Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Integrazione e configurazione di un'organizzazione in Macie
Per iniziare a utilizzare Amazon Macie con AWS Organizations, l'account di AWS Organizations gestione dell'organizzazione designa un account come account amministratore Macie delegato per l'organizzazione. Ciò abilita Macie come servizio affidabile in. AWS Organizations Inoltre, abilita Macie nell'account Regione AWS amministratore designato e consente all'account amministratore designato di abilitare e gestire Macie per altri account dell'organizzazione in quella regione. Per informazioni su come vengono concesse queste autorizzazioni, consulta Using AWS Organizations with other Servizi AWS nella Guida per l'AWS Organizations utente.
L'amministratore delegato di Macie configura quindi l'organizzazione in Macie, principalmente aggiungendo gli account dell'organizzazione come account membri Macie nella regione. L'amministratore può quindi accedere a determinate impostazioni, dati e risorse di Macie per quegli account in quella regione. Possono anche eseguire il rilevamento automatico di dati sensibili ed eseguire processi di rilevamento di dati sensibili per rilevare dati sensibili nei bucket Amazon Simple Storage Service (Amazon S3) di proprietà degli account.
Questo argomento spiega come designare un amministratore Macie delegato per un'organizzazione e come aggiungere gli account dell'organizzazione come account membri di Macie. Prima di eseguire queste attività, assicurati di comprendere la relazione tra l'amministratore di Macie e gli account dei membri. È anche una buona idea rivedere le considerazioni e i consigli sull'utilizzo di Macie con. AWS Organizations
Attività
Per integrare e configurare l'organizzazione in più regioni, l'account di AWS Organizations gestione e l'amministratore Macie delegato ripetono questi passaggi in ogni regione aggiuntiva.
Passaggio 1: verifica le tue autorizzazioni
Prima di designare l'account amministratore delegato Macie per la tua organizzazione, verifica che tu (come utente dell'account di AWS Organizations gestione) sia autorizzato a eseguire la seguente azione Macie:. macie2:EnableOrganizationAdminAccount
Questa azione consente di designare l'account amministratore Macie delegato per l'organizzazione utilizzando Macie.
Verifica inoltre di avere il permesso di eseguire le seguenti azioni: AWS Organizations
-
organizations:DescribeOrganization
-
organizations:EnableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
-
organizations:RegisterDelegatedAdministrator
Queste azioni ti consentono di: recuperare informazioni sulla tua organizzazione, integrare Macie con AWS Organizations, recuperare le informazioni con AWS Organizations cui Servizi AWS hai effettuato l'integrazione e designare un account amministratore Macie delegato per la tua organizzazione.
Per concedere queste autorizzazioni, includi la seguente dichiarazione in una AWS Identity and Access Management politica () per il tuo account: IAM
{ "Sid": "Grant permissions to designate a delegated Macie administrator", "Effect": "Allow", "Action": [ "macie2:EnableOrganizationAdminAccount", "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListAWSServiceAccessForOrganization", "organizations:RegisterDelegatedAdministrator" ], "Resource": "*" }
Se desideri designare il tuo account di AWS Organizations gestione come account amministratore Macie delegato per l'organizzazione, il tuo account necessita anche dell'autorizzazione per eseguire le seguenti azioni:. IAM CreateServiceLinkedRole
Questa azione ti consente di abilitare Macie per l'account di gestione. Tuttavia, in base alle migliori pratiche di AWS sicurezza e al principio del privilegio minimo, non è consigliabile eseguire questa operazione.
Se decidi di concedere questa autorizzazione, aggiungi la seguente dichiarazione alla IAM politica per il tuo account di AWS Organizations gestione:
{ "Sid": "Grant permissions to enable Macie", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::
111122223333
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie", "Condition": { "StringLike": { "iam:AWSServiceName": "macie.amazonaws.com" } } }
Nella dichiarazione, sostituisci 111122223333
con l'ID dell'account di gestione.
Se desideri amministrare Macie in un opt-in Regione AWS (regione disabilitata per impostazione predefinita), aggiorna anche il valore per il principale del servizio Macie nell'Resource
elemento e nella condizione. iam:AWSServiceName
Il valore deve specificare il codice regionale per la regione. Ad esempio, per amministrare Macie nella regione del Medio Oriente (Bahrein), che ha il codice regionale me-south-1, procedi come segue:
-
Nell'elemento, sostituisci
Resource
arn:aws:iam::
111122223333
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMaciecon
arn:aws:iam::
111122223333
:role/aws-service-role/macie.me-south-1
.amazonaws.com/AWSServiceRoleForAmazonMacieDove
111122223333
specifica l'ID dell'account per l'account di gestione eme-south-1
specifica il codice regionale per la regione. -
Nella
iam:AWSServiceName
condizione, sostituiremacie.amazonaws.com
conmacie.
