本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理組織的 Macie 成員帳戶
在 Amazon Macie 中整合和設定 AWS Organizations 組織後,組織的委派 Macie 管理員可以存取成員帳戶的特定 Macie 設定、資料和資源。身為組織的 Macie 管理員,您可以使用 Macie 集中執行帳戶的特定帳戶管理和管理任務。例如,您可以:
您也可以檢閱 Macie 成員帳戶的 Amazon Simple Storage Service (Amazon S3) 庫存資料和政策調查結果。您也可以在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需可執行任務的詳細清單,請參閱Macie 管理員和成員帳戶關係。
根據預設,Macie 可讓您查看組織中所有 Macie 成員帳戶的相關資料和資源。您也可以向下切入以檢閱個別帳戶的資料和資源。例如,如果您使用摘要儀表板來評估組織的 Amazon S3 安全狀態,您可以依帳戶篩選資料。同樣地,如果您監控預估用量成本,您可以存取個別成員帳戶的預估成本明細。
除了管理員和成員帳戶常見的任務之外,您還可以為組織執行各種管理任務。
身為組織的 Macie 管理員,您可以使用 Amazon Macie 主控台或 Amazon Macie API 來執行這些任務。如果您偏好使用 主控台,您必須被允許執行下列 AWS Organizations 動作:organizations:ListAccounts。此動作可讓您擷取和顯示屬於您組織一部分的帳戶資訊 AWS Organizations。
將 Macie 成員帳戶新增至組織
在某些情況下,您可能需要手動將 帳戶新增為 Amazon Macie 成員帳戶。對於您先前移除 (取消關聯) 做為成員帳戶的帳戶,這是這種情況。如果您未將 Macie 設定為在 中將帳戶新增至您的組織時自動啟用和新增新的成員帳戶,也是如此 AWS Organizations。
當您將 帳戶新增為 Macie 成員帳戶時:
-
如果 Macie 尚未在 區域中啟用 AWS 區域,則會為目前 中的帳戶啟用 Macie。
-
該帳戶作為 區域中的成員帳戶與您的 Macie 管理員帳戶相關聯。成員帳戶不會收到您在帳戶之間建立此關係的邀請或其他通知。
-
區域中的帳戶可能會啟用自動化敏感資料探索。這取決於您為組織指定的組態設定。如需詳細資訊,請參閱設定自動敏感資料探索。
請注意,您無法新增已與其他 Macie 管理員帳戶相關聯的帳戶。帳戶必須先取消與其目前管理員帳戶的關聯。此外,您無法將 AWS Organizations 管理帳戶新增為成員帳戶,除非該帳戶已啟用 Macie。若要了解其他需求,請參閱 搭配 Macie 使用 的考量事項 AWS Organizations。
將 Macie 成員帳戶新增至組織
若要將一或多個 Macie 成員帳戶新增至您的組織,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台新增一或多個 Macie 成員帳戶。
新增 Macie 成員帳戶
在 https://console.aws.amazon.com/macie/:// 開啟 Amazon Macie 主控台。
-
使用頁面右上角的 AWS 區域 選取器,選擇您要新增成員帳戶的 區域。
-
在導覽窗格中,選擇帳戶。帳戶頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。
-
(選用) 若要更輕鬆地識別組織中屬於您組織一部分且 AWS Organizations 不是 Macie 成員帳戶的帳戶,請使用現有帳戶資料表上方的篩選條件方塊來新增下列篩選條件:
若要同時顯示您先前移除並可能想要新增為成員帳戶的帳戶,也請新增狀態 = 已移除的篩選條件。
-
在現有帳戶資料表中,選取您要新增為成員帳戶的每個帳戶的核取方塊。
-
在動作功能表中,選擇新增成員。
-
確認您要將選取的帳戶新增為成員帳戶。
確認選擇後,所選帳戶的狀態會變更為啟用進行中,然後在您的帳戶庫存中啟用。
若要在其他區域中新增成員帳戶,請在每個其他區域中重複上述步驟。
- API
-
若要以程式設計方式新增一或多個 Macie 成員帳戶,請使用 Amazon Macie API 的 CreateMember 操作。
