變更組織的 Macie 管理員帳戶 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更組織的 Macie 管理員帳戶

在 Amazon Macie 中整合和設定 AWS Organizations 組織後, AWS Organizations 管理帳戶可以指定不同的帳戶做為組織的委派 Macie 管理員帳戶。然後,新的 Macie 管理員可以再次在 Macie 中設定組織。

身為 組織的 AWS Organizations 管理帳戶使用者,請確認您符合下列許可要求,然後再為組織指定不同的 Macie 管理員帳戶:

  • 您必須擁有最初為組織指定 Macie 管理員帳戶所需的相同許可。您也必須被允許執行下列 AWS Organizations 動作:organizations:DeregisterDelegatedAdministrator。此額外動作可讓您移除目前的指定項目。

  • 如果您的帳戶目前是 Macie 成員帳戶,目前的 Macie 管理員必須將您的帳戶移除為 Macie 成員帳戶。否則,您將無法存取 Macie 操作來指定不同的管理員帳戶。指定新的管理員帳戶後,新的 Macie 管理員可以再次將您的帳戶新增為 Macie 成員帳戶。

如果您的組織在多個 中使用 Macie AWS 區域,也請確定您在組織使用 Macie 的每個區域中變更指定。委派的 Macie 管理員帳戶在所有這些區域中都必須相同。如果您在 中管理多個組織 AWS Organizations,也請注意,帳戶一次只能為一個組織的委派 Macie 管理員帳戶。若要了解其他需求,請參閱 搭配 Macie 使用 的考量事項 AWS Organizations

注意

當您為組織指定不同的 Macie 管理員帳戶時,您也會停用存取現有的統計資料、庫存資料,以及 Macie 在為組織中的帳戶執行自動敏感資料探索時所產生和直接提供的其他資訊。新的 Macie 管理員無法存取現有的資料。如果您變更指定,且新的 Macie 管理員啟用帳戶自動探索,則 Macie 會在帳戶執行自動探索時產生和維護新資料。

變更 Macie 管理員帳戶的指定

若要為您的組織指定不同的 Macie 管理員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie 和 AWS Organizations APIs的組合。只有 AWS Organizations 管理帳戶的使用者可以變更其組織的指定。

Console

請依照下列步驟,使用 Amazon Macie 主控台變更指定項目。

變更指定項目

  1. AWS Management Console 使用您的 AWS Organizations 管理帳戶登入 。

  2. 使用頁面右上角的 AWS 區域 選取器,選擇您要變更指定項目的區域。

  3. https://console.aws.amazon.com/macie/:// 開啟 Amazon Macie 主控台。

  4. 根據目前區域中的管理帳戶是否啟用 Macie,執行下列其中一項操作:

    • 如果 Macie 未啟用,請選擇歡迎頁面上的開始使用

    • 如果啟用 Macie,請在導覽窗格中選擇設定

  5. 委派管理員下,選擇移除。若要變更指定,您必須先移除目前的指定。

  6. 確認您要移除目前的指定。

  7. 委派管理員下,輸入 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

  8. 選擇委派

在您整合 Macie 的每個額外區域中重複上述步驟 AWS Organizations。

API

若要以程式設計方式變更指定,您可以使用 Amazon Macie API 的兩個操作和 AWS Organizations API 的一個操作。這是因為您必須在提交新的指定 AWS Organizations 之前,移除 Macie 和 中的目前指定。

若要移除目前的指定項目:

  1. 使用 Macie API 的 DisableOrganizationAdminAccount 操作。針對必要的adminAccountId參數,指定目前指定為組織 Macie 管理員帳戶的 AWS 帳戶 12 位數帳戶 ID。

  2. 使用 API 的 AWS Organizations DeregisterDelegatedAdministrator 操作。針對 AccountId 參數,指定目前指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。此值應與您在上述 Macie 請求中指定的帳戶 ID 相符。針對 ServicePrincipal 參數,指定 Macie 服務主體 (macie.amazonaws.com)。

移除目前的指定之後,請使用 Macie API 的 EnableOrganizationAdminAccount 操作來提交新的指定。針對必要的adminAccountId參數,指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

若要使用 AWS Command Line Interface (AWS CLI) 變更指定,請執行 Macie API 的 disable-organization-admin-account 命令和 AWS Organizations API 的 deregister-delegated-administrator 命令。這些命令會 AWS Organizations分別移除 Macie 和 中的目前指定項目。針對 admin-account-idaccount-id 參數,指定 AWS 帳戶 要移除的 12 位數帳戶 ID,做為目前的 Macie 管理員帳戶。使用 region 參數指定移除套用的區域。例如:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

其中:

  • us-east-1 是移除套用至美國東部 (維吉尼亞北部) 區域的區域。

  • 111122223333 是做為 Macie 管理員帳戶移除的帳戶 ID。

  • macie.amazonaws.com 是 Macie 服務主體。

移除目前的指定之後,請執行 Macie API 的 enable-organization-admin-account 命令來提交新的指定。針對 admin-account-id 參數,指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。使用 region 參數來指定套用指定的區域。例如:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

其中 us-east-1 是指定適用的區域 (美國東部 (維吉尼亞北部) 區域),而 444455556666 是要指定為新 Macie 管理員帳戶的帳戶 ID。