Gestione degli account dei membri Macie per un'organizzazione - Amazon Macie
Aggiungere account membriSospensione di Macie per gli account dei membriRimozione degli account dei membri

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli account dei membri Macie per un'organizzazione

Dopo l'integrazione e la configurazione di un' AWS Organizations organizzazione in Amazon Macie, l'amministratore Macie delegato dell'organizzazione può accedere a determinate impostazioni, dati e risorse di Macie per gli account dei membri. In qualità di amministratore Macie di un'organizzazione, puoi utilizzare Macie per eseguire centralmente determinate attività di gestione e amministrazione degli account. Ad esempio, puoi:

  • Aggiungi e rimuovi account come account dei membri di Macie.

  • Gestisci lo stato di Macie per i singoli account, ad esempio abilitando o sospendendo Macie per un account.

  • Monitora le quote di Macie e i costi di utilizzo stimati per i singoli account e per l'intera organizzazione.

Puoi anche consultare i dati di inventario di Amazon Simple Storage Service (Amazon S3) e i risultati delle policy per gli account dei membri Macie. Inoltre, puoi scoprire dati sensibili nei bucket S3 di proprietà degli account. Per un elenco dettagliato delle attività che puoi eseguire, consulta. Relazioni tra amministratore e account membro di Macie

Per impostazione predefinita, Macie ti offre la visibilità dei dati e delle risorse pertinenti per tutti gli account membri Macie della tua organizzazione. Puoi anche approfondire i dati e le risorse per i singoli account. Ad esempio, se utilizzi la dashboard Summary per valutare il livello di sicurezza di Amazon S3 della tua organizzazione, puoi filtrare i dati per account. Allo stesso modo, se monitorate i costi di utilizzo stimati, potete accedere alle suddivisioni dei costi stimati per i singoli account membri.

Oltre alle attività comuni agli account amministratore e membro, è possibile eseguire diverse attività amministrative per l'organizzazione.

In qualità di amministratore Macie di un'organizzazione, puoi eseguire queste attività utilizzando la console Amazon Macie o Amazon Macie. API Se preferisci utilizzare la console, devi avere il permesso di eseguire la seguente azione: AWS Organizations . organizations:ListAccounts Questa azione ti consente di recuperare e visualizzare informazioni sugli account che fanno parte della tua organizzazione. AWS Organizations

Aggiungere gli account dei membri di Macie a un'organizzazione

In alcuni casi, potrebbe essere necessario aggiungere manualmente un account come account membro di Amazon Macie. Questo è il caso degli account che in precedenza hai rimosso (dissociati) come account membri. Questo vale anche se non hai configurato Macie per abilitare e aggiungere automaticamente nuovi account membro quando gli account vengono aggiunti alla tua organizzazione in. AWS Organizations

Quando aggiungi un account come account membro Macie:

  • Macie è abilitato per l'account corrente Regione AWS, se non è già abilitato nella regione.

  • L'account è associato al tuo account amministratore Macie come account membro nella regione. L'account membro non riceve un invito o altra notifica che indica che hai stabilito questa relazione tra i tuoi account.

  • Il rilevamento automatico dei dati sensibili potrebbe essere abilitato per l'account nella regione. Ciò dipende dalle impostazioni di configurazione specificate per l'organizzazione. Per ulteriori informazioni, consulta Configurazione del rilevamento automatico dei dati sensibili.

Tieni presente che non puoi aggiungere un account già associato a un altro account amministratore di Macie. L'account deve prima dissociarsi dal suo account amministratore corrente. Inoltre, non puoi aggiungere l'account di AWS Organizations gestione come account membro a meno che Macie non sia già abilitato per l'account. Per ulteriori informazioni sui requisiti aggiuntivi, consultaConsiderazioni sull'utilizzo di Macie con AWS Organizations.

