本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Macie 中整合和設定 AWS Organizations 組織後,組織的委派 Macie 管理員可以存取成員帳戶的特定 Macie 設定、資料和資源。身為組織的 Macie 管理員,您可以使用 Macie 集中執行帳戶的特定帳戶管理和管理任務。例如,您可以:
-
新增和移除帳戶做為 Macie 成員帳戶。
-
管理個別帳戶的 Macie 狀態,例如為帳戶啟用或停用 Macie。
-
監控個別帳戶和組織整體的 Macie 配額和估計用量成本。
您也可以檢閱 Macie 成員帳戶的 Amazon Simple Storage Service (Amazon S3) 庫存資料和政策調查結果。您也可以在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需可執行任務的詳細清單,請參閱Macie 管理員和成員帳戶關係。
根據預設,Macie 可讓您查看組織中所有 Macie 成員帳戶的相關資料和資源。您也可以向下切入以檢閱個別帳戶的資料和資源。例如,如果您使用摘要儀表板來評估組織的 Amazon S3 安全狀態,您可以依帳戶篩選資料。同樣地,如果您監控預估用量成本,您可以存取個別成員帳戶的預估成本明細。
除了管理員和成員帳戶常見的任務之外,您還可以為組織執行各種管理任務。
身為組織的 Macie 管理員,您可以使用 Amazon Macie 主控台或 Amazon Macie API 來執行這些任務。如果您偏好使用 主控台,您必須被允許執行下列 AWS Organizations 動作:organizations:ListAccounts。此動作可讓您擷取和顯示屬於您組織一部分的帳戶資訊 AWS Organizations。
將 Macie 成員帳戶新增至組織
在某些情況下,您可能需要手動將 帳戶新增為 Amazon Macie 成員帳戶。對於您先前移除 (取消關聯) 做為成員帳戶的帳戶,這是這種情況。如果您未將 Macie 設定為在 中將帳戶新增至您的組織時自動啟用和新增新的成員帳戶,也是如此 AWS Organizations。
當您將 帳戶新增為 Macie 成員帳戶時:
-
如果 Macie 尚未在 區域中啟用 AWS 區域,則會為目前 中的帳戶啟用 Macie。
-
該帳戶作為 區域中的成員帳戶與您的 Macie 管理員帳戶相關聯。成員帳戶不會收到您在帳戶之間建立此關係的邀請或其他通知。
-
區域中的帳戶可能會啟用自動化敏感資料探索。這取決於您為組織指定的組態設定。如需詳細資訊,請參閱設定自動敏感資料探索。
請注意,您無法新增已與其他 Macie 管理員帳戶相關聯的帳戶。帳戶必須先取消與其目前管理員帳戶的關聯。此外,您無法將 AWS Organizations 管理帳戶新增為成員帳戶,除非該帳戶已啟用 Macie。若要了解其他需求,請參閱 搭配 Macie 使用 的考量事項 AWS Organizations。
將 Macie 成員帳戶新增至組織
若要將一或多個 Macie 成員帳戶新增至您的組織,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
請依照下列步驟,使用 Amazon Macie 主控台新增一或多個 Macie 成員帳戶。
新增 Macie 成員帳戶
在 https://console.aws.amazon.com/macie/
:// 開啟 Amazon Macie 主控台。 -
使用頁面右上角的 AWS 區域 選取器,選擇您要新增成員帳戶的 區域。
-
在導覽窗格中,選擇帳戶。帳戶頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。
-
(選用) 若要更輕鬆地識別組織中屬於您組織一部分且 AWS Organizations 不是 Macie 成員帳戶的帳戶,請使用現有帳戶資料表上方的篩選條件方塊來新增下列篩選條件:
-
類型 = 組織
-
狀態 = 不是成員
若要同時顯示您先前移除並可能想要新增為成員帳戶的帳戶,也請新增狀態 = 已移除的篩選條件。
-
-
在現有帳戶資料表中,選取您要新增為成員帳戶的每個帳戶的核取方塊。
-
在動作功能表中,選擇新增成員。
-
確認您要將選取的帳戶新增為成員帳戶。
確認選擇後,所選帳戶的狀態會變更為啟用進行中,然後在您的帳戶庫存中啟用。
若要在其他區域中新增成員帳戶,請在每個其他區域中重複上述步驟。
暫停組織中成員帳戶的 Macie
身為 中組織的 Amazon Macie 管理員 AWS Organizations,您可以暫停組織中成員帳戶的 Macie。如果您這樣做,您也可以稍後重新為帳戶啟用 Macie。
當您暫停成員帳戶的 Macie 時:
-
