Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengintegrasikan dan mengonfigurasi organisasi di Macie
Untuk mulai menggunakan Amazon Macie dengan AWS Organizations, akun AWS Organizations manajemen untuk organisasi menetapkan akun sebagai akun administrator Macie yang didelegasikan untuk organisasi. Ini memungkinkan Macie sebagai layanan tepercaya di AWS Organizations. Ini juga memungkinkan Macie saat ini Wilayah AWS untuk akun administrator yang ditunjuk, dan memungkinkan akun administrator yang ditunjuk untuk mengaktifkan dan mengelola Macie untuk akun lain di organisasi di Wilayah itu. Untuk informasi tentang cara izin ini diberikan, lihat Menggunakan AWS Organizations dengan yang lain Layanan AWS di Panduan AWS Organizations Pengguna.
Administrator Macie yang didelegasikan kemudian mengonfigurasi organisasi di Macie, terutama dengan menambahkan akun organisasi sebagai akun anggota Macie di Wilayah. Administrator kemudian dapat mengakses pengaturan, data, dan sumber daya Macie tertentu untuk akun tersebut di Wilayah tersebut. Mereka juga dapat melakukan penemuan data sensitif otomatis dan menjalankan pekerjaan penemuan data sensitif untuk mendeteksi data sensitif di bucket Amazon Simple Storage Service (Amazon S3) yang dimiliki akun.
Topik ini menjelaskan cara menunjuk administrator Macie yang didelegasikan untuk organisasi dan cara menambahkan akun organisasi sebagai akun anggota Macie. Sebelum Anda melakukan tugas-tugas ini, pastikan bahwa Anda memahami hubungan antara administrator Macie dan akun anggota. Ini juga merupakan ide yang baik untuk meninjau pertimbangan dan rekomendasi untuk menggunakan Macie dengan. AWS Organizations
Tugas
Untuk mengintegrasikan dan mengonfigurasi organisasi di beberapa Wilayah, akun AWS Organizations manajemen dan administrator Macie yang didelegasikan mengulangi langkah-langkah ini di setiap Wilayah tambahan.
Langkah 1: Verifikasi izin Anda
Sebelum Anda menetapkan akun administrator Macie yang didelegasikan untuk organisasi Anda, verifikasi bahwa Anda (sebagai pengguna akun AWS Organizations manajemen) diizinkan untuk melakukan tindakan Macie berikut:. macie2:EnableOrganizationAdminAccount
Tindakan ini memungkinkan Anda untuk menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda dengan menggunakan Macie.
Juga verifikasi bahwa Anda diizinkan untuk melakukan AWS Organizations tindakan berikut:
-
organizations:DescribeOrganization
-
organizations:EnableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
-
organizations:RegisterDelegatedAdministrator
Tindakan ini memungkinkan Anda untuk: mengambil informasi tentang organisasi Anda; mengintegrasikan Macie dengan AWS Organizations; mengambil informasi tentang mana Layanan AWS Anda telah terintegrasi dengan AWS Organizations; dan, menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda.
Untuk memberikan izin ini, sertakan pernyataan berikut dalam kebijakan AWS Identity and Access Management (IAM) untuk akun Anda:
{ "Sid": "Grant permissions to designate a delegated Macie administrator", "Effect": "Allow", "Action": [ "macie2:EnableOrganizationAdminAccount", "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListAWSServiceAccessForOrganization", "organizations:RegisterDelegatedAdministrator" ], "Resource": "*" }
Jika Anda ingin menetapkan akun AWS Organizations manajemen Anda sebagai akun administrator Macie yang didelegasikan untuk organisasi, akun Anda juga memerlukan izin untuk melakukan tindakan berikut:IAM. CreateServiceLinkedRole
Tindakan ini memungkinkan Anda mengaktifkan Macie untuk akun manajemen. Namun, berdasarkan praktik terbaik AWS keamanan dan prinsip hak istimewa terkecil, kami tidak menyarankan Anda melakukan ini.
Jika Anda memutuskan untuk memberikan izin ini, tambahkan pernyataan berikut ke IAM kebijakan untuk akun AWS Organizations manajemen Anda:
{ "Sid": "Grant permissions to enable Macie", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::
111122223333
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie", "Condition": { "StringLike": { "iam:AWSServiceName": "macie.amazonaws.com" } } }
Dalam pernyataan tersebut, ganti 111122223333
dengan ID akun untuk akun manajemen.
Jika Anda ingin mengelola Macie dalam opt-in Wilayah AWS (Wilayah yang dinonaktifkan secara default), perbarui juga nilai untuk prinsipal layanan Macie di Resource
elemen dan kondisi. iam:AWSServiceName
Nilai harus menentukan kode Wilayah untuk Wilayah. Misalnya, untuk mengelola Macie di Wilayah Timur Tengah (Bahrain), yang memiliki kode Wilayah me-south-1, lakukan hal berikut:
-
Dalam
Resource
elemen, gantiarn:aws:iam::
111122223333
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMaciedengan
arn:aws:iam::
111122223333
:role/aws-service-role/macie.me-south-1
.amazonaws.com/AWSServiceRoleForAmazonMacieDi mana
111122223333
menentukan ID akun untuk akun manajemen danme-south-1
menentukan kode Wilayah untuk Wilayah. -
Dalam
iam:AWSServiceName
kondisi, gantimacie.amazonaws.com
denganmacie.