當您提交請求時,請使用支援的參數來指定您要新增的每個 12 位數帳戶 ID AWS 帳戶 和電子郵件地址。同時指定請求套用的區域。若要在其他區域中新增帳戶,請在每個其他區域中提交您的請求。
若要擷取要新增的帳戶 ID 和電子郵件地址,您可以將 AWS Organizations API 的 ListAccounts 操作輸出與 Amazon Macie API 的 ListMembers 操作建立關聯。對於 Macie API ListMembers的操作,請在請求中包含 onlyAssociated 參數,並將 參數的值設定為 false。如果操作成功,Macie 會傳回members陣列,提供與指定區域中 Macie 管理員帳戶相關聯的所有帳戶的詳細資訊,包括目前不是成員帳戶的帳戶。請注意陣列中的下列項目:
若要使用 AWS Command Line Interface (AWS CLI) 新增成員帳戶,請執行 create-member 命令。使用 region 參數來指定要在其中新增帳戶的 區域。使用 account 參數指定要新增的每個帳戶的帳戶 ID 和電子郵件地址。例如:
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
其中 us-east-1 是將帳戶新增為成員帳戶的 區域 (美國東部 (維吉尼亞北部) 區域),而account參數會指定帳戶的帳戶 ID (123456789012) 和電子郵件地址 (janedoe@example.com)。
如果您的請求成功,指定帳戶的狀態 (relationshipStatus) 會在您的帳戶庫存Enabled中變更為 。
暫停組織中成員帳戶的 Macie
身為 中組織的 Amazon Macie 管理員 AWS Organizations,您可以暫停組織中成員帳戶的 Macie。如果您這樣做,您也可以稍後重新為帳戶啟用 Macie。
當您暫停成員帳戶的 Macie 時:
-
Macie 會失去對 的存取權,並停止提供目前帳戶 Amazon S3 資料的中繼資料 AWS 區域。
-
Macie 會停止為 區域中的帳戶執行所有活動。這包括監控 S3 儲存貯體的安全性和存取控制、執行自動敏感資料探索,以及執行目前正在進行的敏感資料探索任務。
-
Macie 會取消 區域中帳戶建立的所有敏感資料探索任務。任務在取消後無法繼續或重新啟動。如果您建立任務來分析成員帳戶擁有的資料,Macie 不會取消您的任務。相反地,任務會略過帳戶擁有的資源。
暫停時,Macie 會保留工作階段識別符、設定和資源,其會存放或維護適用區域中的帳戶。Macie 也會保留 區域中帳戶的特定資料。例如,帳戶的調查結果會保持不變,且不會受到影響長達 90 天。如果已為帳戶啟用自動敏感資料探索,現有結果也會保持不變,且不會受到影響長達 30 天。當 Macie 暫停該區域中的帳戶時,您的組織不會針對該區域中的帳戶產生 Macie 費用。
暫停組織中成員帳戶的 Macie
若要暫停組織中成員帳戶的 Macie,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台來暫停成員帳戶的 Macie。
確認暫停後,帳戶的狀態會變更為帳戶庫存中暫停 (已暫停)。若要針對其他區域中的帳戶暫停 Macie,請在每個其他區域中重複上述步驟。
若要稍後重新啟用帳戶的 Macie,請返回 主控台上的帳戶頁面。選取帳戶的核取方塊,然後在動作功能表上選擇啟用 Macie。若要為其他區域中的帳戶重新啟用 Macie,請在每個其他區域中重複這些步驟。
- API
-
若要以程式設計方式暫停成員帳戶的 Macie,請使用 Amazon Macie API 的 UpdateMemberSession 操作。您也可以使用此操作來稍後為帳戶重新啟用 Macie。
當您提交請求時,請使用 id 參數來指定您要暫停 Macie AWS 帳戶 之 的 12 位數帳戶 ID。針對 status 參數,請指定 PAUSED。同時指定請求套用的區域。若要為其他區域中的帳戶暫停 Macie,請在每個其他區域中提交您的請求。
若要擷取帳戶的帳戶 ID,您可以使用 Amazon Macie API 的 ListMembers 操作。如果您這樣做,請考慮在請求中包含 onlyAssociated 參數來篩選結果。如果您將此參數的值設定為 true,Macie 會傳回members陣列,僅提供目前為成員帳戶之帳戶的詳細資訊。
