變更組織的 Macie 管理員帳戶 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更組織的 Macie 管理員帳戶

在 Amazon Macie 中整合和設定 AWS Organizations 組織後, AWS Organizations 管理帳戶可以指定不同的帳戶作為組織的委派 Macie 管理員帳戶。

作為組織的 AWS Organizations 管理帳戶使用者,在為組織指定不同的 Macie 管理員帳戶之前,請確認您符合下列許可要求:

  • 您必須具有初始為組織指定 Macie 管理員帳戶所需的相同許可。您也必須被允許執行下列 AWS Organizations 動作:organizations:DeregisterDelegatedAdministrator。此額外動作可讓您移除目前的指定。

  • 如果您的帳戶目前是 Macie 成員帳戶,目前的 Macie 管理員必須將您的帳戶移除為 Macie 成員帳戶。否則,您將無法存取 Macie 操作來指定不同的管理員帳戶。指定新的管理員帳戶後,新的 Macie 管理員可以再次將您的帳戶新增為 Macie 成員帳戶。

如果您的組織在多個 中使用 Macie AWS 區域,也請確定您在組織使用 Macie 的每個區域中變更委派的 Macie 管理員帳戶。委派的 Macie 管理員帳戶在所有這些區域中都必須相同。如果您在 中管理多個組織 AWS Organizations,也請注意,帳戶一次只能為一個組織的委派 Macie 管理員帳戶。若要了解其他需求,請參閱 使用 Macie 搭配使用的注意事項 AWS Organizations

注意

當您為組織指定不同的 Macie 管理員帳戶時,您也會停用對 Macie 在為組織中的帳戶執行自動敏感資料探索時產生和直接提供之現有統計資料、庫存資料和其他資訊的存取權。新的 Macie 管理員帳戶無法存取現有資料。如果您變更指定,且新的 Macie 管理員啟用帳戶自動探索,Macie 會在帳戶執行自動探索時產生和維護新資料。

變更組織的 Macie 管理員帳戶指定

若要為組織指定不同的 Macie 管理員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie 和 的組合 AWS Organizations APIs。只有 AWS Organizations 管理帳戶的使用者才能變更其組織的指定。

Console

若要使用 Amazon Macie 主控台變更指定,請依照下列步驟進行。

變更 Macie 管理員帳戶指定
  1. AWS Management Console 使用您的 AWS Organizations 管理帳戶登入 。

  2. 使用頁面右上角的 AWS 區域 選取器,選擇要變更指定項目的區域。

  3. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  4. 執行下列其中一項操作,視目前區域中的管理帳戶是否已啟用 Macie:

    • 如果 Macie 未啟用,請在歡迎頁面上選擇開始使用

    • 如果啟用 Macie,請在導覽窗格中選擇設定

  5. 委派管理員 下,選擇移除 。若要變更指定,您必須先移除目前的指定。

  6. 確認您要移除目前的指定。

  7. 委派管理員 下,輸入 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

  8. 選擇委派

在您將 Macie 與 整合的每個額外區域中,重複上述步驟 AWS Organizations。

API

若要以程式設計方式變更指定,您可以使用 Amazon Macie 的兩個操作API和 的一個操作 AWS Organizations API。這是因為您必須在提交新指定 AWS Organizations 之前,在 Macie 和 中移除目前的指定。

若要移除目前的指定項目:

  1. 使用 Macie DisableOrganizationAdminAccount的操作API。針對必要的adminAccountId參數,指定目前指定為組織 Macie 管理員帳戶的 AWS 帳戶 12 位數帳戶 ID。

  2. 使用 DeregisterDelegatedAdministrator的操作 AWS Organizations API。針對 AccountId 參數,指定目前指定為組織 Macie 管理員帳戶之帳戶的 12 位數帳戶 ID。此值應與您在先前 Macie 請求中指定的帳戶 ID 相符。針對 ServicePrincipal 參數,指定 Macie 服務主體 (macie.amazonaws.com)。

移除目前的指定之後,請使用 Macie EnableOrganizationAdminAccount的操作來提交新的指定API。針對所需的adminAccountId參數,指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

若要使用 變更指定AWS CLI,請執行 Macie 的 disable-organization-admin-account命令API和 的 deregister-delegated-administrator命令 AWS Organizations API。這些命令會 AWS Organizations分別移除 Macie 和 中的目前指定。對於 admin-account-idaccount-id 參數,請指定 的 12 位數帳戶 ID AWS 帳戶 ,以將 移除為目前的 Macie 管理員帳戶。使用 region 參數來指定移除套用至的區域。例如:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

其中:

  • us-east-1 是移除套用至美國東部 (維吉尼亞北部) 區域的 區域。

  • 111122223333 是作為 Macie 管理員帳戶移除的帳戶 ID。

  • macie.amazonaws.com 是 Macie 服務主體。

移除目前的指定之後,請執行 Macie 的 enable-organization-admin-account命令來提交新的指定API。針對 admin-account-id 參數,指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。使用 region 參數來指定指定套用的區域。例如:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

位置 us-east-1 是 指定適用的區域 (美國東部 (維吉尼亞北部) 區域),以及 444455556666 是要指定為新 Macie 管理員帳戶的帳戶 ID。