As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Integrar e configurar uma organização no Macie

Para começar a usar o Amazon Macie com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta de administrador delegada do Macie para a organização. Isso permite que o Macie seja um serviço confiável em AWS Organizations. Também habilita o Macie na conta atual Região da AWS do administrador designado e permite que a conta do administrador designada habilite e gerencie o Macie para outras contas na organização nessa região. Para obter informações sobre como essas permissões são concedidas, consulte Usando AWS Organizations com outras Serviços da AWS pessoas no Guia AWS Organizations do usuário.

O administrador delegado do Macie então configura a organização no Macie, principalmente adicionando as contas da organização como contas de membros do Macie na Região. O administrador pode, então, acessar determinadas configurações, dados e recursos do Macie para essas contas naquela região. Ele também pode fazer a descoberta automatizada de dados confidenciais e executar trabalhos de descoberta de dados confidenciais para detectar esse tipo de dados nos buckets do Amazon Simple Storage Service (Amazon S3) pertencentes às contas.

Este tópico explica como designar um administrador delegado do Macie para uma organização e como adicionar as contas da organização como contas de membros do Macie. Antes de executar essas tarefas, entenda bem o relacionamento entre contas de administrador e de membros do Macie. Também é uma boa ideia revisar as considerações e recomendações para usar o Macie com. AWS Organizations

Para integrar e configurar a organização em várias regiões, a conta AWS Organizations de gerenciamento e o administrador delegado do Macie repetem essas etapas em cada região adicional.

Etapa 1: verifique suas permissões

Antes de designar a conta de administrador delegada do Macie para sua organização, verifique se você (como usuário da conta de AWS Organizations gerenciamento) tem permissão para realizar a seguinte ação do Macie:. macie2:EnableOrganizationAdminAccount Essa ação permite que você designe a conta de administrador delegada do Macie para sua organização usando o Macie.

Verifique também se você tem permissão para realizar as seguintes AWS Organizations ações:

Essas ações permitem que você: recupere informações sobre sua organização; integre o Macie com AWS Organizations; recupere informações sobre as quais Serviços da AWS você se integrou AWS Organizations; e designe uma conta de administrador delegada do Macie para sua organização.

Para conceder essas permissões, inclua a seguinte declaração em uma política AWS Identity and Access Management (IAM) da sua conta:

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

Se você quiser designar sua conta AWS Organizations de gerenciamento como a conta delegada de administrador do Macie para a organização, sua conta também precisa de permissão para realizar a seguinte ação do IAM:. CreateServiceLinkedRole Essa ação permite que você habilite o Macie para a conta de gerenciamento. No entanto, com base nas melhores práticas de AWS segurança e no princípio do menor privilégio, não recomendamos que você faça isso.

Se você decidir conceder essa permissão, adicione a seguinte declaração à política do IAM da sua conta AWS Organizations de gerenciamento:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

No extrato, 111122223333 substitua pelo ID da conta de gerenciamento.

Se você quiser administrar o Macie em um opt-in Região da AWS (região desativada por padrão), atualize também o valor do principal de serviço do Macie no Resource elemento e na condição. iam:AWSServiceName O valor deve especificar o código da região. Por exemplo, para administrar o Macie na região do Oriente Médio (Bahrein), que tem o código de região me-south-1, faça o seguinte:

Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte Endpoints e cotas do Amazon Macie no arquivo Referência geral da AWS. Para determinar se uma região é opcional, consulte Habilitar ou desabilitar Regiões da AWS em sua conta no Guia do Usuário do AWS Account Management .

Etapa 2: designar a conta de administrador delegada do Macie para a organização

Depois de verificar suas permissões, você (como usuário da conta de AWS Organizations gerenciamento) pode designar a conta de administrador delegada do Macie para sua organização.

Para designar a conta de administrador delegada do Macie para uma organização

Para designar a conta de administrador delegada do Macie para sua organização, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente um usuário da conta AWS Organizations de gerenciamento pode realizar essa tarefa.

Console

Siga estas etapas para designar a conta de administrador delegada do Macie usando o console do Amazon Macie.

Para designar a conta de administrador delegada do Macie

1. Faça login no AWS Management Console usando sua conta AWS Organizations de gerenciamento.

2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja designar a conta de administrador delegada do Macie para sua organização.

3. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

4. Siga um destes procedimentos, dependendo de o Macie estar habilitado para sua conta de gerenciamento na região atual:

   • Se o Macie não estiver habilitado, selecione Iniciar na página de boas-vindas.

   • Se o Macie estiver ativado, escolha Configurações no painel de navegação.

5. Em Administrador delegado, insira o ID da conta de 12 dígitos para a Conta da AWS que você deseja designar como a conta de administrador do Macie.

6. Selecione Delegar.

Repita as etapas anteriores em cada região adicional da qual deseja integrar a organização ao Macie. Você deve designar a mesma conta de administrador do Macie em cada uma dessas regiões.