, doveme-south-1
.amazonaws.com.rproxy.goskope.comme-south-1
specifica il codice regionale per la regione.
Per un elenco delle regioni in cui Macie è attualmente disponibile e il codice regionale per ciascuna di esse, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS Per determinare se una regione è una regione a cui aderire, consulta Abilita o disabilita Regioni AWS nel tuo account nella Guida per l'utente.AWS Account Management
Passaggio 2: designare l'account amministratore Macie delegato per l'organizzazione
Dopo aver verificato le autorizzazioni, tu (come utente dell'account di AWS Organizations gestione) puoi designare l'account amministratore Macie delegato per la tua organizzazione.
Per designare l'account amministratore Macie delegato per un'organizzazione
Per designare l'account amministratore delegato Macie per la tua organizzazione, puoi utilizzare la console Amazon Macie o Amazon Macie. API Solo un utente dell'account di AWS Organizations gestione può eseguire questa operazione.
Dopo aver designato l'account amministratore Macie per l'organizzazione, l'amministratore Macie può iniziare a configurare l'organizzazione in Macie.
Passaggio 3: Abilita e aggiungi automaticamente nuovi account dell'organizzazione come account membri di Macie
Per impostazione predefinita, Macie non è abilitato automaticamente per i nuovi account quando gli account vengono aggiunti all'organizzazione in AWS Organizations. Inoltre, gli account non vengono aggiunti automaticamente come account membri di Macie. Gli account vengono visualizzati nell'inventario degli account dell'amministratore di Macie. Tuttavia, Macie non è necessariamente abilitato per gli account e l'amministratore Macie non può necessariamente accedere alle impostazioni, ai dati e alle risorse di Macie per gli account.
Se sei l'amministratore delegato di Macie dell'organizzazione, puoi modificare questa impostazione di configurazione. Puoi attivare l'abilitazione automatica per la tua organizzazione. Se lo fai, Macie viene abilitato automaticamente per i nuovi account quando gli account vengono aggiunti alla tua organizzazione in. AWS Organizations Inoltre, gli account vengono automaticamente associati al tuo account amministratore Macie come account membro. L'attivazione di questa impostazione non influisce sugli account esistenti nell'organizzazione. Per abilitare e gestire Macie per gli account esistenti, devi aggiungere manualmente gli account come account membro Macie. Il passaggio successivo spiega come eseguire questa operazione.
Nota
Se attivi l'attivazione automatica, tieni presente la seguente eccezione. Se un nuovo account è già associato a un altro account amministratore Macie, Macie non aggiunge automaticamente l'account come account membro dell'organizzazione. L'account deve dissociarsi dall'account amministratore Macie corrente prima di poter far parte dell'organizzazione in Macie. È quindi possibile aggiungere manualmente l'account. Per identificare gli account in cui ciò si verifica, puoi esaminare l'inventario degli account della tua organizzazione.
Per abilitare e aggiungere automaticamente nuovi account dell'organizzazione come account membri di Macie
Per abilitare e aggiungere automaticamente nuovi account come account membro Macie, puoi utilizzare la console Amazon Macie o Amazon Macie. API Solo l'amministratore Macie delegato dell'organizzazione può eseguire questa operazione.
Passaggio 4: abilitare e aggiungere gli account aziendali esistenti come account membri di Macie
Quando integri Macie con AWS Organizations, Macie non viene abilitato automaticamente per tutti gli account esistenti nell'organizzazione. Inoltre, gli account non vengono associati automaticamente all'account amministratore delegato di Macie come account membri di Macie. Pertanto, il passaggio finale dell'integrazione e della configurazione dell'organizzazione in Macie consiste nell'aggiungere gli account dell'organizzazione esistenti come account membri di Macie. Quando aggiungi un account esistente come account membro Macie, Macie viene automaticamente abilitato per l'account e tu (in qualità di amministratore delegato di Macie) hai accesso a determinate impostazioni, dati e risorse di Macie per l'account.
Tieni presente che non puoi aggiungere un account attualmente associato a un altro account amministratore Macie. Per aggiungere l'account, collabora con il proprietario dell'account per dissociare prima l'account dall'account amministratore corrente. Inoltre, non puoi aggiungere un account esistente se Macie è attualmente sospeso per l'account. Il proprietario dell'account deve prima riattivare Macie per l'account. Infine, se desideri aggiungere l'account di AWS Organizations gestione come account membro, un utente di quell'account deve prima abilitare Macie per l'account.
Per abilitare e aggiungere account aziendali esistenti come account membri di Macie
Per abilitare e aggiungere account aziendali esistenti come account membri Macie, puoi utilizzare la console Amazon Macie o Amazon Macie. API Solo l'amministratore Macie delegato dell'organizzazione può eseguire questa operazione.