Per aggiungere un account membro Macie a un'organizzazione

Per aggiungere uno o più account membri Macie alla tua organizzazione, puoi utilizzare la console Amazon Macie o Amazon Macie. API

Console

Segui questi passaggi per aggiungere uno o più account membri Macie utilizzando la console Amazon Macie.

Per aggiungere un account membro Macie

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri aggiungere un account membro.

  3. Dal riquadro di navigazione, selezionare Accounts (Account). La pagina Account si apre e mostra una tabella degli account associati al tuo account.

  4. (Facoltativo) Per identificare più facilmente gli account che fanno parte della tua organizzazione AWS Organizations e non sono account membri di Macie, usa la casella di filtro sopra la tabella Account esistenti per aggiungere le seguenti condizioni di filtro:

    • Tipo = Organizzazione

    • Status = Non sei un membro

    Per visualizzare anche gli account che hai rimosso in precedenza e che potresti voler aggiungere come account membri, aggiungi anche la condizione di filtro Status = Removed.

  5. Nella tabella Account esistenti, seleziona la casella di controllo per ogni account che desideri aggiungere come account membro.

  6. Nel menu Azioni, scegli Aggiungi membro.

  7. Conferma di voler aggiungere gli account selezionati come account membro.

Dopo aver confermato le selezioni, lo stato degli account selezionati cambia in Attivazione in corso e quindi Attivato nell'inventario degli account.

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri aggiungere un account membro.

API

Per aggiungere uno o più account membri Macie a livello di codice, utilizza il CreateMemberfunzionamento di Amazon Macie. API

Quando invii la richiesta, utilizza i parametri supportati per specificare l'ID dell'account a 12 cifre e l'indirizzo e-mail per ciascuno Account AWS di essi che desideri aggiungere. Specificate anche la regione a cui si riferisce la richiesta. Per aggiungere un account in altre regioni, invia la richiesta in ciascuna regione aggiuntiva.

Per recuperare l'ID account e l'indirizzo e-mail di un account da aggiungere, puoi correlare l'output del ListAccountsfunzionamento di Amazon Macie AWS Organizations API e il ListMembersfunzionamento di Amazon API Macie. Per il ListMembers funzionamento di MacieAPI, includi il onlyAssociated parametro nella richiesta e imposta il valore del parametro su. false Se l'operazione ha esito positivo, Macie restituisce un members array che fornisce dettagli su tutti gli account associati all'account amministratore Macie nella regione specificata, inclusi gli account che attualmente non sono account membri. Notate quanto segue nell'array:

  • Se il valore della relationshipStatus proprietà di un account non è Enabled oPaused, l'account è associato al tuo account ma non è un account membro Macie.

  • Se un account non è incluso nell'array ma è incluso nell'output del ListAccounts funzionamento di AWS Organizations API, l'account fa parte dell'organizzazione AWS Organizations ma non è associato al tuo account e, pertanto, non è un account membro di Macie.

Per aggiungere un account membro utilizzando AWS CLI, esegui il comando create-member. Utilizzate il region parametro per specificare la regione in cui aggiungere l'account. Utilizzate i account parametri per specificare l'ID e l'indirizzo e-mail dell'account per ogni account da aggiungere. Per esempio:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Dove us-east-1 è la regione in cui aggiungere l'account come account membro (regione Stati Uniti orientali (Virginia settentrionale)) e account i parametri specificano l'ID dell'account (123456789012) e indirizzo e-mail (janedoe@example.com) per l'account.

Se la richiesta ha esito positivo, lo stato (relationshipStatus) dell'account specificato diventa Enabled Nell'inventario dell'account.

Sospensione di Macie per gli account dei membri di un'organizzazione

In qualità di amministratore di Amazon Macie per un'organizzazione in AWS Organizations, puoi sospendere Macie per un account membro della tua organizzazione. Se lo fai, puoi anche riattivare Macie per l'account in un secondo momento.

