在 Macie 中集成和配置组织

要开始将 Amazon Macie 与 AWS Organizations 一起使用，组织的 AWS Organizations 管理账户将指定一个账户作为该组织的委派 Macie 管理员账户。这将启用 Macie 作为 AWS Organizations 中的可信服务。它还为指定的管理员账户启用当前 AWS 区域中的 Macie，并允许指定的管理员账户为该区域组织中的其他账户启用和管理 Macie。有关如何授予这些权限的信息，请参阅 AWS Organizations 用户指南中的将 AWS Organizations 与其他 AWS 服务一起使用。

然后，委派的 Macie 管理员在 Macie 中配置组织，主要是通过添加该组织的账户作为该区域中的 Macie 成员账户。然后，管理员可以访问该区域中这些账户的某些 Macie 设置、数据和资源。他们还可以执行自动敏感数据发现，并运行敏感数据发现作业来检测账户拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶中的敏感数据。

本主题说明如何为组织指定委托的 Macie 管理员以及如何添加该组织的账户作为 Macie 成员账户。在执行这些任务之前，请确保您了解 Macie 管理员账户和成员账户之间的关系。查看将 Macie 与 AWS Organizations 一起使用的注意事项和建议也是一个好主意。

要在多个区域中整合和配置组织，AWS Organizations 管理账户和委派的 Macie 管理员会在每个其他区域中重复这些步骤。

步骤 1：验证权限

在为组织指定委派的 Macie 管理员账户之前，请确认您（作为 AWS Organizations 管理账户的用户）是否被允许执行以下 Macie 操作：macie2:EnableOrganizationAdminAccount。此操作允许您使用 Macie 为您的组织指定委派的 Macie 管理员账户。

另请验证您是否有权执行以下 AWS Organizations 操作：

这些操作允许您：检索有关您的组织的信息；将 Macie 与 AWS Organizations 集成；检索有关您已将哪些 AWS 服务 与 AWS Organizations 集成的信息；以及为您的组织指定一个委托的 Macie 管理员账户。

要授予这些权限，请在您的账户的 AWS Identity and Access Management (IAM) 策略中包括以下语句：

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

如果您想要将您AWS Organizations的管理账户指定为组织的委派 Macie 管理员账户，您的账户还需要执行以下 IAM 操作的权限：CreateServiceLinkedRole。此操作允许您为管理账户启用 Macie。但是，基于 AWS 安全最佳实践和最低权限原则，我们不建议您这样做。

如果您决定授予此权限，请将以下语句添加到您的 AWS Organizations 管理账户的 IAM policy 中：

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

在语句中，将 111122223333 替换为管理账户的账户 ID。

如果要在某个选择加入型 AWS 区域（默认情况下被禁用的区域）中管理 Macie，则还要更新 Resource 元素和 iam:AWSServiceName 条件中的 Macie 服务主体值。该值必须指定该区域的区域代码。例如，要管理中东（巴林）区域（区域代码为 me-south-1）中的 Macie，请执行以下操作：

有关 Macie 当前可用区域的列表以及每个区域的区域代码，请参阅 AWS 一般参考 中的 Amazon Macie 端点和限额。要确定某个区域是否为可选区域，请参阅《AWS Account Management 用户指南》中的在您的账户中启用或禁用 AWS 区域。

步骤 2：为组织指定委派的 Macie 管理员账户

验证权限后，您（作为 AWS Organizations 管理账户的用户）可以为您的组织指定委派的 Macie 管理员账户。

为组织指定委派的 Macie 管理员账户

要为您的组织指定委派 Macie 管理员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有 AWS Organizations 管理账户的用户才能执行此任务。

