本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

在 Macie 中整合和設定組織

若要開始將 Amazon Macie 與 搭配使用 AWS Organizations，組織的 AWS Organizations 管理帳戶會指定 帳戶作為組織的委派 Macie 管理員帳戶。這可讓 Macie 成為 中的受信任服務 AWS Organizations。它還為指定的管理員帳戶啟用 AWS 區域 Macie 目前的 ，並允許指定的管理員帳戶為該區域中組織中的其他帳戶啟用和管理 Macie。如需有關如何授予這些許可的資訊，請參閱 使用者指南 中的AWS Organizations 搭配使用其他 AWS 服務 。 AWS Organizations

委派的 Macie 管理員接著會在 Macie 中設定組織，主要是透過將組織的帳戶新增為區域中的 Macie 成員帳戶。然後，管理員可以存取該區域中這些帳戶的特定 Macie 設定、資料和資源。他們也可以執行自動化敏感資料探索，並執行敏感資料探索任務，以偵測帳戶擁有的 Amazon Simple Storage Service （Amazon S3） 儲存貯體中的敏感資料。

本主題說明如何指定組織的委派 Macie 管理員，以及如何將組織的帳戶新增為 Macie 成員帳戶。在您執行這些任務之前，請確定您了解 Macie 管理員與成員帳戶 之間的關係。也建議您檢閱將 Macie 與 搭配使用的考量事項和建議 AWS Organizations。

若要在多個區域中整合和設定組織， AWS Organizations 管理帳戶和委派的 Macie 管理員會在每個其他區域中重複這些步驟。

步驟 1：驗證您的許可

在您為組織指定委派的 Macie 管理員帳戶之前，請確認您 （作為 AWS Organizations 管理帳戶的使用者） 可執行下列 Macie 動作：macie2:EnableOrganizationAdminAccount。此動作可讓您使用 Macie 為組織指定委派的 Macie 管理員帳戶。

也請確認您是否可執行下列 AWS Organizations 動作：

這些動作可讓您：擷取組織的相關資訊；將 Macie 與 整合 AWS Organizations；擷取 AWS 服務 已與 整合的資訊 AWS Organizations；以及為組織指定委派 Macie 管理員帳戶。

若要授予這些許可，請在帳戶的 AWS Identity and Access Management （IAM） 政策中包含下列陳述式：

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

如果您想要將 AWS Organizations 管理帳戶指定為組織的委派 Macie 管理員帳戶，您的帳戶也需要執行下列IAM動作的許可：CreateServiceLinkedRole。此動作可讓您為管理帳戶啟用 Macie。不過，根據 AWS 安全最佳實務和最低權限原則，我們不建議您這麼做。

如果您決定授予此許可，請將下列陳述式新增至 AWS Organizations 管理帳戶IAM的政策：

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

在陳述式中，取代 111122223333 管理帳戶的帳戶 ID。

如果您想要在選擇加入 AWS 區域 （預設為停用的區域） 中管理 Macie，也請在 Resource元素和iam:AWSServiceName條件中更新 Macie 服務主體的值。值必須指定 區域的區域代碼。例如，若要管理中東 （巴林） 區域中具有區域碼 me-south-1 的 Macie，請執行下列動作：

如需目前可使用 Macie 的區域清單，以及每個區域代碼，請參閱 中的 Amazon Macie 端點和配額AWS 一般參考。若要判斷區域是否為選擇加入區域，請參閱 使用者指南 AWS 區域 中的在帳戶中啟用或停用 。 AWS Account Management

步驟 2：為組織指定委派的 Macie 管理員帳戶

驗證許可後，您 （作為 AWS Organizations 管理帳戶的使用者） 可以為組織指定委派的 Macie 管理員帳戶。

指定組織的委派 Macie 管理員帳戶

若要為組織指定委派的 Macie 管理員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有 AWS Organizations 管理帳戶的使用者才能執行此任務。

