本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理組織的 Macie 成員帳戶
在 Amazon Macie 中整合和設定 AWS Organizations 組織後,組織的委派 Macie 管理員可以存取成員帳戶的特定 Macie 設定、資料和資源。身為組織的 Macie 管理員,您可以使用 Macie 集中執行帳戶的特定帳戶管理工作。例如,您可以:
您也可以檢閱 Macie 成員帳戶的 Amazon Simple Storage Service (Amazon S3) 庫存資料和政策調查結果。您也可以在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需可執行任務的詳細清單,請參閱 Macie 管理員和成員帳戶關係。
根據預設,Macie 可讓您查看組織中所有 Macie 成員帳戶的相關資料和資源。您也可以向下切入以檢閱個別帳戶的資料和資源。例如,如果您使用摘要儀表板來評估組織的 Amazon S3 安全狀態,您可以依帳戶篩選資料。同樣地,如果您監控預估用量成本 ,您可以存取個別成員帳戶的預估成本明細。
除了管理員和成員帳戶常見的任務之外,您還可以為組織執行各種管理任務。
身為組織的 Macie 管理員,您可以使用 Amazon Macie 主控台或 Amazon Macie 來執行這些任務API。如果您偏好使用 主控台,您必須執行下列 AWS Organizations 動作:organizations:ListAccounts。此動作可讓您擷取和顯示 中屬於您組織一部分之帳戶的相關資訊 AWS Organizations。
將 Macie 成員帳戶新增至組織
在某些情況下,您可能需要手動將帳戶新增為 Amazon Macie 成員帳戶。對於您先前移除 (取消關聯) 作為成員帳戶的帳戶,這是這種情況。如果您未將 Macie 設定為在 中將帳戶新增至您的組織時自動啟用和新增新的成員帳戶,也會發生這種情況 AWS Organizations。
當您將 帳戶新增為 Macie 成員帳戶時:
-
如果未在 區域中啟用 Macie AWS 區域,則會為目前 中的帳戶啟用 Macie。
-
該帳戶與 Macie 管理員帳戶相關聯,作為 區域中的成員帳戶。成員帳戶不會收到您在帳戶之間建立此關係的邀請或其他通知。
-
區域中的帳戶可能會啟用自動敏感資料探索。這取決於您為組織指定的組態設定。如需詳細資訊,請參閱設定自動敏感資料探索。
請注意,您無法新增已與其他 Macie 管理員帳戶相關聯的帳戶。帳戶必須先與其目前的管理員帳戶取消關聯。此外,您無法將 AWS Organizations 管理帳戶新增為成員帳戶,除非該帳戶已啟用 Macie。若要了解其他需求,請參閱 使用 Macie 搭配使用的注意事項 AWS Organizations。
將 Macie 成員帳戶新增至組織
若要將一或多個 Macie 成員帳戶新增至您的組織,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台新增一或多個 Macie 成員帳戶。
新增 Macie 成員帳戶
在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。
-
使用頁面右上角的 AWS 區域 選取器,選擇要新增成員帳戶的 區域。
-
在導覽窗格中,選擇帳戶。帳戶頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。
-
(選用) 若要更輕鬆地識別組織中屬於 且 AWS Organizations 不是 Macie 成員帳戶的帳戶,請使用現有帳戶資料表上方的篩選方塊來新增下列篩選條件:
若要同時顯示您先前移除並可能想要新增為成員帳戶的帳戶,也請新增狀態 = 已移除的篩選條件。
-
在現有帳戶表格中,選取您要新增為成員帳戶的每個帳戶的核取方塊。
-
在動作功能表中,選擇新增成員 。
-
確認您要將選取的帳戶新增為成員帳戶。
確認選擇後,所選帳戶的狀態會變更為在 中啟用,然後在您的帳戶庫存中啟用。