若要使用 暫停成員帳戶的 Macie AWS CLI,請執行 update-member-session 命令。使用 region 參數來指定要在其中暫停帳戶的 Macie 的區域。使用 id 參數來指定帳戶的帳戶 ID。針對 status 參數,請指定 PAUSED。例如:
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
其中 us-east-1 是暫停 Macie 的區域 (美國東部 (維吉尼亞北部) 區域),123456789012 是暫停 Macie 的帳戶 ID,而 PAUSED 是 Macie 帳戶的新狀態。
如果您的請求成功,Macie 會傳回空的回應,並在您的帳戶庫存Paused中將指定帳戶的狀態變更為 。若要稍後重新啟用帳戶的 Macie,請再次執行 update-member-session命令ENABLED,並為 status 參數指定 。
從組織移除 Macie 成員帳戶
如果您想要停止存取成員帳戶的 Amazon Macie 設定、資料和資源,您可以將帳戶移除為 Macie 成員帳戶。您可以透過取消帳戶與 Macie 管理員帳戶的關聯來執行此操作。請注意,只有您可以為成員帳戶執行此操作。 AWS Organizations 成員帳戶無法與其 Macie 管理員帳戶取消關聯。
當您移除 Macie 成員帳戶時,Macie 仍會為目前帳戶啟用 AWS 區域。不過,帳戶會與您的 Macie 管理員帳戶取消關聯,並成為獨立的 Macie 帳戶。這表示您無法存取帳戶的所有 Macie 設定、資料和資源,包括帳戶的 Amazon S3 資料的中繼資料和政策調查結果。這也表示您無法再使用 Macie 來探索帳戶擁有之 S3 儲存貯體中的敏感資料。如果您已建立敏感資料探索任務來執行此操作,任務會略過帳戶擁有的儲存貯體。如果您為帳戶啟用自動敏感資料探索,您和成員帳戶都會失去存取 Macie 在為帳戶執行自動探索時所產生和直接提供統計資料、庫存資料和其他資訊的存取權。
移除 Macie 成員帳戶後,帳戶會繼續出現在您的帳戶庫存中。Macie 不會通知帳戶的擁有者您已移除帳戶。因此,請考慮聯絡帳戶擁有者,以確保他們開始管理其帳戶的設定和資源。
您可以稍後再次將 帳戶新增至您的組織。如果您這樣做,並在 30 天內再次為帳戶啟用自動敏感資料探索,您也可以重新取得 Macie 先前產生和直接提供的資料和資訊的存取權,同時為帳戶執行自動探索。此外,現有任務的後續執行會再次開始包含帳戶的 S3 儲存貯體。
從組織移除 Macie 成員帳戶
若要從您的組織移除 Macie 成員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台移除 Macie 成員帳戶。
確認選擇後,帳戶庫存中的帳戶狀態會變更為已移除 (已取消關聯)。
若要移除其他區域中的成員帳戶,請在每個其他區域中重複上述步驟。
- API
-
若要以程式設計方式移除 Macie 成員帳戶,請使用 Amazon Macie API 的 DisassociateMember 操作。
當您提交請求時,請使用 id 參數指定要移除的成員帳戶的 12 位數 AWS 帳戶 ID。同時指定請求套用的區域。若要移除其他區域中的帳戶,請在每個其他區域中提交您的請求。
若要擷取要移除之成員帳戶的帳戶 ID,您可以使用 Amazon Macie API 的 ListMembers 操作。如果您這樣做,請考慮在請求中包含 onlyAssociated 參數來篩選結果。如果您將此參數的值設定為 true,Macie 會傳回members陣列,僅提供目前為 Macie 成員帳戶之帳戶的詳細資訊。
若要使用 移除 Macie 成員帳戶 AWS CLI,請執行 disassociate-member 命令。使用 region 參數來指定要在其中移除帳戶的 區域。使用 id 參數指定要移除之成員帳戶的帳戶 ID。例如:
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
其中 us-east-1 是要移除帳戶的區域 (美國東部 (維吉尼亞北部) 區域),而 123456789012 是要移除帳戶的帳戶 ID。
如果您的請求成功,Macie 會傳回空的回應,並在您的帳戶庫存Removed中將指定帳戶的狀態變更為 。
