管理组织的 Macie 成员账户
在 Amazon Macie 中集成和配置 AWS Organizations 组织后,该组织委派的 Macie 管理员可以访问成员账户的某些 Macie 设置、数据和资源。作为组织的 Macie 管理员,您可以使用 Macie 集中执行某些账户管理和账户行政任务。例如,您可以:
您还可以查看 Macie 成员账户的 Amazon Simple Storage Service (Amazon S3) 库存数据和策略调查发现。此外,您还可以在账户拥有的 S3 存储桶中发现敏感数据。有关您可以执行的任务的详细列表,请参阅 Macie 管理员和成员账户的关系。
默认情况下,Macie 允许您查看组织中所有 Macie 成员账户的相关数据和资源。您还可以深入查看个人账户的数据和资源。例如,如果您使用摘要控制面板来评测组织的 Amazon S3 安全状况,则可以按账户筛选数据。同样,如果您监控估算使用成本,则可以访问个人成员账户的估算费用明细。
除了管理员和成员账户常见的任务外,您还可以为组织执行各种管理任务。
作为组织的 Macie 管理员,您可以使用 Amazon Macie 控制台或 Amazon Macie API 来执行这些任务。如果您更喜欢使用控制台,您必须可以执行以下 AWS Organizations 操作:organizations:ListAccounts。此操作允许您检索和显示有关 AWS Organizations 中属于您的组织的账户的信息。
向组织添加 Macie 成员账户
在部分情况下,您可能需要手动添加账户作为 Amazon Macie 成员账户。对于您之前作为成员账户删除(取消关联)的账户,情况就是这样。如果您没有将 Macie 配置为在 AWS Organizations 中向您的组织中添加账户时自动启用和添加新的成员账户,也会出现这种情况。
当您将一个账户添加为 Macie 成员账户时:
-
如果当前 AWS 区域 区域尚未启用 Macie,则在该区域为账户启用 Macie。
-
该账户作为该区域的成员账户与您的 Macie 管理员账户关联。成员账户不会收到您在账户之间建立这种关系的邀请或其他通知。
-
该区域的账户可能已启用自动敏感数据发现。这取决于您为组织指定的配置设置。有关更多信息,请参阅 配置自动敏感数据发现。
请注意,您无法添加已与另一个 Macie 管理员账户关联的账户。该账户必须先解除与其当前管理员账户的关联。此外,除非该账户已启用 Macie,否则您无法将 AWS Organizations 管理账户添加为成员账户。要了解其他要求,请参阅 将 Macie 与 AWS Organizations 结合使用的注意事项。
将 Macie 成员账户添加到组织
要将一个或多个 Macie 成员账户添加到您的组织,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
- Console
-
按照以下步骤使用 Amazon Macie 控制台添加一个或多个 Macie 成员账户。
添加 Macie 成员账户
通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/。
-
使用页面右上角的 AWS 区域 选择器,选择要在其中添加成员账户的区域。
-
在导航窗格中,选择账户。账户页面打开并显示与您的账户关联的账户表。
-
(可选)要更轻松地识别 AWS Organizations 中属于您的组织但不是 Macie 成员账户的账户,请使用现有账户表上方的筛选框添加以下筛选条件:
要同时显示您之前删除并可能想要添加为成员账户的账户,还需要添加状态 = 已删除筛选条件。
-
在现有账户表中,选中要添加为成员账户的每个账户的复选框。
-
在操作菜单上,选择添加成员。
-
确认您要添加所选账户作为成员账户。
确认选择后,账户清单中选定账户的状态将更改为正在启用,然后更改为启用。
在您要在其中添加成员账户的每个附加区域中重复上述步骤。
- API
-
要以编程方式添加一个或多个 Macie 成员账户,请使用 Amazon Macie API 的 CreateMember 操作。
提交请求时,请使用支持的参数为您要添加的每个 AWS 账户 指定 12 位数的账户 ID 和电子邮件地址。此外,请指定请求适用的区域。要在其他地区添加账户,请在每个其他地区提交您的申请。
要检索要添加的账户的账户 ID 和电子邮件地址,您可以将 AWS Organizations API 的 ListAccounts 操作的输出与 Amazon Macie API 的 ListMembers 操作的输出关联起来。对于 Macie API 的 ListMembers 操作,请在请求中包含 onlyAssociated 参数并将参数的值设置为 false。如果操作成功,Macie 将返回一个 members 数组,该数组提供指定区域中与您的 Macie 管理员账户关联的所有账户的详细信息,包括当前不是成员账户的账户。注意数组中的以下内容:
-
如果某个账户的 relationshipStatus 属性值不是 Enabled 或 Paused,则该账户与您的账户相关联,但它不是 Macie 成员账户。
-
如果某个账户未包含在数组中,但包含在 AWS Organizations API 的 ListAccounts 操作的输出中,则该账户是 AWS Organizations 中您的组织的一部分,但它与您的账户无关联,因此不是 Macie 成员账户。
要使用 AWS CLI 添加成员账户,请运行 create-member 命令。使用 region 参数指定要在其中添加账户的区域。使用 account 参数为要添加的每个账户指定账户 ID 和电子邮件地址。例如:
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
其中 us-east-1 是将账户添加为成员账户的区域(美国东部(弗吉尼亚州北部)区域),而 account 参数为账户指定账户 ID (123456789012) 和电子邮件地址 (janedoe@example.com)。
如果您的请求成功,则指定账户的状态 (relationshipStatus) 将更改为您的账户清单中的 Enabled。
暂停组织成员账户的 Macie
作为 AWS Organizations 中组织的 Amazon Macie 管理员,您可以暂停组织成员账户的 Macie。如果您这样做,您也可以在以后为该账户重新启用 Macie。