Console

请按照以下步骤操作，使用 Amazon Macie 控制台指定 Macie 委派管理员账户。

指定委派的 Macie 管理员账户

1. 使用 AWS Organizations 管理账户登录 AWS Management Console。

2. 通过使用页面右上角的 AWS 区域 选择器，选择您要在其中为您的组织指定委派 Macie 管理员账户的区域。

3. 通过以下网址打开 Amazon Macie 控制台：https://console.aws.amazon.com/macie/。

4. 根据您的管理账户在当前区域中是否启用 Macie，执行以下操作之一：

   • 如果未启用 Macie，请在欢迎页面上选择开始使用。

   • 如果已启用 Macie，请在导航窗格中选择设置。

5. 在委托管理员下方，为要指定为 Macie 管理员账户的 AWS 账户输入 12 位数账户 ID。

6. 选择 Delegate（指定）。

在您想要将组织与 Macie 集成的每个其他区域中重复上述步骤。您必须在每个区域中指定相同的 Macie 管理员账户。

API

要以编程方式指定委派的 Macie 管理员账户，请使用 Amazon Macie API 的 EnableOrganizationAdminAccount 操作。要在多个区域中指定账户，请为要在其中将您的组织与 Macie 集成的每个区域提交该指定。您必须在每个区域中指定相同的 Macie 管理员账户。

当您提交指定时，请使用所需 adminAccountId 参数为要指定为组织的 Macie 管理员账户的 AWS 账户指定 12 位账户 ID。另外，请务必指定该指定所适用的区域。

要通过使用 AWS Command Line Interface (AWS CLI) 指定 Macie 管理员账户，请运行 enable-organization-admin-account 命令。对于 admin-account-id 参数，请为要指定的 AWS 账户指定 12 位账户 ID。使用 region 参数指定该指定所适用的区域。例如：

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

其中 us-east-1 是该指定适用的区域（美国东部（弗吉尼亚州北部）区域），111122223333 是要指定的账户的账户 ID。

为组织指定 Macie 管理员账户后，Macie 管理员便可以开始在 Macie 中配置组织。

步骤 3：自动启用并添加新组织账户作为 Macie 成员账户

默认情况下，在 AWS Organizations 中将新账户添加到您的组织时，不会自动为这些账户启用 Macie。此外，不会自动添加这些账户作为 Macie 成员账户。这些账户会显示在 Macie 管理员的账户清单中。但是，不一定要为这些账户启用 Macie，Macie 管理员也不一定能访问这些账户的 Macie 设置、数据和资源。

如果您是该组织的委派 Macie 管理员，则可以更改这个配置设置。您可以为您的组织开启自动启用功能。如果这样做，在 AWS Organizations 中将新账户添加到您的组织时，不会自动为这些账户启用 Macie。此外，这些账户不会作为成员账户自动与您的 Macie 管理员账户关联。开启此设置不会影响组织中的现有账户。要为现有账户启用和管理 Macie，必须手动添加这些账户作为 Macie 成员账户。下一步介绍如何执行此操作。

自动启用并添加新组织账户作为 Macie 成员账户

要自动启用并添加新账户作为 Macie 成员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

Console

要使用控制台执行此任务，必须允许您执行以下 AWS Organizations 操作：organizations:ListAccounts。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限，请按照以下步骤自动启用并添加新组织账户作为 Macie 成员账户。

自动启用并添加新组织账户

1. 通过以下网址打开 Amazon Macie 控制台：https://console.aws.amazon.com/macie/。

2. 通过使用页面右上角的 AWS 区域 选择器，选择要在其中自动启用并添加新账户作为 Macie 成员账户的区域。

3. 在导航窗格中，选择账户。

4. 在账户页面的新账户部分，选择编辑。

5. 在编辑新账户设置对话框中，选择启用 Macie。

   要同时对新成员账户自动启用自动敏感数据发现，请选择启用自动敏感数据发现。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 执行自动敏感数据发现。

6. 选择保存。

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

若要随后更改这些设置，请重复上述步骤并清除每个设置的复选框。

API

要以编程方式自动启用并添加新的 Macie 成员账户，请使用 Amazon Macie API 的 UpdateOrganizationConfiguration 操作。提交请求时，将 autoEnable 参数的值设置为 true。（默认值为 false。） 另外，请务必指定您的请求适用的区域。要在其他区域中自动启用并添加新账户，请为每个其他区域提交请求。

如果您使用 AWS CLI 来提交请求，请运行 update-organization-configuration 命令并指定 auto-enable 参数以自动启用并添加新账户。例如：

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

其中 us-east-1 是自动在其中启用并添加新账户的区域，即美国东部（弗吉尼亚州北部）区域。

要随后更改此设置以及停止自动启用并添加新账户，请再次运行相同的命令并在每个适用区域中使用 no-auto-enable 参数，而不是 auto-enable 参数。

