Gérer les comptes des membres Macie pour une organisation - Amazon Macie
Ajouter des comptes de membresSuspension de Macie pour les comptes des membresSupprimer des comptes de membres

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les comptes des membres Macie pour une organisation

Une fois qu'une AWS Organizations organisation est intégrée et configurée dans Amazon Macie, l'administrateur Macie délégué de l'organisation peut accéder à certains paramètres, données et ressources Macie pour les comptes des membres. En tant qu'administrateur Macie d'une organisation, vous pouvez utiliser Macie pour effectuer de manière centralisée certaines tâches de gestion et d'administration des comptes. Par exemple, vous pouvez :

  • Ajoutez et supprimez des comptes en tant que comptes membres de Macie.

  • Gérez le statut de Macie pour les comptes individuels, par exemple en activant ou en suspendant Macie pour un compte.

  • Surveillez les quotas Macie et les coûts d'utilisation estimés pour les comptes individuels et pour l'organisation dans son ensemble.

Vous pouvez également consulter les données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et les conclusions relatives aux politiques relatives aux comptes membres de Macie. Et vous pouvez découvrir des données sensibles dans les compartiments S3 détenus par les comptes. Pour une liste détaillée des tâches que vous pouvez effectuer, consultezRelations entre l'administrateur Macie et le compte membre.

Par défaut, Macie vous donne une visibilité sur les données et les ressources pertinentes pour tous les comptes membres Macie de votre organisation. Vous pouvez également effectuer une analyse descendante pour examiner les données et les ressources des comptes individuels. Par exemple, si vous utilisez le tableau de bord récapitulatif pour évaluer le niveau de sécurité de votre organisation sur Amazon S3, vous pouvez filtrer les données par compte. De même, si vous surveillez les coûts d'utilisation estimés, vous pouvez accéder à la ventilation des coûts estimés pour les comptes de membres individuels.

Outre les tâches communes aux comptes d'administrateur et de membre, vous pouvez effectuer diverses tâches administratives pour votre organisation.

En tant qu'administrateur Macie d'une organisation, vous pouvez effectuer ces tâches à l'aide de la console Amazon Macie ou d'Amazon Macie. API Si vous préférez utiliser la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante :organizations:ListAccounts. Cette action vous permet de récupérer et d'afficher des informations sur les comptes qui font partie de votre organisation dans AWS Organizations.

Ajouter des comptes de membres Macie à une organisation

Dans certains cas, vous devrez peut-être ajouter manuellement un compte en tant que compte de membre Amazon Macie. C'est le cas des comptes que vous avez précédemment supprimés (dissociés) en tant que comptes membres. C'est également le cas si vous n'avez pas configuré Macie pour activer et ajouter automatiquement de nouveaux comptes de membres lorsque des comptes sont ajoutés à votre organisation dans AWS Organizations.

Lorsque vous ajoutez un compte en tant que compte membre Macie :

  • Macie est actuellement activé pour le compte Région AWS, s'il n'est pas déjà activé dans la région.

  • Le compte est associé à votre compte administrateur Macie en tant que compte membre dans la région. Le compte membre ne reçoit aucune invitation ou autre notification indiquant que vous avez établi cette relation entre vos comptes.

  • La découverte automatique des données sensibles peut être activée pour le compte dans la région. Cela dépend des paramètres de configuration que vous avez spécifiés pour l'organisation. Pour de plus amples informations, veuillez consulter Configuration de la découverte automatique des données sensibles.

Notez que vous ne pouvez pas ajouter un compte déjà associé à un autre compte administrateur Macie. Le compte doit d'abord se dissocier de son compte administrateur actuel. De plus, vous ne pouvez pas ajouter le compte AWS Organizations de gestion en tant que compte membre à moins que Macie ne soit déjà activé pour le compte. Pour en savoir plus sur les exigences supplémentaires, voirConsidérations relatives à l'utilisation de Macie avec AWS Organizations.

Pour ajouter un compte de membre Macie à une organisation

Pour ajouter un ou plusieurs comptes de membre Macie à votre organisation, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API

Console

Suivez ces étapes pour ajouter un ou plusieurs comptes de membre Macie à l'aide de la console Amazon Macie.

Pour ajouter un compte membre Macie

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter un compte membre.

  3. Dans le panneau de navigation, choisissez Accounts (Comptes). La page Comptes s'ouvre et affiche un tableau des comptes associés à votre compte.

  4. (Facultatif) Pour identifier plus facilement les comptes qui font partie de votre organisation AWS Organizations et qui ne sont pas des comptes membres de Macie, utilisez le champ de filtre situé au-dessus du tableau des comptes existants pour ajouter les conditions de filtre suivantes :

    • Type = Organisation

    • Statut = Non membre

    Pour afficher également les comptes que vous avez précédemment supprimés et que vous souhaiteriez peut-être ajouter en tant que comptes membres, ajoutez également une condition de filtre Status = Removed.

  5. Dans le tableau Comptes existants, cochez la case correspondant à chaque compte que vous souhaitez ajouter en tant que compte membre.

