本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理组织的 Macie 成员账户
在 Amazon Macie 中集成和配置 AWS Organizations组织后,该组织委派的 Macie 管理员可以访问成员账户的某些 Macie 设置、数据和资源。作为组织的 Macie 管理员,您可以使用 Macie 集中执行账户的某些账户管理和管理任务。例如,您可以:
您还可以查看 Macie 成员账户的 Amazon Simple Storage Service (Amazon S3) 库存数据和策略调查发现。此外,您还可以在账户拥有的 S3 存储桶中发现敏感数据。有关您可以执行的任务的详细列表,请参阅 Macie 管理员和成员账户关系。
默认情况下,Macie 允许您查看组织中所有 Macie 成员账户的相关数据和资源。您还可以深入查看个人账户的数据和资源。例如,如果您使用摘要控制面板来评测组织的 Amazon S3 安全状况,则可以按账户筛选数据。同样,如果您监控估算使用成本,则可以访问个人成员账户的估算费用明细。
除了管理员和成员账户常见的任务外,您还可以为组织执行各种管理任务。
作为组织的 Macie 管理员,您可以使用亚马逊 Macie 控制台或亚马逊 Macie 来执行这些任务。API如果您更喜欢使用控制台,则必须允许您执行以下 AWS Organizations 操作:organizations:ListAccounts。此操作允许您检索和显示有关 AWS Organizations中属于您的组织的账户的信息。
将 Macie 成员账户添加到组织
在某些情况下,您可能需要手动将账户添加为 Amazon Macie 成员账户。对于您之前作为成员账户删除(取消关联)的账户,情况就是这样。如果您没有将 Macie 配置为在向您的组织中添加帐户时自动启用和添加新的成员帐户,也会出现这种情况 AWS Organizations。
当您将账户添加为 Macie 成员账户时:
-
如果该地区尚未启用 Macie AWS 区域,则当前账户已启用 Macie。
-
该账户作为该地区的成员账户与您的 Macie 管理员账户关联。成员账户不会收到您在账户之间建立这种关系的邀请或其他通知。
-
可能会为该地区的账户启用自动敏感数据发现。这取决于您为组织指定的配置设置。有关更多信息,请参阅 配置自动发现敏感数据。
请注意,您无法添加已与另一个 Macie 管理员账户关联的账户。该账户必须先解除与其当前管理员账户的关联。此外,除非已为该账户启用 Macie,否则您无法将该 AWS Organizations 管理账户添加为成员账户。要了解其他要求,请参阅将 Macie 搭配使用时的注意事项 AWS Organizations。
将 Macie 成员账户添加到组织
要将一个或多个 Macie 成员账户添加到您的组织,您可以使用亚马逊 Macie 主机或亚马逊 Macie。API
- Console
-
按照以下步骤使用 Amazon Macie 控制台添加一个或多个 Macie 成员账户。
添加 Macie 成员账户
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
使用页面右上角的选择 AWS 区域 器,选择要在其中添加成员账户的区域。
-
在导航窗格中,选择账户。账户页面打开并显示与您的账户关联的账户表。
-
(可选)要更轻松地识别属于您的组织但不是 Macie 成员账户的账户,请使用现有账户表上方的筛选框添加以下筛选条件: AWS Organizations
要同时显示您之前删除并可能想要添加为成员账户的账户,还需要添加状态 = 已删除筛选条件。
-
在现有账户表中,选中要添加为成员账户的每个账户对应的复选框。
-
在操作菜单上,选择添加成员。
-
确认您要添加所选账户作为成员账户。
确认选择后,所选账户的状态将在您的账户库存中更改为 “正在启用”,然后更改为 “启用”。
在您要在其中添加成员账户的每个附加区域中重复上述步骤。
- API
-
要以编程方式添加一个或多个 Macie 成员账户,请使用亚马逊 Macie 的CreateMember操作。API
提交请求时,请使用支持的参数为要添加的每个 AWS 账户 账户指定 12 位数的账户 ID 和电子邮件地址。此外,请指定请求适用的区域。要在其他地区添加账户,请在每个其他地区提交您的申请。
要检索要添加的账户的账户 ID 和电子邮件地址,您可以将 Amazon Macie 的ListAccounts操作输出与 Ama API zon M AWS Organizations API acie 的ListMembers操作输出关联起来。要ListMembers运行 MacieAPI,请在请求中包含onlyAssociated参数并将参数的值设置为false。如果操作成功,Macie 将返回一个 members 数组,该数组提供指定区域中与您的 Macie 管理员账户关联的所有账户的详细信息,包括当前不是成员账户的账户。注意数组中的以下内容:
要使用添加成员帐户 AWS CLI,请运行 create-M ember 命令。使用 region 参数指定要在其中添加账户的区域。使用 account 参数为要添加的每个账户指定账户 ID 和电子邮件地址。例如:
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
位置 us-east-1 是将账户添加为成员账户的区域(美国东部(弗吉尼亚北部)区域),account参数指定账户 ID (123456789012) 和电子邮件地址 (janedoe@example.com) 代表账户。
如果您的请求成功,则指定账户的状态 (relationshipStatus) 将更改为您的账户清单中的Enabled。
暂停组织中成员账号的 Macie
作为中组织的 Amazon Macie 管理员 AWS Organizations,您可以暂停组织中的成员账户 Macie。如果您这样做,您也可以在以后为该账户重新启用 Macie。
当您暂停成员账户的 Macie 时:
