Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les comptes des membres Macie pour une organisation

Une fois qu'une AWS Organizations organisation est intégrée et configurée dans Amazon Macie, l'administrateur Macie délégué de l'organisation peut accéder à certains paramètres, données et ressources Macie pour les comptes des membres. En tant qu'administrateur Macie d'une organisation, vous pouvez utiliser Macie pour effectuer de manière centralisée certaines tâches de gestion et d'administration des comptes. Par exemple, vous pouvez :

Vous pouvez également consulter les données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et les conclusions relatives aux politiques relatives aux comptes membres de Macie. Et vous pouvez découvrir des données sensibles dans les compartiments S3 détenus par les comptes. Pour une liste détaillée des tâches que vous pouvez effectuer, consultezRelations entre l'administrateur Macie et le compte membre.

Par défaut, Macie vous donne une visibilité sur les données et les ressources pertinentes pour tous les comptes membres Macie de votre organisation. Vous pouvez également effectuer une analyse descendante pour examiner les données et les ressources des comptes individuels. Par exemple, si vous utilisez le tableau de bord récapitulatif pour évaluer le niveau de sécurité de votre organisation sur Amazon S3, vous pouvez filtrer les données par compte. De même, si vous surveillez les coûts d'utilisation estimés, vous pouvez accéder à la ventilation des coûts estimés pour les comptes de membres individuels.

Outre les tâches communes aux comptes d'administrateur et de membre, vous pouvez effectuer diverses tâches administratives pour votre organisation.

En tant qu'administrateur Macie d'une organisation, vous pouvez effectuer ces tâches à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Si vous préférez utiliser la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante :organizations:ListAccounts. Cette action vous permet de récupérer et d'afficher des informations sur les comptes qui font partie de votre organisation dans AWS Organizations.

Ajouter des comptes de membres Macie à une organisation

Dans certains cas, vous devrez peut-être ajouter manuellement un compte en tant que compte de membre Amazon Macie. C'est le cas des comptes que vous avez précédemment supprimés (dissociés) en tant que comptes membres. C'est également le cas si vous n'avez pas configuré Macie pour activer et ajouter automatiquement de nouveaux comptes de membres lorsque des comptes sont ajoutés à votre organisation dans AWS Organizations.

Lorsque vous ajoutez un compte en tant que compte membre Macie :

Notez que vous ne pouvez pas ajouter un compte déjà associé à un autre compte administrateur Macie. Le compte doit d'abord se dissocier de son compte administrateur actuel. De plus, vous ne pouvez pas ajouter le compte AWS Organizations de gestion en tant que compte membre à moins que Macie ne soit déjà activé pour le compte. Pour en savoir plus sur les exigences supplémentaires, voirConsidérations relatives à l'utilisation de Macie avec AWS Organizations.

Pour ajouter un compte de membre Macie à une organisation

Pour ajouter un ou plusieurs comptes de membre Macie à votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

Console

Suivez ces étapes pour ajouter un ou plusieurs comptes de membre Macie à l'aide de la console Amazon Macie.

Pour ajouter un compte membre Macie

1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter un compte membre.

3. Dans le panneau de navigation, choisissez Accounts (Comptes). La page Comptes s'ouvre et affiche un tableau des comptes associés à votre compte.

4. (Facultatif) Pour identifier plus facilement les comptes qui font partie de votre organisation AWS Organizations et qui ne sont pas des comptes membres de Macie, utilisez le champ de filtre situé au-dessus du tableau des comptes existants pour ajouter les conditions de filtre suivantes :

   • Type = Organisation

   • Statut = Non membre

   Pour afficher également les comptes que vous avez précédemment supprimés et que vous souhaitez ajouter en tant que comptes membres, ajoutez également une condition de filtre Status = Removed.

5. Dans le tableau Comptes existants, cochez la case correspondant à chaque compte que vous souhaitez ajouter en tant que compte membre.

6. Dans le menu Actions, choisissez Ajouter un membre.

7. Confirmez que vous souhaitez ajouter les comptes sélectionnés en tant que comptes membres.

Une fois que vous avez confirmé vos sélections, le statut des comptes sélectionnés passe à Activation en cours, puis à Activé dans l'inventaire de votre compte.

Pour ajouter un compte membre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

API

Pour ajouter un ou plusieurs comptes de membre Macie par programmation, utilisez l'API CreateMemberAmazon Macie.

Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chaque compte Compte AWS que vous souhaitez ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour ajouter un compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'ID de compte et l'adresse e-mail d'un compte à ajouter, vous pouvez corréler le résultat du ListAccountsfonctionnement de l' AWS Organizations API et le ListMembersfonctionnement de l'API Amazon Macie. Pour le ListMembers fonctionnement de l'API Macie, incluez le onlyAssociated paramètre dans votre demande et définissez la valeur du paramètre surfalse. Si l'opération aboutit, Macie renvoie un members tableau qui fournit des détails sur tous les comptes associés à votre compte administrateur Macie dans la région spécifiée, y compris les comptes qui ne sont pas actuellement des comptes membres. Notez ce qui suit dans le tableau :

• Si la valeur de la relationshipStatus propriété d'un compte n'est pas Enabled ou Paused si le compte est associé à votre compte mais qu'il ne s'agit pas d'un compte de membre Macie.

• Si un compte n'est pas inclus dans le tableau mais est inclus dans le résultat du ListAccounts fonctionnement de l' AWS Organizations API, le compte fait partie de votre organisation AWS Organizations mais n'est pas associé à votre compte et n'est donc pas un compte membre de Macie.

Pour ajouter un compte membre à l'aide de AWS Command Line Interface (AWS CLI), exécutez la commande create-member. Utilisez le region paramètre pour spécifier la région dans laquelle ajouter le compte. Utilisez les account paramètres pour spécifier l'ID de compte et l'adresse e-mail de chaque compte à ajouter. Par exemple :

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Où se us-east-1 trouve la région dans laquelle ajouter le compte en tant que compte membre (la région USA Est (Virginie du Nord)), et les account paramètres spécifient l'ID du compte (123456789012) et l'adresse e-mail (janedoe@example.com) du compte.

Si votre demande aboutit, le statut (relationshipStatus) du compte spécifié est reporté Enabled à l'inventaire de votre compte.

Suspension de Macie pour les comptes des membres d'une organisation

En tant qu'administrateur Amazon Macie d'une organisation dans AWS Organizations, vous pouvez suspendre Macie pour un compte de membre de votre organisation. Dans ce cas, vous pouvez également réactiver Macie pour le compte ultérieurement.

Lorsque vous suspendez Macie pour un compte de membre :

Pendant sa suspension, Macie conserve l'identifiant de session, les paramètres et les ressources qu'il stocke ou gère pour le compte dans la région applicable. Macie conserve également certaines données relatives au compte dans la Région. Par exemple, les résultats du compte restent intacts et ne sont pas affectés pendant 90 jours au maximum. Si la découverte automatique des données sensibles a été activée pour le compte, les résultats existants restent également intacts et ne sont pas affectés pendant 30 jours au maximum. Votre organisation n'a pas à payer de frais Macie pour le compte dans cette région tant que Macie est suspendu pour le compte dans la région.

Pour suspendre Macie pour un compte de membre dans une organisation

Pour suspendre Macie pour un compte membre d'une organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

Console

Suivez ces étapes pour suspendre Macie pour un compte de membre à l'aide de la console Amazon Macie.

Pour suspendre Macie pour un compte de membre

1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez suspendre Macie pour un compte de membre.

3. Dans le panneau de navigation, choisissez Accounts (Comptes). La page Comptes s'ouvre et affiche un tableau des comptes associés à votre compte.

4. Dans le tableau des comptes existants, cochez la case correspondant au compte pour lequel Macie doit être suspendu.

5. Dans le menu Actions, choisissez Suspendre Macie.

6. Confirmez que vous souhaitez suspendre Macie pour le compte.

Une fois que vous avez confirmé la suspension, le statut du compte passe à Suspendu (suspendu) dans l'inventaire de votre compte. Pour suspendre Macie pour le compte dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

Pour réactiver Macie ultérieurement pour le compte, revenez à la page Comptes de la console. Cochez la case correspondant au compte, puis sélectionnez Activer Macie dans le menu Actions. Pour réactiver Macie pour le compte dans d'autres régions, répétez ces étapes dans chaque région supplémentaire.

API

Pour suspendre Macie pour un compte membre par programmation, utilisez l'API UpdateMemberSessionAmazon Macie. Vous pouvez également utiliser cette opération pour réactiver ultérieurement Macie pour le compte.

Lorsque vous soumettez votre demande, utilisez le id paramètre pour spécifier l'identifiant de compte à 12 chiffres pour Compte AWS lequel vous souhaitez suspendre Macie. Pour le paramètre status, spécifiez PAUSED. Spécifiez également la région à laquelle s'applique la demande. Pour suspendre Macie pour le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte, vous pouvez utiliser ListMembersl'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le onlyAssociated paramètre dans votre demande. Si vous définissez la valeur de ce paramètre surtrue, Macie renvoie un members tableau qui fournit des détails uniquement sur les comptes actuellement membres.

