在 Macie 中集成和配置组织
要开始将 Amazon Macie 与 AWS Organizations 一起使用,组织的 AWS Organizations 管理账户将指定一个账户作为该组织的委派 Macie 管理员账户。这将启用 Macie 作为 AWS Organizations 中的可信服务。它还为指定的管理员账户启用当前 AWS 区域中的 Macie,并允许指定的管理员账户为该区域组织中的其他账户启用和管理 Macie。有关如何授予这些权限的信息,请参阅 AWS Organizations 用户指南中的将 AWS Organizations 与其他 AWS 服务一起使用。
然后,委派的 Macie 管理员在 Macie 中配置组织,主要是通过添加该组织的账户作为该区域中的 Macie 成员账户。然后,管理员可以访问该区域中这些账户的某些 Macie 设置、数据和资源。他们还可以执行自动敏感数据发现,并运行敏感数据发现作业来检测账户拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶中的敏感数据。
本主题说明如何为组织指定委托的 Macie 管理员以及如何添加该组织的账户作为 Macie 成员账户。在执行这些任务之前,请确保您了解 Macie 管理员账户和成员账户之间的关系。查看将 Macie 与 AWS Organizations 一起使用的注意事项和建议也是一个好主意。
要在多个区域中整合和配置组织,AWS Organizations 管理账户和委派的 Macie 管理员会在每个其他区域中重复这些步骤。
步骤 1:验证权限
在为组织指定委派的 Macie 管理员账户之前,请确认您(作为 AWS Organizations 管理账户的用户)是否被允许执行以下 Macie 操作:macie2:EnableOrganizationAdminAccount
。此操作允许您使用 Macie 为您的组织指定委派的 Macie 管理员账户。
另请验证您是否有权执行以下 AWS Organizations 操作:
-
organizations:DescribeOrganization
-
organizations:EnableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
-
organizations:RegisterDelegatedAdministrator
这些操作允许您:检索有关您的组织的信息;将 Macie 与 AWS Organizations 集成;检索有关您已将哪些 AWS 服务 与 AWS Organizations 集成的信息;以及为您的组织指定一个委托的 Macie 管理员账户。
要授予这些权限,请在您的账户的 AWS Identity and Access Management (IAM) 策略中包括以下语句:
{ "Sid": "Grant permissions to designate a delegated Macie administrator", "Effect": "Allow", "Action": [ "macie2:EnableOrganizationAdminAccount", "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListAWSServiceAccessForOrganization", "organizations:RegisterDelegatedAdministrator" ], "Resource": "*" }
如果您想要将您AWS Organizations的管理账户指定为组织的委派 Macie 管理员账户,您的账户还需要执行以下 IAM 操作的权限:CreateServiceLinkedRole
。此操作允许您为管理账户启用 Macie。但是,基于 AWS 安全最佳实践和最低权限原则,我们不建议您这样做。
如果您决定授予此权限,请将以下语句添加到您的 AWS Organizations 管理账户的 IAM policy 中:
{ "Sid": "Grant permissions to enable Macie", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::
111122223333
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie", "Condition": { "StringLike": { "iam:AWSServiceName": "macie.amazonaws.com" } } }
在语句中,将 111122223333
替换为管理账户的账户 ID。
如果要在某个选择加入型 AWS 区域(默认情况下被禁用的区域)中管理 Macie,则还要更新 Resource
元素和 iam:AWSServiceName
条件中的 Macie 服务主体值。该值必须指定该区域的区域代码。例如,要管理中东(巴林)区域(区域代码为 me-south-1)中的 Macie,请执行以下操作:
-
在
Resource
元素中,请将arn:aws:iam::
111122223333
:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie替换为
arn:aws:iam::
111122223333
:role/aws-service-role/macie.me-south-1
.amazonaws.com/AWSServiceRoleForAmazonMacie其中
111122223333
指定了管理账户的账户 ID,me-south-1
指定了该区域的区域代码。 -
在
iam:AWSServiceName
条件中,请将macie.amazonaws.com
替换为macie.
,其中me-south-1
.amazonaws.com.rproxy.goskope.comme-south-1
指定了该地区的区域代码。
有关 Macie 当前可用区域的列表以及每个区域的区域代码,请参阅 AWS 一般参考 中的 Amazon Macie 端点和限额。要确定某个区域是否为可选区域,请参阅《AWS Account Management 用户指南》中的在您的账户中启用或禁用 AWS 区域。
步骤 2:为组织指定委派的 Macie 管理员账户
验证权限后,您(作为 AWS Organizations 管理账户的用户)可以为您的组织指定委派的 Macie 管理员账户。
为组织指定委派的 Macie 管理员账户
要为您的组织指定委派 Macie 管理员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有 AWS Organizations 管理账户的用户才能执行此任务。
为组织指定 Macie 管理员账户后,Macie 管理员便可以开始在 Macie 中配置组织。
步骤 3:自动启用并添加新组织账户作为 Macie 成员账户
默认情况下,在 AWS Organizations 中将新账户添加到您的组织时,不会自动为这些账户启用 Macie。此外,不会自动添加这些账户作为 Macie 成员账户。这些账户会显示在 Macie 管理员的账户清单中。但是,不一定要为这些账户启用 Macie,Macie 管理员也不一定能访问这些账户的 Macie 设置、数据和资源。
如果您是该组织的委派 Macie 管理员,则可以更改这个配置设置。您可以为您的组织开启自动启用功能。如果这样做,在 AWS Organizations 中将新账户添加到您的组织时,不会自动为这些账户启用 Macie。此外,这些账户不会作为成员账户自动与您的 Macie 管理员账户关联。开启此设置不会影响组织中的现有账户。要为现有账户启用和管理 Macie,必须手动添加这些账户作为 Macie 成员账户。下一步介绍如何执行此操作。
注意
如果您打开了自动启用功能,请注意以下例外情况:如果新账户已与其他 Macie 管理员账户关联,则 Macie 不会自动添加该账户作为组织中的成员账户。该账户必须先取消与其当前 Macie 管理员账户的关联,然后才能在 Macie 中加入您的组织。然后,您可以手动添加该账户。要确定存在这种情况的账户,您可以为您的组织查看账户清单。
自动启用并添加新组织账户作为 Macie 成员账户
要自动启用并添加新账户作为 Macie 成员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。
步骤 4:启用并添加现有组织账户作为 Macie 成员账户
在将 Macie 与 AWS Organizations 集成时,不会自动为组织中的所有现有账户启用 Macie。此外,这些账户不会作为 Macie 成员账户自动与委派的 Macie 管理员账户关联。因此,在 Macie 中集成和配置组织的最后一步是添加现有组织账户作为 Macie 成员账户。当您添加现有账户作为 Macie 成员账户时,系统会自动为该账户启用 Macie,并且您(作为委派的 Macie 管理员)可以访问该账户的某些 Macie 设置、数据和资源。
请注意,您无法添加当前与其他 Macie 管理员账户关联的账户。要添加账户,请与账户所有者合作,以先取消该账户与其当前管理员账户的关联。此外,如果 Macie 当前被暂停使用现有账户,则无法添加该账户。账户所有者必须先为账户重新启用 Macie。最后,如果您要添加 AWS Organizations 管理账户作业为成员账户,该账户的用户必须首先为该账户启用 Macie。
启用并添加现有组织账户作为 Macie 成员账户
要启用并添加现有组织账户作为 Macie 成员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。