Macie 會失去對 的存取權,並停止提供目前帳戶 Amazon S3 資料的中繼資料 AWS 區域。
-
Macie 會停止為 區域中的帳戶執行所有活動。這包括監控 S3 儲存貯體的安全性和存取控制、執行自動敏感資料探索,以及執行目前正在進行的敏感資料探索任務。
-
Macie 會取消 區域中帳戶建立的所有敏感資料探索任務。任務在取消後無法繼續或重新啟動。如果您建立任務來分析成員帳戶擁有的資料,Macie 不會取消您的任務。相反地,任務會略過帳戶擁有的資源。
暫停時,Macie 會保留工作階段識別符、設定和資源,其會存放或維護適用區域中的帳戶。Macie 也會保留 區域中帳戶的特定資料。例如,帳戶的調查結果會保持不變,且不會受到影響長達 90 天。如果已為帳戶啟用自動敏感資料探索,現有結果也會保持不變,且不會受到影響長達 30 天。當 Macie 暫停該區域中的帳戶時,您的組織不會針對該區域中的帳戶產生 Macie 費用。
暫停組織中成員帳戶的 Macie
若要暫停組織中成員帳戶的 Macie,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
請依照下列步驟,使用 Amazon Macie 主控台來暫停成員帳戶的 Macie。
暫停成員帳戶的 Macie
在 https://console.aws.amazon.com/macie/
:// 開啟 Amazon Macie 主控台。 -
使用頁面右上角的 AWS 區域 選取器,選擇您要為成員帳戶暫停 Macie 的區域。
-
在導覽窗格中,選擇帳戶。帳戶頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。
-
在現有帳戶資料表中,選取要暫停 Macie 的帳戶核取方塊。
-
在動作功能表中,選擇暫停 Macie。
-
確認您要暫停帳戶的 Macie。
確認暫停後,帳戶的狀態會變更為帳戶庫存中暫停 (已暫停)。若要針對其他區域中的帳戶暫停 Macie,請在每個其他區域中重複上述步驟。
若要稍後重新啟用帳戶的 Macie,請返回 主控台上的帳戶頁面。選取帳戶的核取方塊,然後在動作功能表上選擇啟用 Macie。若要為其他區域中的帳戶重新啟用 Macie,請在每個其他區域中重複這些步驟。
從組織移除 Macie 成員帳戶
如果您想要停止存取成員帳戶的 Amazon Macie 設定、資料和資源,您可以將帳戶移除為 Macie 成員帳戶。您可以透過取消帳戶與 Macie 管理員帳戶的關聯來執行此操作。請注意,只有您可以為成員帳戶執行此操作。 AWS Organizations 成員帳戶無法與其 Macie 管理員帳戶取消關聯。
當您移除 Macie 成員帳戶時,Macie 仍會為目前帳戶啟用 AWS 區域。不過,帳戶會與您的 Macie 管理員帳戶取消關聯,並成為獨立的 Macie 帳戶。這表示您無法存取帳戶的所有 Macie 設定、資料和資源,包括帳戶的 Amazon S3 資料的中繼資料和政策調查結果。這也表示您無法再使用 Macie 來探索帳戶擁有之 S3 儲存貯體中的敏感資料。如果您已建立敏感資料探索任務來執行此操作,任務會略過帳戶擁有的儲存貯體。如果您為帳戶啟用自動敏感資料探索,您和成員帳戶都會失去存取 Macie 在為帳戶執行自動探索時所產生和直接提供統計資料、庫存資料和其他資訊的存取權。
移除 Macie 成員帳戶後,帳戶會繼續出現在您的帳戶庫存中。Macie 不會通知帳戶的擁有者您已移除帳戶。因此,請考慮聯絡帳戶擁有者,以確保他們開始管理其帳戶的設定和資源。
您可以稍後再次將 帳戶新增至您的組織。如果您這樣做,並在 30 天內再次為帳戶啟用自動敏感資料探索,您也可以重新取得 Macie 先前產生和直接提供的資料和資訊的存取權,同時為帳戶執行自動探索。此外,現有任務的後續執行會再次開始包含帳戶的 S3 儲存貯體。
從組織移除 Macie 成員帳戶
若要從您的組織移除 Macie 成員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
請依照下列步驟,使用 Amazon Macie 主控台移除 Macie 成員帳戶。
移除 Macie 成員帳戶
在 https://console.aws.amazon.com/macie/
:// 開啟 Amazon Macie 主控台。 -
使用頁面右上角的 AWS 區域 選取器,選擇您要移除成員帳戶的區域。
-
在導覽窗格中,選擇帳戶。帳戶頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。
-
在現有帳戶資料表中,選取您要移除為成員帳戶之帳戶的核取方塊。
-
在動作功能表中,選擇取消關聯帳戶。
-
確認您想要將所選帳戶移除為成員帳戶。
確認選擇後,帳戶庫存中的帳戶狀態會變更為已移除 (已取消關聯)。
若要移除其他區域中的成員帳戶,請在每個其他區域中重複上述步驟。