在您要新增成員帳戶的每個額外區域中重複上述步驟。
- API
-
若要以程式設計方式新增一或多個 Macie 成員帳戶,請使用 Amazon Macie CreateMember的操作API。
當您提交請求時,請使用支援的參數來指定您要新增的每個 12 位數帳戶 ID AWS 帳戶 和電子郵件地址。另請指定請求套用的區域。若要在其他區域中新增帳戶,請在每個其他區域中提交您的請求。
若要擷取要新增的帳戶 ID 和電子郵件地址,您可以關聯 ListAccounts AWS Organizations API操作的輸出和 Amazon Macie ListMembers的操作API。對於 Macie ListMembers的操作API,請在請求中包含 onlyAssociated 參數,並將 參數的值設定為 false。如果操作成功,Macie 會傳回members陣列,提供與指定區域中 Macie 管理員帳戶相關聯的所有帳戶的詳細資訊,包括目前非成員帳戶的帳戶。請注意陣列中的下列項目:
若要使用 新增成員帳戶 AWS CLI,請執行 create-member 命令。使用 region 參數來指定要在其中新增帳戶的 區域。使用 account 參數指定要新增的每個帳戶的帳戶 ID 和電子郵件地址。例如:
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
位置 us-east-1 是將帳戶新增為成員帳戶的 區域 (美國東部 (維吉尼亞北部) 區域),參數會account指定帳戶 ID (123456789012) 和電子郵件地址 (janedoe@example.com)。
如果您的請求成功,指定帳戶的狀態 (relationshipStatus) 會變更為帳戶庫存Enabled中的 。
暫停組織中成員帳戶的 Macie
身為 中組織 Amazon Macie 管理員 AWS Organizations,您可以暫停組織中成員帳戶的 Macie。如果您這樣做,您也可以稍後重新為帳戶啟用 Macie。
當您暫停成員帳戶的 Macie 時:
-
Macie 會失去目前 中帳戶 Amazon S3 資料的存取權並停止提供中繼資料 AWS 區域。
-
Macie 會停止為 區域中的帳戶執行所有活動。這包括監控 S3 儲存貯體的安全性和存取控制、執行自動敏感資料探索,以及執行目前正在進行中的敏感資料探索任務。
-
Macie 會取消 區域中帳戶建立的所有敏感資料探索任務。任務在取消後無法繼續或重新啟動。如果您建立任務來分析成員帳戶擁有的資料,Macie 不會取消您的任務。相反地,任務會略過帳戶擁有的資源。
當帳戶暫停時,Macie 會保留適用區域中帳戶的 Macie 工作階段識別符、設定和資源。例如,帳戶的調查結果會保持不變,且不會受到影響長達 90 天。您的組織不會針對適用區域中的帳戶產生 Macie 費用,而 Macie 則會針對該區域中的帳戶暫停。
暫停組織中成員帳戶的 Macie
若要暫停組織中成員帳戶的 Macie,您可以使用 Amazon Macie 主控台或 Amazon MacieAPI。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台暫停成員帳戶的 Macie。
確認暫停後,帳戶庫存中的帳戶狀態會變更為已暫停 (已暫停)。
在您要暫停 Macie 帳戶的每個額外區域中,重複上述步驟。
- API
-
若要以程式設計方式暫停成員帳戶的 Macie,請使用 Amazon Macie UpdateMemberSession的操作API。
當您提交請求時,請使用 id 參數來指定您要暫停 Macie 的 AWS 帳戶 的 12 位數帳戶 ID。針對 status 參數,指定 PAUSED為 Macie 帳戶的新狀態。另請指定請求套用的區域。若要暫停其他區域中的帳戶,請在每個其他區域中提交您的請求。
若要擷取要暫停的帳戶 ID,您可以使用 Amazon Macie ListMembers的操作API。如果您這樣做,請考慮在請求中包含 onlyAssociated 參數來篩選結果。如果您將此參數的值設定為 true,Macie 會傳回陣列,該members陣列只會提供有關目前為成員帳戶之帳戶的詳細資訊。