API

Para designar programaticamente a conta delegada do administrador do Macie, use a operação da API EnableOrganizationAdminAccountdo Amazon Macie. Para designar a conta em várias regiões, envie a designação para cada região na qual você deseja integrar sua organização ao Macie. Você deve designar a mesma conta de administrador do Macie em cada uma dessas regiões.

Ao enviar a designação, use o adminAccountId parâmetro necessário para especificar o ID da conta de 12 dígitos para designar como Conta da AWS a conta de administrador do Macie para a organização. Além disso, certifique-se de especificar a região à qual a designação se aplica.

Para designar a conta de administrador do Macie usando o AWS Command Line Interface (AWS CLI), execute o enable-organization-admin-accountcomando. Para o admin-account-id parâmetro, especifique o ID da conta de 12 dígitos Conta da AWS a ser designado. Use o parâmetro region para especificar a região à qual a designação se aplica. Por exemplo:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

Onde us-east-1 está a região à qual a designação se aplica (a região Leste dos EUA (Norte da Virgínia)) e 111122223333 é a ID da conta a ser designada.

Depois de designar a conta de administrador do Macie para sua organização, o administrador do Macie pode começar a configurar a organização no Macie.

Etapa 3: habilitar e adicionar novas contas da organização automaticamente como contas-membro do Macie

Por padrão, o Macie não é habilitado automaticamente para novas contas quando as contas são adicionadas à sua organização no AWS Organizations. Além disso, as contas não são adicionadas automaticamente como contas de membros do Macie. As contas aparecem no inventário de contas do administrador do Macie. No entanto, o Macie não está necessariamente habilitado para as contas e o administrador do Macie não pode necessariamente acessar as configurações, os dados e os recursos do Macie para as contas.

Se você for o administrador delegado do Macie para a organização, poderá alterar essa configuração. Você pode ativar a capacitação automática para a organização. Se você fizer isso, o Macie será habilitado automaticamente para novas contas quando as contas forem adicionadas à sua organização no AWS Organizations. Além disso, as contas são associadas automaticamente à conta de administrador do Macie como contas de membros. A habilitação dessa configuração não afeta as contas existentes na sua organização. Para habilitar e gerenciar o Macie para contas existentes, você deve adicionar manualmente as contas como contas de membros do Macie. A próxima etapa explica como fazer isso.

Para habilitar e adicionar automaticamente novas contas da organização como contas de membros do Macie

Para habilitar e adicionar automaticamente novas contas como contas de membros do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente o administrador delegado do Macie para a organização pode executar esta tarefa.

Console

Para realizar esta tarefa usando o console, você deve ter permissão para realizar a seguinte AWS Organizations ação:organizations:ListAccounts. Essa ação permite que você recupere as informações sobre as contas da sua organização. Se você tiver essas permissões, siga estas etapas para ativar e adicionar automaticamente novas contas da organização como contas de membros do Macie.

Para ativar e adicionar automaticamente novas contas da organização

1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar e adicionar automaticamente novas contas como contas de membros do Macie.

3. No painel de navegação, selecione Contas.

4. Na página Contas, na seção Novas contas, escolha Editar.

5. Na caixa de diálogo Editar configurações para novas contas, selecione Habilitar o Macie.

   Para também habilitar automaticamente a descoberta automatizada de dados confidenciais para novas contas de membros, selecione Habilitar a descoberta automatizada de dados confidenciais. Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais.

6. Escolha Salvar.

Repita as etapas anteriores em cada região adicional na qual deseja configurar a organização no Macie.

Para alterar essas configurações posteriormente, repita as etapas anteriores e desmarque a caixa de seleção de cada configuração.

API

Para habilitar e adicionar automaticamente novas contas de membros do Macie de forma programática, use a UpdateOrganizationConfigurationoperação da API do Amazon Macie. Ao enviar sua solicitação, defina o valor do parâmetro autoEnable como true. (O valor padrão é false.) Além disso, certifique-se de especificar a região à qual sua solicitação se aplica. Para ativar e adicionar automaticamente novas contas em outras regiões, envie a solicitação para cada região adicional.

Se você usar o AWS CLI para enviar a solicitação, execute o update-organization-configurationcomando e especifique o auto-enable parâmetro para ativar e adicionar novas contas automaticamente. Por exemplo:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

Onde us-east-1 está a região na qual ativar e adicionar automaticamente novas contas, a região Leste dos EUA (Norte da Virgínia).

Para alterar essa configuração posteriormente e parar de habilitar e adicionar novas contas automaticamente, execute o mesmo comando outra vez e use o parâmetro no-auto-enable, em vez do parâmetro auto-enable, em cada região aplicável.

Você também pode habilitar automaticamente a descoberta automatizada de dados confidenciais para novas contas de membros. Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais. Para ativar esse recurso automaticamente para contas de membros, use a UpdateAutomatedDiscoveryConfigurationoperação ou, se estiver usando a AWS CLI, execute o update-automated-discovery-configurationcomando.