当您暂停成员账户的 Macie 时:
-
在当前 AWS 区域 中,Macie 无法访问该账户的 Amazon S3 数据,并停止提供有关该账户的 Amazon S3 数据的元数据。
-
Macie 停止在该区域中为账户执行所有活动。这包括监控 S3 存储桶的安全性和访问控制、执行自动敏感数据发现,以及运行当前正在进行的敏感数据发现作业。
-
Macie 会取消该账户在该区域创建的所有敏感数据发现作业。作业取消后无法恢复或重新启动。如果您创建的作业是为了分析成员账户拥有的数据,Macie 不会取消您的作业。相反,这些作业会跳过该账户拥有的资源。
账户被暂停后,Macie 会在相应区域保留该账户的 Macie 会话标识符、设置和资源。例如,该账户的调查发现保持不变,最长可在 90 天内不受影响。当 Macie 在适用区域的账户被暂停使用时,您的组织不会对该区域的账户产生 Macie 费用。
若要暂停组织中成员账户的 Macie
要暂停组织中成员账户的 Macie,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
- Console
-
按照以下步骤使用 Amazon Macie 控制台暂停成员账户的 Macie。
确认暂停后,账户清单中的账户状态会更改为已暂停(已挂起)。
在要暂停账户 Macie 的每个附加区域中重复上述步骤。
- API
-
要以编程方式暂停成员账户的 Macie,请使用 Amazon Macie API 的 UpdateMemberSession 操作。
提交请求时,请使用 id 参数为要暂停 Macie 的 AWS 账户 指定 12 位数的账户 ID。对于 status 参数,将 PAUSED 指定为 Macie 账户的新状态。此外,请指定请求适用的区域。要在其他区域暂停账户,请在每个其他区域提交您的申请。
要检索要暂停的账户的账户 ID,您可以使用 Amazon Macie API 的 ListMembers 操作。如果执行此操作,请考虑通过在请求中包含 onlyAssociated 参数来筛选结果。如果将此参数的值设置为 true,则 Macie 将返回一个 members 数组,该数组仅提供有关当前为成员账户的账户的详细信息。
要使用 AWS CLI 暂停成员账户的 Macie,请运行 update-member-session 命令。使用 region 参数指定要暂停 Macie 的区域,并使用 id 参数指定要暂停 Macie 的 AWS 账户 的账户 ID。对于 status 参数,请指定 PAUSED。例如:
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
其中 us-east-1 是要暂停 Macie 的区域(美国东部(弗吉尼亚州北部)区域),而 123456789012 是要暂停 Macie 的账户的账户 ID,PAUSED 是该账户的 Macie 的新状态。
如果请求成功,Macie 将返回空响应,并且指定账户的状态将在账户清单中更改为 Paused。
从组织中删除 Macie 成员账户
如果您想停止访问成员账户的 Amazon Macie 设置、数据和资源,可以将该账户作为 Macie 成员账户移除。为此,请取消该账户与 Macie 管理员账户的关联。请注意,只有您才能为成员账户执行此操作。AWS Organizations 成员账户无法与其 Macie 管理员账户取消关联。
当您移除 Macie 成员账户时,Macie 在当前 AWS 区域 中仍处于启用状态。但是,该账户已与您的 Macie 管理员账户取消关联,它成为独立的 Macie 账户。这意味着您将无法访问该账户的所有 Macie 设置、数据和资源,包括该账户 Amazon S3 数据的元数据和策略调查发现。这也意味着您无法再使用 Macie 发现账户拥有的 S3 存储桶中的敏感数据。如果您已经创建了敏感的发现作业来执行此操作,则这些作业会跳过该账户拥有的存储桶。如果您为账户启用了自动敏感数据发现,您和成员账户都将无法访问统计数据、库存数据以及 Macie 在为账户执行自动发现功能时生成和直接提供的其他信息。
移除 Macie 成员账户后,该账户将继续出现在您的账户库存中。Macie 不会通知账户所有者您已删除该账户。您可以稍后再将该账户添加到您的组织中。如果您在 30 天内添加账户并为其启用自动敏感数据发现,您还可以重新访问 Macie 以前在为账户执行自动发现时生成和直接提供的数据和信息。
从组织中删除 Macie 成员账户
要从您的组织中移除 Macie 成员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
- Console
-
按照以下步骤使用 Amazon Macie 主机删除 Macie 成员账户。
确认选择后,账户清单中的账户状态会更改为已移除(已解除关联)。
在您要移除成员账户的每个附加区域中重复上述步骤。
- API
-
要以编程方式移除 Macie 成员账户,请使用 Amazon Macie API 的 DisassociateMember 操作。
提交请求时,请使用 id 参数为要移除的成员账户指定 12 位数的 AWS 账户 ID。此外,请指定请求适用的区域。要移除其他区域的账户,请在每个其他区域提交您的申请。
要检索要移除的成员账户的账户 ID,您可以使用 Amazon Macie API 的 ListMembers 操作。如果执行此操作,请考虑通过在请求中包含 onlyAssociated 参数来筛选结果。如果将此参数的值设置为 true,则 Macie 将返回一个 members 数组,该数组仅提供有关当前是 Macie 成员账户的账户的详细信息。
要使用 AWS CLI 移除 Macie 成员账户,请运行 disassociate-member 命令。使用 region 参数指定要移除账户的区域。使用 id 参数为要移除的成员账户指定账户 ID。例如:
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
其中 us-east-1 是要移除账户的区域(美国东部(弗吉尼亚州北部)区域),123456789012 是要移除的账户的账户 ID。
如果请求成功,Macie 将返回空响应,并且指定账户的状态将在账户清单中更改为 Removed。