Pour suspendre Macie pour un compte de membre à l'aide de AWS CLI, exécutez la update-member-sessioncommande. Utilisez le region paramètre pour spécifier la région dans laquelle vous souhaitez suspendre Macie pour le compte. Utilisez le id paramètre pour spécifier l'ID du compte. Pour le paramètre status, spécifiez PAUSED. Par exemple :

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

Où se us-east-1 trouve la région dans laquelle Macie doit être suspendue (région des États-Unis de l'Est (Virginie du Nord)), quel 123456789012 est le numéro de compte pour lequel Macie doit être suspendu et quel PAUSED est le nouveau statut de Macie pour le compte ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté Paused dans l'inventaire de votre compte. Pour réactiver Macie ultérieurement pour le compte, réexécutez la update-member-session commande et spécifiez le ENABLED status paramètre.

Supprimer les comptes des membres Macie d'une organisation

Si vous ne souhaitez plus accéder aux paramètres, aux données et aux ressources d'Amazon Macie pour un compte de membre, vous pouvez supprimer le compte en tant que compte de membre Macie. Pour ce faire, dissociez le compte de votre compte administrateur Macie. Notez que vous êtes le seul à pouvoir le faire pour un compte membre. Un compte AWS Organizations membre ne peut pas être dissocié de son compte administrateur Macie.

Lorsque vous supprimez un compte de membre Macie, Macie reste activé pour le compte en cours. Région AWS Cependant, le compte est dissocié de votre compte administrateur Macie et devient un compte Macie autonome. Cela signifie que vous perdez l'accès à tous les paramètres, données et ressources Macie du compte, y compris les métadonnées et les conclusions des politiques relatives aux données Amazon S3 du compte. Cela signifie également que vous ne pouvez plus utiliser Macie pour découvrir des données sensibles dans les compartiments S3 détenus par le compte. Si vous avez déjà créé des tâches de découverte de données sensibles à cette fin, les tâches ignorent les compartiments détenus par le compte. Si vous avez activé la découverte automatique des données sensibles pour le compte, vous et le compte du membre perdez l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.

Une fois que vous avez supprimé un compte de membre Macie, celui-ci continue d'apparaître dans l'inventaire de votre compte. Macie n'informe pas le propriétaire du compte que vous avez supprimé le compte. Par conséquent, pensez à contacter le propriétaire du compte pour vous assurer qu'il commence à gérer les paramètres et les ressources de son compte.

Vous pourrez ajouter le compte à nouveau à votre organisation ultérieurement. Si vous le faites et que vous réactivez la découverte automatique des données sensibles pour le compte dans les 30 jours, vous retrouverez également l'accès aux données et informations que Macie avait précédemment produites et fournies directement lors de la découverte automatique du compte. En outre, les exécutions suivantes de vos tâches existantes recommencent à inclure les compartiments S3 du compte.

Pour supprimer un compte de membre Macie d'une organisation

Pour supprimer un compte de membre Macie de votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

Console

Suivez ces étapes pour supprimer un compte de membre Macie à l'aide de la console Amazon Macie.

Pour supprimer un compte de membre Macie

1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez supprimer un compte de membre.

3. Dans le panneau de navigation, choisissez Accounts (Comptes). La page Comptes s'ouvre et affiche un tableau des comptes associés à votre compte.

4. Dans le tableau Comptes existants, cochez la case correspondant au compte que vous souhaitez supprimer en tant que compte membre.

5. Dans le menu Actions, choisissez Dissocier le compte.

6. Confirmez que vous souhaitez supprimer le compte sélectionné en tant que compte membre.

Une fois que vous avez confirmé votre sélection, le statut du compte passe à Supprimé (dissocié) dans l'inventaire de votre compte.

Pour supprimer le compte de membre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

API

Pour supprimer un compte de membre Macie par programmation, utilisez l'API DisassociateMemberAmazon Macie.

Lorsque vous soumettez votre demande, utilisez le id paramètre pour spécifier l' Compte AWS identifiant à 12 chiffres du compte membre à supprimer. Spécifiez également la région à laquelle s'applique la demande. Pour supprimer le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte membre à supprimer, vous pouvez utiliser ListMembersl'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le onlyAssociated paramètre dans votre demande. Si vous définissez la valeur de ce paramètre surtrue, Macie renvoie un members tableau qui fournit des détails uniquement sur les comptes actuellement membres de Macie.

Pour supprimer un compte membre Macie à l'aide de AWS CLI, exécutez la commande disassociate-member. Utilisez le region paramètre pour spécifier la région dans laquelle vous souhaitez supprimer le compte. Utilisez le id paramètre pour spécifier l'ID de compte du membre à supprimer. Par exemple :

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

Où se us-east-1 trouve la région dans laquelle le compte doit être supprimé (région USA Est (Virginie du Nord)) et quel 123456789012 est l'identifiant du compte à supprimer ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté Removed dans l'inventaire de votre compte.