  6. Dans le menu Actions, choisissez Ajouter un membre.

  7. Confirmez que vous souhaitez ajouter les comptes sélectionnés en tant que comptes membres.

Une fois que vous avez confirmé vos sélections, le statut des comptes sélectionnés passe à Activation en cours, puis à Activé dans l'inventaire de votre compte.

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez ajouter un compte membre.

API

Pour ajouter un ou plusieurs comptes de membre Macie par programmation, utilisez le CreateMemberfonctionnement d'Amazon Macie. API

Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chaque compte Compte AWS que vous souhaitez ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour ajouter un compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte et l'adresse e-mail d'un compte à ajouter, vous pouvez corréler le résultat du ListAccountsfonctionnement du AWS Organizations API et du ListMembersfonctionnement de l'Amazon API Macie. Pour le ListMembers fonctionnement du MacieAPI, incluez le onlyAssociated paramètre dans votre demande et définissez la valeur du paramètre surfalse. Si l'opération aboutit, Macie renvoie un members tableau qui fournit des détails sur tous les comptes associés à votre compte administrateur Macie dans la région spécifiée, y compris les comptes qui ne sont pas actuellement des comptes membres. Notez ce qui suit dans le tableau :

  • Si la valeur de la relationshipStatus propriété d'un compte n'est pas Enabled ou Paused si le compte est associé à votre compte mais qu'il ne s'agit pas d'un compte de membre Macie.

  • Si un compte n'est pas inclus dans le tableau mais est inclus dans le résultat du ListAccounts fonctionnement du AWS Organizations API, le compte fait partie de votre organisation AWS Organizations mais n'est pas associé à votre compte et, par conséquent, n'est pas un compte de membre Macie.

Pour ajouter un compte membre à l'aide de AWS CLI, exécutez la commande create-member. Utilisez le region paramètre pour spécifier la région dans laquelle vous souhaitez ajouter le compte. Utilisez les account paramètres pour spécifier l'ID de compte et l'adresse e-mail de chaque compte à ajouter. Par exemple :

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

us-east-1 est la région dans laquelle le compte doit être ajouté en tant que compte membre (région USA Est (Virginie du Nord)), et les account paramètres spécifient l'ID du compte (123456789012) et adresse e-mail (janedoe@example.com) pour le compte.

Si votre demande aboutit, le statut (relationshipStatus) du compte spécifié est reporté Enabled à l'inventaire de votre compte.

Suspension de Macie pour les comptes des membres d'une organisation

En tant qu'administrateur Amazon Macie d'une organisation dans AWS Organizations, vous pouvez suspendre Macie pour un compte de membre de votre organisation. Dans ce cas, vous pouvez également réactiver Macie pour le compte ultérieurement.

Lorsque vous suspendez Macie pour un compte de membre :

  • Macie perd actuellement Région AWS l'accès aux données Amazon S3 du compte et cesse de les fournir.

  • Macie cesse d'effectuer toutes les activités liées au compte dans la Région. Cela inclut la surveillance des compartiments S3 à des fins de sécurité et de contrôle d'accès, la découverte automatique des données sensibles et l'exécution des tâches de découverte de données sensibles en cours.

  • Macie annule toutes les tâches de découverte de données sensibles créées par le compte dans la région. Une tâche ne peut pas être reprise ou redémarrée après son annulation. Si vous avez créé des tâches pour analyser les données détenues par le compte du membre, Macie n'annule pas vos tâches. Au lieu de cela, les tâches ignorent les ressources détenues par le compte.

Lorsqu'un compte est suspendu, Macie conserve l'identifiant de session Macie, les paramètres et les ressources du compte dans la région applicable. Par exemple, les résultats du compte restent intacts et ne sont pas affectés pendant 90 jours au maximum. Votre organisation ne facture aucun frais Macie pour le compte dans la région applicable tant que Macie est suspendu pour le compte dans cette région.

Pour suspendre Macie pour un compte de membre dans une organisation

Pour suspendre Macie pour un compte de membre dans une organisation, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API

Console

Suivez ces étapes pour suspendre Macie pour un compte de membre à l'aide de la console Amazon Macie.

Pour suspendre Macie pour un compte de membre

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez suspendre Macie pour un compte de membre.

  3. Dans le panneau de navigation, choisissez Accounts (Comptes). La page Comptes s'ouvre et affiche un tableau des comptes associés à votre compte.

  4. Dans le tableau des comptes existants, cochez la case correspondant au compte pour lequel Macie doit être suspendu.

  5. Dans le menu Actions, choisissez Suspendre Macie.

  6. Confirmez que vous souhaitez suspendre Macie pour le compte.

Une fois que vous avez confirmé la suspension, le statut du compte passe à Suspendu (suspendu) dans l'inventaire de votre compte.

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez suspendre Macie pour le compte.

API

Pour suspendre Macie pour un compte de membre par programmation, utilisez le UpdateMemberSessionfonctionnement d'Amazon Macie. API

Lorsque vous soumettez votre demande, utilisez le id paramètre pour spécifier l'identifiant de compte à 12 chiffres pour Compte AWS lequel vous souhaitez suspendre Macie. Pour le status paramètre, spécifiez PAUSED le nouveau statut du compte Macie. Spécifiez également la région à laquelle s'applique la demande. Pour suspendre le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte à suspendre, vous pouvez utiliser le ListMembersfonctionnement d'Amazon MacieAPI. Dans ce cas, pensez à filtrer les résultats en incluant le onlyAssociated paramètre dans votre demande. Si vous définissez la valeur de ce paramètre surtrue, Macie renvoie un members tableau qui fournit des détails uniquement sur les comptes actuellement membres.

Pour suspendre Macie pour un compte de membre à l'aide de AWS CLI, exécutez la update-member-sessioncommande. Utilisez le region paramètre pour spécifier la région dans laquelle vous souhaitez suspendre Macie et utilisez le id paramètre pour spécifier l'ID de compte pour lequel Compte AWS vous souhaitez suspendre Macie. Pour le paramètre status, spécifiez PAUSED. Par exemple :

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

us-east-1 est la région dans laquelle Macie doit être suspendue (région de l'est des États-Unis (Virginie du Nord)), 123456789012 est l'identifiant du compte pour lequel Macie doit être suspendu, et PAUSED le nouveau statut de Macie pour le compte.

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté Paused dans l'inventaire de votre compte.

Supprimer les comptes des membres Macie d'une organisation

Si vous ne souhaitez plus accéder aux paramètres, aux données et aux ressources d'Amazon Macie pour un compte de membre, vous pouvez supprimer le compte en tant que compte de membre Macie. Pour ce faire, dissociez le compte de votre compte administrateur Macie. Notez que vous êtes le seul à pouvoir le faire pour un compte membre. Un compte AWS Organizations membre ne peut pas être dissocié de son compte administrateur Macie.

Lorsque vous supprimez un compte de membre Macie, Macie reste activé pour le compte en cours. Région AWS Cependant, le compte est dissocié de votre compte administrateur Macie et devient un compte Macie autonome. Cela signifie que vous perdez l'accès à tous les paramètres, données et ressources Macie du compte, y compris les métadonnées et les conclusions des politiques relatives aux données Amazon S3 du compte. Cela signifie également que vous ne pouvez plus utiliser Macie pour découvrir des données sensibles dans les compartiments S3 détenus par le compte. Si vous avez déjà créé des tâches de découverte sensibles à cette fin, les tâches ignorent les compartiments détenus par le compte. Si vous avez activé la découverte automatique des données sensibles pour le compte, vous et le compte du membre perdez l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.

Une fois que vous avez supprimé un compte de membre Macie, celui-ci continue d'apparaître dans l'inventaire de votre compte. Macie n'informe pas le propriétaire du compte que vous avez supprimé le compte. Vous pourrez ajouter le compte à nouveau à votre organisation ultérieurement. Si vous ajoutez le compte et activez la découverte automatique des données sensibles dans un délai de 30 jours, vous retrouvez également l'accès aux données et informations que Macie avait précédemment produites et fournies directement lors de la découverte automatique du compte.

Pour supprimer un compte de membre Macie d'une organisation

Pour supprimer un compte de membre Macie de votre organisation, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API

Console

Suivez ces étapes pour supprimer un compte de membre Macie à l'aide de la console Amazon Macie.

Pour supprimer un compte de membre Macie

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez supprimer un compte de membre.

  3. Dans le panneau de navigation, choisissez Accounts (Comptes). La page Comptes s'ouvre et affiche un tableau des comptes associés à votre compte.

  4. Dans le tableau Comptes existants, cochez la case correspondant au compte que vous souhaitez supprimer en tant que compte membre.

  5. Dans le menu Actions, choisissez Dissocier le compte.

  6. Confirmez que vous souhaitez supprimer le compte sélectionné en tant que compte membre.

Une fois que vous avez confirmé votre sélection, le statut du compte passe à Supprimé (dissocié) dans l'inventaire de votre compte.

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez supprimer le compte de membre.

API

Pour supprimer un compte de membre Macie par programmation, utilisez le DisassociateMemberfonctionnement d'Amazon Macie. API

Lorsque vous soumettez votre demande, utilisez le id paramètre pour spécifier l' Compte AWS identifiant à 12 chiffres du compte membre à supprimer. Spécifiez également la région à laquelle s'applique la demande. Pour supprimer le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte membre à supprimer, vous pouvez utiliser le ListMembersfonctionnement d'Amazon MacieAPI. Dans ce cas, pensez à filtrer les résultats en incluant le onlyAssociated paramètre dans votre demande. Si vous définissez la valeur de ce paramètre surtrue, Macie renvoie un members tableau qui fournit des détails uniquement sur les comptes actuellement membres de Macie.

Pour supprimer un compte membre Macie à l'aide de AWS CLI, exécutez la commande disassociate-member. Utilisez le region paramètre pour spécifier la région dans laquelle vous souhaitez supprimer le compte. Utilisez le id paramètre pour spécifier l'ID de compte du membre à supprimer. Par exemple :

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

us-east-1 est la région dans laquelle le compte doit être supprimé (région USA Est (Virginie du Nord)) et 123456789012 est l'identifiant du compte à supprimer.

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté Removed dans l'inventaire de votre compte.