Etapa 4: Habilitar e adicionar contas da organização existentes como contas de membros do Macie

Quando você integra o Macie com AWS Organizations, o Macie não é habilitado automaticamente para todas as contas existentes em sua organização. Além disso, as contas não são associadas automaticamente à conta delegada de administrador do Macie como contas de membros do Macie. Portanto, a etapa final de integrar e configurar sua organização no Macie é adicionar contas existentes da organização como contas de membros do Macie. Quando você adiciona uma conta existente como conta de membro do Macie, o Macie é automaticamente ativado para a conta e você (como administrador delegado do Macie) obtém acesso a determinadas configurações, dados e recursos do Macie para a conta.

Observe que você não pode adicionar uma conta atualmente associada a outra conta de administrador do Macie. Para adicionar a conta, trabalhe com o proprietário da conta para primeiro desassociar a conta da conta de administrador atual. Além disso, você não pode adicionar uma conta existente se o Macie estiver atualmente suspenso da conta. O proprietário da conta deve primeiro rehabilitar o Macie para a conta. Finalmente, se você quiser adicionar a conta de gerenciamento do AWS Organizations como uma conta de membro, um usuário dessa conta deve primeiro habilitar o Macie para a conta.

Para habilitar e adicionar contas de organização existentes como contas-membros do Macie

Para habilitar e adicionar contas organizacionais existentes como contas de membros do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente o administrador delegado do Macie para a organização pode executar esta tarefa.

Console

Para realizar esta tarefa usando o console, você deve ter permissão para realizar a seguinte AWS Organizations ação:organizations:ListAccounts. Essa ação permite que você recupere as informações sobre as contas da sua organização. Se você tiver essas permissões, siga estas etapas para ativar e adicionar contas existentes como contas de membros do Macie.

Para habilitar e adicionar contas existentes da organização

1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar e adicionar contas existentes como contas de membros do Macie.

3. No painel de navegação, selecione Contas. A página Contas é aberta e exibe uma tabela das contas associadas à sua conta do Macie.

   Se uma conta fizer parte da sua organização em AWS Organizations, seu tipo será Via AWS Organizations. Se uma conta já for uma conta de membro do Macie, seu Status será Habilitada ou Pausada (suspensa).

4. Na tabela Contas existentes, marque a caixa de seleção de cada conta que você deseja adicionar como conta de membro do Macie.

5. No menu Ações, selecione Adicionar membro.

6. Confirme que deseja adicionar as contas selecionadas como contas-membro.

Depois de confirmar a adição das contas selecionadas, o status das contas muda para Habilitação em processo e, em seguida, Habilitada. Depois de adicionar uma conta de membro, você também pode ativar a descoberta automática de dados confidenciais para a conta: na tabela Contas existentes, marque a caixa de seleção de cada conta para ativá-la e escolha Habilitar descoberta automática de dados confidenciais no menu Ações. Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais.

Repita as etapas anteriores em cada região adicional na qual deseja configurar a organização no Macie.

API

Para habilitar e adicionar programaticamente uma ou mais contas existentes como contas de membro do Macie, use a CreateMemberoperação da API do Amazon Macie. Ao enviar sua solicitação, use os parâmetros compatíveis para especificar o ID da conta de 12 dígitos e o endereço de e-mail de cada um Conta da AWS para ativar e adicionar. Especifique também a região à qual a solicitação se aplica. Para ativar e adicionar contas existentes em outras regiões, envie a solicitação para cada região adicional.

Para recuperar o ID da conta e o endereço de e-mail de uma Conta da AWS para habilitar e adicionar, você pode, opcionalmente, usar a ListMembersoperação da API do Amazon Macie. Essa operação fornece detalhes sobre as contas associadas à sua conta do Macie, incluindo contas que não são contas de membros do Macie. Se o valor da propriedade relationshipStatus de uma conta não for Enabled ou Paused, a conta não será uma conta de membro do Macie.

Para ativar e adicionar uma ou mais contas existentes usando o AWS CLI, execute o comando create-member. Use o parâmetro region para especificar a região na qual ativar e adicionar as contas. Use os account parâmetros para especificar o ID da conta e o endereço de e-mail de cada um Conta da AWS para adicionar. Por exemplo:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Onde us-east-1 está a região na qual ativar e adicionar a conta como conta de membro do Macie (a região Leste dos EUA (Norte da Virgínia)) e account os parâmetros especificam o ID da conta (123456789012) e o endereço de e-mail (janedoe@example.com) da conta.

Se a sua solicitação for realizada com êxito, o status (relationshipStatus) da conta especificada será alterado para Enabled no inventário da sua conta.

Para também ativar a descoberta automática de dados confidenciais para uma ou mais contas, use a BatchUpdateAutomatedDiscoveryAccountsoperação ou, se estiver usando a AWS CLI, execute o comando batch-update-automated-discovery-accounts. Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais.