更改组织的 Macie 管理员账户 - Amazon Macie

更改组织的 Macie 管理员账户

在 Amazon Macie 中整合并配置 AWS Organizations 组织后,AWS Organizations 管理账户可以将不同的账户指定为该组织的指定 Macie 管理员账户。

作为组织 AWS Organizations 管理账户的用户,在为组织指定其他 Macie 管理员账户之前,请先验证自己是否满足以下权限要求:

  • 您必须拥有最初为您的组织指定 Macie 管理员账户所需的相同权限。还必须允许您执行以下 AWS Organizations 操作: organizations:DeregisterDelegatedAdministrator. 此附加操作允许您删除当前指定。

  • 如果您的账户目前是 Macie 成员账户,则当前 Macie 管理员必须将您的账户移除为 Macie 成员账户。否则,您将无法访问用于指定其他管理员账户的 Macie 操作。在您指定新的管理员账户后,新的 Macie 管理员可以再次将您的账户添加为 Macie 成员账户。

如果您的组织在多个 AWS 区域 使用 Macie,还要确保在组织使用 macie 的每个区域中更改指定的 Macie 管理员账户。所有这些区域中指定 Macie 管理员账户必须相同。如果您在 AWS Organizations 中管理多个组织,请注意一个账户一次只能作为一个组织的指定 Macie 管理员账户。要了解其他要求,请参阅 将 Macie 与 AWS Organizations 结合使用的注意事项

注意

为组织指定不同的 Macie 管理员账户时,还将禁止访问现有统计数据、库存数据以及 Macie 在对组织中的账户执行自动敏感数据发现时生成和直接提供的其他信息。新的 Macie 管理员账户无法访问现有数据。如果您更改了指定,并且新的 Macie 管理员启用了账户自动发现功能,则 Macie 会在执行账户自动发现时生成并维护新数据。

要更改在组织的 Macie 管理员账户指定

要为您的组织指定不同的 Macie 管理员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie 和 AWS Organizations API 的组合。只有 AWS Organizations 管理账户的用户才能更改其组织的指定。

Console

要使用 Amazon Macie 控制台更改指定,请遵循以下步骤。

要更改 Macie 管理员账户指定

  1. 使用 AWS Organizations 管理账户登录 AWS Management Console。

  2. 使用页面右上角的 AWS 区域 选择器,选择您要更改指定的区域。

  3. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  4. 根据您的管理账户在当前区域中是否启用 Macie,执行以下操作之一:

    • 如果未启用 Macie,请在欢迎页面上选择开始使用

    • 如果已启用 Macie,请在导航窗格中选择设置

  5. 指定管理员下,选择移除。要更改指定,必须先删除当前指定。

  6. 确认您要删除当前指定。

  7. 指定管理员下,针对 AWS 账户 输入 12 位数的账户 ID,以指定为该组织新的 Macie 管理员账户。

  8. 选择 Delegate(指定)

在您将 Macie 与 AWS Organizations 集成的每个其他区域中重复上述步骤。

API

要以编程方式更改指定,您需要使用 Amazon Macie API 的两个操作和 AWS Organizations API 的一个操作。这是因为您必须在 Macie 和 AWS Organizations 中删除当前的指定,然后才能提交新的指定。

要删除当前指定:

  1. 使用 Macie API 的 DisableOrganizationAdminAccount 操作。在必填 adminAccountId 参数中,为当前被指定为组织 Macie 管理员账户的 AWS 账户 指定 12 位数的账户 ID。

  2. 使用 AWS Organizations API 的 DeregisterDelegatedAdministrator 的操作。在必填 AccountId 参数中,为当前被指定为组织 Macie 管理员账户的账户指定 12 位数的账户 ID。此值应与您在之前的 Macie 请求中指定的账户 ID 相匹配。对于 ServicePrincipal 参数,指定 Macie 服务主体 (macie.amazonaws.com)。

删除当前指定后,使用 Macie API 的 EnableOrganizationAdminAccount 操作提交新的指定。在必填 adminAccountId 参数中,针对 AWS 账户 指定 12 位数的账户 ID,以为该组织指定新 Macie 管理员账户。

要使用 AWS CLI 更改指定,请运行 Macie API 的disable-organization-admin-account 命令以及 AWS Organizations API 的 deregister-delegated-administrator 命令。这些命令分别删除 Macie 和 AWS Organizations 中的当前指定。在 admin-account-idaccount-id 参数中,针对 AWS 账户 指定 12 位数账户 ID 以删除当前 Macie 管理员账户。使用 region 参数指定移除所适用的区域。例如:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

其中:

  • us-east-1 是删除适用的区域,即美国东部(弗吉尼亚州北部)区域。

  • 111122223333 是要作为 Macie 管理员账户删除的账户的账户 ID。

  • macie.amazonaws.com 是 Macie 的服务主体。

删除当前指定后,通过运行 Macie API 的 enable-organization-admin-account 命令来提交新的指定。在 admin-account-id 参数中,针对 AWS 账户 指定 12 位数的账户 ID,以为该组织指定新 Macie 管理员账户。使用 region 参数指定该指定所适用的区域。例如:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

其中 us-east-1 是该指定适用的区域(美国东部(弗吉尼亚州北部)区域),444455556666 是指定为新 Macie 管理员账户的账户 ID。