若要使用 暫停成員帳戶的 Macie AWS CLI,請執行 update-member-session命令。使用 region 參數來指定暫停 Macie 的區域,並使用 id 參數來指定 的帳戶 ID AWS 帳戶 ,讓 暫停 Macie。針對 status 參數,請指定 PAUSED。例如:
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
位置 us-east-1 是暫停 Macie (美國東部 (維吉尼亞北部) 區域) 的區域,123456789012 是 帳戶暫停 Macie 的帳戶 ID,PAUSED也是 帳戶 Macie 的新狀態。
如果您的請求成功,Macie 會傳回空的回應,並在您的帳戶庫存Paused中將指定帳戶的狀態變更為 。
從組織中移除 Macie 成員帳戶
如果您想要停止存取成員帳戶的 Amazon Macie 設定、資料和資源,您可以將該帳戶移除為 Macie 成員帳戶。您可以透過取消帳戶與 Macie 管理員帳戶的關聯來執行此操作。請注意,只有您可以為成員帳戶執行此操作。 AWS Organizations 成員帳戶無法與其 Macie 管理員帳戶取消關聯。
當您移除 Macie 成員帳戶時,Macie 仍會為目前 中的帳戶啟用 AWS 區域。不過,帳戶會與您的 Macie 管理員帳戶取消關聯,並成為獨立的 Macie 帳戶。這表示您無法存取帳戶的所有 Macie 設定、資料和資源,包括帳戶的 Amazon S3 資料的中繼資料和政策調查結果。這也表示您無法再使用 Macie 來探索帳戶擁有的 S3 儲存貯體中的敏感資料。如果您已建立敏感探索任務來執行此操作,任務會略過帳戶擁有的儲存貯體。如果您為帳戶啟用自動敏感資料探索,您和成員帳戶都會失去存取 Macie 在為帳戶執行自動探索時所產生和直接提供之統計資料、庫存資料和其他資訊的存取權。
移除 Macie 成員帳戶後,帳戶會繼續出現在您的帳戶庫存中。Macie 不會通知帳戶的擁有者您已移除帳戶。您可以稍後再次將 帳戶新增至您的組織。如果您在 30 天內新增帳戶並為其啟用自動敏感資料探索,您也可以重新取得 Macie 在為帳戶執行自動探索時先前產生和直接提供的資料和資訊的存取權。
從組織移除 Macie 成員帳戶
若要從組織中移除 Macie 成員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台移除 Macie 成員帳戶。
確認選擇後,帳戶庫存中的帳戶狀態會變更為已移除 (已取消關聯)。
在您要移除成員帳戶的每個額外區域中重複上述步驟。
- API
-
若要以程式設計方式移除 Macie 成員帳戶,請使用 Amazon Macie DisassociateMember的操作API。
當您提交請求時,請使用 id 參數指定要移除的成員帳戶的 12 位數 AWS 帳戶 ID。另請指定請求套用的區域。若要移除其他區域中的帳戶,請在每個其他區域中提交您的請求。
若要擷取成員帳戶要移除的帳戶 ID,您可以使用 Amazon Macie ListMembers的操作API。如果您這樣做,請考慮在請求中包含 onlyAssociated 參數來篩選結果。如果您將此參數的值設定為 true,Macie 會傳回members陣列,僅提供有關目前為 Macie 成員帳戶之帳戶的詳細資訊。
若要使用 移除 Macie 成員帳戶 AWS CLI,請執行 disassociate-member 命令。使用 region 參數來指定要在其中移除帳戶的 區域。使用 id 參數指定要移除之成員帳戶的帳戶 ID。例如:
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
位置 us-east-1 是移除帳戶的區域 (美國東部 (維吉尼亞北部) 區域),以及 123456789012 是帳戶要移除的帳戶 ID。
如果您的請求成功,Macie 會傳回空的回應,並在您的帳戶庫存Removed中將指定帳戶的狀態變更為 。
