenciales en las cuentas de los nuevos miembros. Si habilitas esta función para una cuenta, Macie selecciona continuamente objetos de muestra de los depósitos S3 de la cuenta y los analiza para determinar si contienen datos confidenciales. Para obtener más información, consulte Realización de la detección automatizada de datos confidenciales. Para habilitar esta función automáticamente en las cuentas de los miembros, utilice la UpdateAutomatedDiscoveryConfigurationoperación o, si está utilizando el AWS CLI, ejecute el update-automated-discovery-configurationcomando.

Paso 4: habilitar y añadir cuentas de la organización existentes como cuentas de miembros de Macie

Cuando integras Macie con AWS Organizations, Macie no se habilita automáticamente para todas las cuentas existentes en tu organización. Además, las cuentas no se asocian automáticamente a la cuenta de administrador delegada de Macie como cuentas de miembros de Macie. Por lo tanto, el último paso para integrar y configurar su organización en Macie es añadir las cuentas de la organización existentes como cuentas de miembros de Macie. Al añadir una cuenta existente como cuenta de miembro de Macie, Macie se habilita automáticamente para la cuenta y usted (como administrador delegado de Macie) obtiene acceso a determinados ajustes, datos y recursos de Macie para la cuenta.

Tenga en cuenta que no puede añadir una cuenta que esté asociada actualmente a otra cuenta de administrador de Macie. Para añadir la cuenta, trabaje con el propietario de la cuenta para desasociarla primero de su cuenta de administrador actual. Además, no puedes añadir una cuenta existente si Macie está actualmente suspendida en la cuenta. El propietario de la cuenta primero debe volver a habilitar Macie para la cuenta. Por último, si desea añadir la cuenta de administración AWS Organizations como una cuenta de miembro, el usuario de esa cuenta primero debe habilitar Macie para la cuenta.

Habilitar y añadir cuentas de organización existentes como cuentas de miembros de Macie

Para activar y añadir cuentas de organización existentes como cuentas de miembros de Macie, puede utilizar la consola Amazon Macie o Amazon Macie. API Sólo el administrador de Macie delegado de la organización puede realizar esta tarea.

Console

Para realizar esta tarea mediante la consola, debe poder realizar la siguiente AWS Organizations acción:. organizations:ListAccounts Esta acción permite recuperar y mostrar información sobre las cuentas de la organización. Si dispone de estos permisos, siga estos pasos para activar y añadir las cuentas existentes como cuentas de miembro de Macie.

Para activar y añadir las cuentas de la organización existentes

1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar y añadir las cuentas existentes como cuentas de miembros de Macie.

3. En el panel de navegación, elija Accounts (Cuentas). Se abre la página de Cuentas y muestra una tabla con las cuentas asociadas a su cuenta de Macie.

   Si una cuenta forma parte de su organización AWS Organizations, su tipo es Vía. AWS Organizations Si una cuenta ya es miembro de Macie, su estado es Activada o En pausa (suspendida).

4. En la tabla Cuentas existentes, seleccione la casilla de verificación de cada cuenta que desee añadir como cuenta de miembro de Macie.

5. En el menú Acciones, elija Añadir miembro.

6. Confirme que desea añadir como miembros el número de cuentas seleccionadas.

Tras confirmar la adición de las cuentas seleccionadas, el estado de las cuentas cambia a Activado en proceso y, a continuación, Activado. Tras añadir una cuenta de miembro, también puede activar la detección automática de datos confidenciales para la cuenta: en la tabla Cuentas existentes, active la casilla de verificación de cada cuenta para la que desee activarla y, a continuación, seleccione Activar la detección automática de datos confidenciales en el menú Acciones. Si habilita esta función para una cuenta, Macie selecciona continuamente objetos de muestra de los depósitos S3 de la cuenta y los analiza para determinar si contienen datos confidenciales. Para obtener más información, consulte Realización de la detección automatizada de datos confidenciales.

Repita los pasos anteriores en cada región adicional en la que desee configurar la organización de Macie.

API

Para habilitar y añadir mediante programación una o más cuentas existentes como cuentas de miembro de Macie, utilice la CreateMemberoperación de Amazon Macie. API Cuando envíe su solicitud, utilice los parámetros admitidos para especificar el ID de cuenta de 12 dígitos y la dirección de correo electrónico de cada Cuenta de AWS una de ellas para activarlas y añadirlas. Especifica también la región a la que se aplica la solicitud. Para habilitar y añadir cuentas existentes en regiones adicionales, envíe la solicitud para cada región adicional.

Para recuperar el ID de cuenta y la dirección de correo electrónico de una opción Cuenta de AWS para habilitar y agregar, puede utilizar opcionalmente la ListMembersoperación de Amazon API Macie. Esta operación proporciona detalles sobre las cuentas asociadas a su cuenta de Macie, incluidas las cuentas que no son cuentas de miembros de Macie. Si el valor de la relationshipStatus propiedad de una cuenta no es Enabled oPaused, la cuenta no es una cuenta de miembro de Macie.

Para habilitar y añadir una o más cuentas existentes mediante el AWS CLI, ejecute el comando create-member. Utilice el parámetro region para especificar la región en la que desea habilitar y añadir las cuentas. Utilice los account parámetros para especificar el ID de cuenta y la dirección de correo electrónico de cada una de ellas Cuenta de AWS . Por ejemplo:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Donde us-east-1 es la región en la que se habilita y se añade la cuenta como cuenta de miembro de Macie (la región EE.UU. Este (Norte de Virginia)) y account los parámetros especifican el ID de la cuenta (123456789012) y dirección de correo electrónico (janedoe@example.com) para la cuenta.

Si la solicitud se aprueba, el estado (relationshipStatus) de la cuenta especificada cambia a Enabled en el inventario de su cuenta.

Para habilitar también la detección automática de datos confidenciales para una o más de las cuentas, utilice la BatchUpdateAutomatedDiscoveryAccountsoperación o, si está utilizando la AWS CLI, ejecute el comando batch-update-automated-discovery-accounts. Si habilitas esta función para una cuenta, Macie selecciona continuamente objetos de muestra de los depósitos S3 de la cuenta y los analiza para determinar si contienen datos confidenciales. Para obtener más información, consulte Realización de la detección automatizada de datos confidenciales.