-
在当前 AWS 区域中,Macie 无法访问该账户的 Amazon S3 数据,并停止提供有关该账户的 Amazon S3 数据的元数据。
-
Macie 停止在该区域中为账户执行所有活动。这包括监控 S3 存储桶的安全性和访问控制、执行自动敏感数据发现,以及运行当前正在进行的敏感数据发现作业。
-
Macie 会取消该账户在该区域创建的所有敏感数据发现作业。作业取消后无法恢复或重新启动。如果您创建的作业是为了分析成员账户拥有的数据,Macie 不会取消您的作业。相反,这些作业会跳过该账户拥有的资源。
账户被暂停后,Macie 会在相应区域保留该账户的 Macie 会话标识符、设置和资源。例如,该账户的调查发现保持不变,最长可在 90 天内不受影响。当 Macie 在适用区域的账户被暂停使用时,您的组织不会对该区域的账户产生 Macie 费用。
若要暂停组织中成员账户的 Macie
要暂停组织中的成员账户 Macie,你可以使用亚马逊 Macie 主机或亚马逊 Macie。API
- Console
-
按照以下步骤使用 Amazon Macie 控制台暂停成员账户的 Macie。
确认暂停后,账户清单中的账户状态会更改为已暂停(已挂起)。
在要暂停账户 Macie 的每个附加区域中重复上述步骤。
- API
-
要以编程方式暂停 Macie 的成员账户,请使用亚马逊 Macie 的UpdateMemberSession操作。API
提交请求时,请使用id参数为要暂停 Macie 的账户指定 12 位数的账户 ID。 AWS 账户 对于 status 参数,将 PAUSED 指定为 Macie 账户的新状态。此外,请指定请求适用的区域。要在其他区域暂停账户,请在每个其他区域提交您的申请。
要检索待暂停账户的账户 ID,您可以使用亚马逊 Mac API ie 的ListMembers操作。如果执行此操作,请考虑通过在请求中包含 onlyAssociated 参数来筛选结果。如果将此参数的值设置为 true,则 Macie 将返回一个 members 数组,该数组仅提供有关当前为成员账户的账户的详细信息。
要使用暂停 Macie 的成员账号 AWS CLI,请运行update-member-session命令。使用region参数指定要暂停 Macie 的区域,并使用id参数指定 AWS 账户 要暂停 Macie 的账户 ID。对于 status 参数,请指定 PAUSED。例如:
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
位置 us-east-1 是暂停 Macie 的区域(美国东部(弗吉尼亚北部)区域),123456789012 是要暂停 Macie 的账户的账户 ID,PAUSED也是该账户的 Macie 新状态。
如果请求成功,Macie 将返回空响应,并且指定账户的状态将在账户清单中更改为 Paused。
从组织中移除 Macie 成员账户
如果您想停止访问成员账户的 Amazon Macie 设置、数据和资源,可以将该账户作为 Macie 成员账户删除。为此,请取消该账户与 Macie 管理员账户的关联。请注意,只有您才能为成员账户执行此操作。 AWS Organizations 成员账户无法取消与其 Macie 管理员帐户的关联。
当您移除 Macie 成员账户时,Macie 在当前 AWS 区域中仍处于启用状态。但是,该账户已与您的 Macie 管理员账户取消关联,它成为独立的 Macie 账户。这意味着您将无法访问该账户的所有 Macie 设置、数据和资源,包括该账户 Amazon S3 数据的元数据和策略调查发现。这也意味着您无法再使用 Macie 发现账户拥有的 S3 存储桶中的敏感数据。如果您已经创建了敏感的发现作业来执行此操作,则这些作业会跳过该账户拥有的存储桶。如果您为账户启用了自动敏感数据发现,则您和成员账户都将无法访问 Macie 在对该账户执行自动发现时生成和直接提供的统计数据、库存数据和其他信息。
移除 Macie 成员账户后,该账户将继续出现在您的账户库存中。Macie 不会通知账户所有者您已删除该账户。您可以稍后再次将该账户添加到您的组织。如果您在 30 天内添加该账户并启用自动发现敏感数据,则您还可以重新获取 Macie 之前在对该帐户执行自动发现时生成和直接提供的数据和信息的访问权限。
从组织中删除 Macie 成员账户
要从您的组织中删除 Macie 成员账户,您可以使用亚马逊 Macie 主机或亚马逊 Macie。API
- Console
-
按照以下步骤使用 Amazon Macie 主机删除 Macie 成员账户。
确认选择后,账户清单中的账户状态会更改为已移除(已解除关联)。
在您要移除成员账户的每个附加区域中重复上述步骤。
- API
-
要以编程方式删除 Macie 成员账户,请使用亚马逊 Macie 的DisassociateMember操作。API
提交请求时,使用id参数为要删除的成员账户指定 12 位数的 AWS 账户 ID。此外,请指定请求适用的区域。要移除其他区域的账户,请在每个其他区域提交您的申请。
要检索要删除的成员账户的账户 ID,你可以使用 Amazon Mac API ie 的ListMembers操作。如果执行此操作,请考虑通过在请求中包含 onlyAssociated 参数来筛选结果。如果将此参数的值设置为 true,则 Macie 将返回一个 members 数组,该数组仅提供有关当前是 Macie 成员账户的账户的详细信息。
要使用删除 Macie 成员帐户 AWS CLI,请运行取消关联成员命令。使用 region 参数指定要移除账户的区域。使用 id 参数为要移除的成员账户指定账户 ID。例如:
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
位置 us-east-1 是要删除账户的区域(美国东部(弗吉尼亚北部)区域)和 123456789012 是要删除的账户的账户 ID。
如果请求成功,Macie 将返回空响应,并且指定账户的状态将在账户清单中更改为 Removed。