您还可以为新成员账户自动启用自动敏感数据发现。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 执行自动敏感数据发现。要为成员账户自动启用此功能，请使用 UpdateAutomatedDiscoveryConfiguration 操作，如果使用的是 AWS CLI，请运行 update-automated-discovery-configuration 命令。

步骤 4：启用并添加现有组织账户作为 Macie 成员账户

在将 Macie 与 AWS Organizations 集成时，不会自动为组织中的所有现有账户启用 Macie。此外，这些账户不会作为 Macie 成员账户自动与委派的 Macie 管理员账户关联。因此，在 Macie 中集成和配置组织的最后一步是添加现有组织账户作为 Macie 成员账户。当您添加现有账户作为 Macie 成员账户时，系统会自动为该账户启用 Macie，并且您（作为委派的 Macie 管理员）可以访问该账户的某些 Macie 设置、数据和资源。

请注意，您无法添加当前与其他 Macie 管理员账户关联的账户。要添加账户，请与账户所有者合作，以先取消该账户与其当前管理员账户的关联。此外，如果 Macie 当前被暂停使用现有账户，则无法添加该账户。账户所有者必须先为账户重新启用 Macie。最后，如果您要添加 AWS Organizations 管理账户作业为成员账户，该账户的用户必须首先为该账户启用 Macie。

启用并添加现有组织账户作为 Macie 成员账户

要启用并添加现有组织账户作为 Macie 成员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

Console

要使用控制台执行此任务，必须允许您执行以下 AWS Organizations 操作：organizations:ListAccounts。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限，请按照以下步骤启用并添加现有账户作为 Macie 成员账户。

启用并添加现有组织账户

1. 通过以下网址打开 Amazon Macie 控制台：https://console.aws.amazon.com/macie/。

2. 通过使用页面右上角的 AWS 区域 选择器，选择要在其中启用并添加现有账户作为 Macie 成员账户的区域。

3. 在导航窗格中，选择账户。账户页面将打开并显示与您的 Macie 账户关联的账户表。

   如果账户属于 AWS Organizations 中的组织，则其类型为通过 AWS Organizations。如果账户已是 Macie 成员账户，则其状态为已启用或已暂停（已暂停）。

4. 在现有账户表中，选中要添加为 Macie 成员账户的每个账户的复选框。

5. 在操作菜单上，选择添加成员。

6. 确认您要添加所选账户作为成员账户。

在确认添加所选账户后，账户的状态将更改为正在启用，然后更改为已启用。添加成员账户后，还可以为账户启用自动敏感数据发现：在现有账户表中，选中要为其启用的每个账户的复选框，然后在操作菜单上选择启用自动敏感数据发现。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 执行自动敏感数据发现。

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

API

要以编程方式启用并添加一个或多个现有账户作为 Macie 成员账户，请使用 Amazon Macie API 的 CreateMember 操作。提交请求时，请使用支持的参数指定要启用并添加的每个 AWS 账户的 12 位数账户 ID 和电子邮件地址。此外，请指定请求适用的区域。要在其他区域中启用并添加现有账户，请提交每个其他区域的请求。

要检索待启用并添加的 AWS 账户的账户 ID 和电子邮件地址，您可以选择使用 Amazon Macie API 的 ListMembers 操作。此操作提供有关与您的 Macie 账户关联的账户的详细信息，包括非 Macie 成员账户的账户。如果账户 relationshipStatus 属性的值不是 Enabled 或 Paused，则该账户不是 Macie 成员账户。

要通过使用 AWS CLI 来启用并添加一个或多个现有账户，请运行 create-member 命令。使用region参数指定要在其中启用并添加账户的区域。使用 account 参数指定要添加的每个 AWS 账户 的账户 ID 和电子邮件地址。例如：

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

其中 us-east-1 是要在其中启用并添加账户作为 Macie 成员账户的区域（美国东部（弗吉尼亚州北部）区域），account参数为该账户指定账户 ID (123456789012) 和电子邮件地址 (janedoe@example.com）。

如果您的请求成功，则指定账户的状态 (relationshipStatus) 将更改为您的账户清单中的 Enabled。

要同时为一个或多个账户启用自动敏感数据发现，请使用 BatchUpdateAutomatedDiscoveryAccounts 操作，或者，如果您使用的是 AWS CLI，请运行 batch-update-automated-discovery-accounts 命令。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 执行自动敏感数据发现。