Quando sospendi Macie per un account utente:

  • Attualmente Macie perde l'accesso e smette di fornire i metadati relativi ai dati Amazon S3 dell'account. Regione AWS

  • Macie interrompe l'esecuzione di tutte le attività relative all'account nella regione. Ciò include il monitoraggio dei bucket S3 per la sicurezza e il controllo degli accessi, l'esecuzione del rilevamento automatico di dati sensibili e l'esecuzione di processi di rilevamento di dati sensibili attualmente in corso.

  • Macie annulla tutti i processi di rilevamento di dati sensibili creati dall'account nella regione. Un lavoro non può essere ripreso o riavviato dopo essere stato annullato. Se hai creato offerte di lavoro per analizzare i dati di proprietà dell'account utente, Macie non annulla le tue offerte di lavoro. Invece, le offerte di lavoro ignorano le risorse di proprietà dell'account.

Mentre un account è sospeso, Macie conserva l'identificatore di sessione Macie, le impostazioni e le risorse per l'account nella regione applicabile. Ad esempio, i risultati dell'account rimangono intatti e non vengono modificati per un massimo di 90 giorni. La tua organizzazione non addebita costi Macie per l'account nella regione applicabile, mentre Macie è sospeso per l'account in quella regione.

Per sospendere Macie per un account membro di un'organizzazione

Per sospendere Macie per un account membro di un'organizzazione, puoi utilizzare la console Amazon Macie o Amazon Macie. API

Console

Segui questi passaggi per sospendere Macie per un account membro utilizzando la console Amazon Macie.

Per sospendere Macie per un account utente

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri sospendere Macie per un account membro.

  3. Dal riquadro di navigazione, selezionare Accounts (Account). La pagina Account si apre e mostra una tabella degli account associati al tuo account.

  4. Nella tabella Account esistenti, seleziona la casella di controllo relativa all'account per cui sospendere Macie.

  5. Nel menu Azioni, scegli Sospendi Macie.

  6. Conferma di voler sospendere Macie per l'account.

Dopo aver confermato la sospensione, lo stato dell'account cambia in Sospeso (sospeso) nell'inventario dell'account.

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri sospendere Macie per l'account.

API

Per sospendere Macie for a member account a livello di codice, usa il UpdateMemberSessionfunzionamento di Amazon Macie. API

Quando invii la richiesta, utilizza il id parametro per specificare l'ID dell'account a 12 cifre per Account AWS cui desideri sospendere Macie. Per il status parametro, specifica PAUSED come nuovo stato per l'account Macie. Specificate anche la regione a cui si riferisce la richiesta. Per sospendere l'account in altre regioni, invia la richiesta in ciascuna regione aggiuntiva.

Per recuperare l'ID dell'account da sospendere, puoi utilizzare il ListMembersfunzionamento di Amazon Macie. API In tal caso, valuta la possibilità di filtrare i risultati includendo il onlyAssociated parametro nella richiesta. Se imposti il valore di questo parametro sutrue, Macie restituisce un members array che fornisce dettagli solo sugli account che sono attualmente account membri.

Per sospendere Macie per un account membro utilizzando il AWS CLI, esegui il comando. update-member-session Utilizzate il region parametro per specificare la regione in cui sospendere Macie e utilizzate il id parametro per specificare l'ID dell'account per cui Account AWS sospendere Macie. Per il parametro status, specifica PAUSED. Per esempio:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

Dove us-east-1 è la regione in cui sospendere Macie (regione Stati Uniti orientali (Virginia settentrionale)), 123456789012 è l'ID dell'account per cui sospendere Macie ed PAUSED è il nuovo stato di Macie per l'account.

Se la richiesta ha esito positivo, Macie restituisce una risposta vuota e lo stato dell'account specificato diventa nell'inventario dell'account. Paused

Rimuovere gli account dei membri di Macie da un'organizzazione

Se desideri interrompere l'accesso alle impostazioni, ai dati e alle risorse di Amazon Macie per un account membro, puoi rimuovere l'account come account membro Macie. Puoi farlo dissociando l'account dal tuo account amministratore di Macie. Tieni presente che solo tu puoi farlo per un account membro. Un account AWS Organizations membro non può dissociarsi dal suo account amministratore Macie.