, di maname-south-1
.amazonaws.com.rproxy.goskope.comme-south-1
menentukan kode Wilayah untuk Wilayah.
Untuk daftar Wilayah di mana Macie saat ini tersedia dan kode Wilayah untuk masing-masing wilayah, lihat titik akhir dan kuota Amazon Macie di. Referensi Umum AWS Untuk menentukan apakah suatu Wilayah merupakan Region opt-in, lihat Mengaktifkan atau menonaktifkan Wilayah AWS di akun Anda di Panduan AWS Account Management Pengguna.
Langkah 2: Tentukan akun administrator Macie yang didelegasikan untuk organisasi
Setelah memverifikasi izin, Anda (sebagai pengguna akun AWS Organizations manajemen) dapat menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda.
Untuk menunjuk akun administrator Macie yang didelegasikan untuk sebuah organisasi
Untuk menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie. API Hanya pengguna akun AWS Organizations manajemen yang dapat melakukan tugas ini.
Setelah Anda menunjuk akun administrator Macie untuk organisasi Anda, administrator Macie dapat mulai mengonfigurasi organisasi di Macie.
Langkah 3: Secara otomatis mengaktifkan dan menambahkan akun organisasi baru sebagai akun anggota Macie
Secara default, Macie tidak diaktifkan secara otomatis untuk akun baru saat akun ditambahkan ke organisasi Anda. AWS Organizations Selain itu, akun tidak ditambahkan secara otomatis sebagai akun anggota Macie. Akun muncul di inventaris akun administrator Macie. Namun, Macie belum tentu diaktifkan untuk akun dan administrator Macie tidak dapat mengakses pengaturan, data, dan sumber daya Macie untuk akun tersebut.
Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi, Anda dapat mengubah pengaturan konfigurasi ini. Anda dapat mengaktifkan pengaktifan otomatis untuk organisasi Anda. Jika Anda melakukan ini, Macie secara otomatis diaktifkan untuk akun baru saat akun ditambahkan ke organisasi Anda. AWS Organizations Selain itu, akun secara otomatis dikaitkan dengan akun administrator Macie Anda sebagai akun anggota. Mengaktifkan setelan ini tidak memengaruhi akun yang ada di organisasi Anda. Untuk mengaktifkan dan mengelola Macie untuk akun yang ada, Anda harus menambahkan akun secara manual sebagai akun anggota Macie. Langkah selanjutnya menjelaskan bagaimana melakukan ini.
catatan
Jika Anda mengaktifkan pengaktifan otomatis, perhatikan pengecualian berikut. Jika akun baru sudah dikaitkan dengan akun administrator Macie yang berbeda, Macie tidak secara otomatis menambahkan akun sebagai akun anggota di organisasi Anda. Akun harus dipisahkan dari akun administrator Macie saat ini sebelum dapat menjadi bagian dari organisasi Anda di Macie. Anda kemudian dapat menambahkan akun secara manual. Untuk mengidentifikasi akun di mana hal ini terjadi, Anda dapat meninjau inventaris akun untuk organisasi Anda.
Untuk mengaktifkan dan menambahkan akun organisasi baru secara otomatis sebagai akun anggota Macie
Untuk mengaktifkan dan menambahkan akun baru secara otomatis sebagai akun anggota Macie, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie. API Hanya administrator Macie yang didelegasikan untuk organisasi yang dapat melakukan tugas ini.
Langkah 4: Aktifkan dan tambahkan akun organisasi yang ada sebagai akun anggota Macie
Saat Anda mengintegrasikan Macie AWS Organizations, Macie tidak diaktifkan secara otomatis untuk semua akun yang ada di organisasi Anda. Selain itu, akun tidak secara otomatis dikaitkan dengan akun administrator Macie yang didelegasikan sebagai akun anggota Macie. Oleh karena itu, langkah terakhir untuk mengintegrasikan dan mengonfigurasi organisasi Anda di Macie adalah menambahkan akun organisasi yang ada sebagai akun anggota Macie. Saat Anda menambahkan akun yang ada sebagai akun anggota Macie, Macie secara otomatis diaktifkan untuk akun tersebut dan Anda (sebagai administrator Macie yang didelegasikan) mendapatkan akses ke pengaturan, data, dan sumber daya Macie tertentu untuk akun tersebut.
Perhatikan bahwa Anda tidak dapat menambahkan akun yang saat ini dikaitkan dengan akun administrator Macie lainnya. Untuk menambahkan akun, bekerja dengan pemilik akun untuk terlebih dahulu memisahkan akun dari akun administrator saat ini. Selain itu, Anda tidak dapat menambahkan akun yang ada jika Macie saat ini ditangguhkan untuk akun tersebut. Pemilik akun harus mengaktifkan kembali Macie terlebih dahulu untuk akun tersebut. Terakhir, jika Anda ingin menambahkan akun AWS Organizations manajemen sebagai akun anggota, pengguna akun itu harus mengaktifkan Macie terlebih dahulu untuk akun tersebut.
Untuk mengaktifkan dan menambahkan akun organisasi yang ada sebagai akun anggota Macie
Untuk mengaktifkan dan menambahkan akun organisasi yang ada sebagai akun anggota Macie, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie. API Hanya administrator Macie yang didelegasikan untuk organisasi yang dapat melakukan tugas ini.