Quando rimuovi un account membro Macie, Macie rimane abilitato per l'account corrente. Regione AWS Tuttavia, l'account viene dissociato dall'account amministratore Macie e diventa un account Macie autonomo. Ciò significa che perderai l'accesso a tutte le impostazioni, i dati e le risorse di Macie per l'account, inclusi i metadati e i risultati delle policy per i dati Amazon S3 dell'account. Ciò significa anche che non puoi più usare Macie per scoprire dati sensibili nei bucket S3 di proprietà dell'account. Se hai già creato processi di rilevamento sensibili a tale scopo, i lavori saltano i bucket di proprietà dell'account. Se hai abilitato il rilevamento automatico dei dati sensibili per l'account, sia tu che l'account membro perderete l'accesso ai dati statistici, ai dati di inventario e ad altre informazioni che Macie ha prodotto e fornito direttamente durante l'individuazione automatica dell'account.

Dopo aver rimosso un account membro Macie, l'account continua a comparire nell'inventario del tuo account. Macie non notifica al proprietario dell'account che hai rimosso l'account. Puoi aggiungere nuovamente l'account alla tua organizzazione in un secondo momento. Se aggiungi l'account e abiliti l'individuazione automatica dei dati sensibili entro 30 giorni, potrai inoltre riaccedere ai dati e alle informazioni che Macie aveva precedentemente prodotto e fornito direttamente durante l'individuazione automatica dell'account.

Per rimuovere un account membro Macie da un'organizzazione

Per rimuovere un account membro Macie dalla tua organizzazione, puoi utilizzare la console Amazon Macie o Amazon Macie. API

Console

Segui questi passaggi per rimuovere un account membro Macie utilizzando la console Amazon Macie.

Per rimuovere un account membro Macie

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri rimuovere un account membro.

  3. Dal riquadro di navigazione, selezionare Accounts (Account). La pagina Account si apre e mostra una tabella degli account associati al tuo account.

  4. Nella tabella Account esistenti, seleziona la casella di controllo relativa all'account che desideri rimuovere come account membro.

  5. Nel menu Azioni, scegli Dissocia account.

  6. Conferma di voler rimuovere l'account selezionato come account membro.

Dopo aver confermato la selezione, lo stato dell'account cambia in Rimosso (dissociato) nell'inventario dell'account.

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri rimuovere l'account membro.

API

Per rimuovere un account membro Macie a livello di codice, utilizza il DisassociateMemberfunzionamento di Amazon Macie. API

Quando invii la richiesta, utilizza il id parametro per specificare l' Account AWS ID a 12 cifre dell'account membro da rimuovere. Specificate anche la regione a cui si riferisce la richiesta. Per rimuovere l'account in altre regioni, invia la richiesta in ciascuna regione aggiuntiva.

Per recuperare l'ID dell'account membro da rimuovere, puoi utilizzare il ListMembersfunzionamento di Amazon API Macie. In tal caso, valuta la possibilità di filtrare i risultati includendo il onlyAssociated parametro nella richiesta. Se imposti il valore di questo parametro sutrue, Macie restituisce un members array che fornisce dettagli solo sugli account che attualmente sono account membri di Macie.

Per rimuovere un account membro Macie utilizzando il AWS CLI, esegui il comando disassociate-member. Utilizzate il region parametro per specificare la regione in cui rimuovere l'account. Utilizza il id parametro per specificare l'ID dell'account membro da rimuovere. Per esempio:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

Dove us-east-1 è la regione in cui rimuovere l'account (la regione Stati Uniti orientali (Virginia settentrionale)) e 123456789012 è l'ID dell'account da rimuovere.

Se la richiesta ha esito positivo, Macie restituisce una risposta vuota e lo stato dell'account specificato viene modificato Removed nell'inventario dell'account.