Console

請依照下列步驟，使用 Amazon Macie 主控台指定委派的 Macie 管理員帳戶。

指定委派的 Macie 管理員帳戶

1. AWS Management Console 使用您的 AWS Organizations 管理帳戶登入 。

2. 使用頁面右上角的 AWS 區域 選取器，選擇要為組織指定委派 Macie 管理員帳戶的 區域。

3. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。

4. 視您目前區域中的管理帳戶是否啟用 Macie，執行下列其中一項操作：

   • 如果 Macie 未啟用，請在歡迎頁面上選擇開始使用。

   • 如果啟用 Macie，請在導覽窗格中選擇設定。

5. 在委派管理員 下，輸入您要指定為 Macie 管理員帳戶的 AWS 帳戶 12 位數帳戶 ID。

6. 選擇委派。

在您要將組織與 Macie 整合的每個額外區域中，重複上述步驟。您必須在每個區域中指定相同的 Macie 管理員帳戶。

API

若要以程式設計方式指定委派的 Macie 管理員帳戶，請使用 Amazon Macie EnableOrganizationAdminAccount的操作API。若要在多個區域中指定帳戶，請提交您要將組織與 Macie 整合的每個區域的名稱。您必須在每個區域中指定相同的 Macie 管理員帳戶。

當您提交指定時，請使用所需的adminAccountId參數來指定 AWS 帳戶 要指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。同時，請確定您指定適用於 的 區域。

若要使用 AWS Command Line Interface （AWS CLI） 指定 Macie 管理員帳戶，請執行 enable-organization-admin-account命令。針對 admin-account-id 參數，指定 AWS 帳戶 要指定的 12 位數帳戶 ID。使用 region 參數來指定 名稱適用的區域。例如：

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

位置 us-east-1 是 指定適用的區域 （美國東部 （維吉尼亞北部） 區域），以及 111122223333 是帳戶要指定的帳戶 ID。

為組織指定 Macie 管理員帳戶後，Macie 管理員就可以開始在 Macie 中設定組織。

步驟 3：自動啟用和新增組織帳戶作為 Macie 成員帳戶

根據預設，當帳戶新增至 中的組織時，不會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶不會自動新增為 Macie 成員帳戶。帳戶會顯示在 Macie 管理員的帳戶庫存中。不過，Macie 不一定會為帳戶啟用，而且 Macie 管理員不一定會存取帳戶的 Macie 設定、資料和資源。

如果您是組織的委派 Macie 管理員，您可以變更此組態設定。您可以為組織開啟自動啟用。如果您這樣做，當帳戶在 中新增至您的組織時，系統會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶會自動與您的 Macie 管理員帳戶建立關聯，做為成員帳戶。開啟此設定不會影響組織中現有的帳戶。若要為現有帳戶啟用和管理 Macie，您必須手動將帳戶新增為 Macie 成員帳戶。下一步說明如何執行此操作。

自動啟用和新增組織帳戶作為 Macie 成員帳戶

若要自動啟用新帳戶，並將新帳戶新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

Console

若要使用主控台執行此任務，您必須執行下列 AWS Organizations 動作：organizations:ListAccounts。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您有這些許可，請依照下列步驟自動啟用和新增組織帳戶作為 Macie 成員帳戶。

若要自動啟用和新增組織帳戶

1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。

2. 使用頁面右上角的 AWS 區域 選取器，選擇要自動啟用的 區域，並將新帳戶新增為 Macie 成員帳戶。

3. 在導覽窗格中，選擇帳戶。

4. 在帳戶頁面的新帳戶區段中，選擇編輯 。

5. 在編輯新帳戶的設定對話方塊中，選取啟用 Macie 。

   若要為新成員帳戶自動啟用自動敏感資料探索，請選取啟用自動敏感資料探索 。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件，並分析物件，以判斷它們是否包含敏感資料。如需詳細資訊，請參閱執行自動化敏感資料探索。

6. 選擇 Save (儲存)。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

若要後續變更這些設定，請重複上述步驟，並清除每個設定的核取方塊。

API

若要以程式設計方式自動啟用和新增新的 Macie 成員帳戶，請使用 Amazon Macie UpdateOrganizationConfiguration的操作API。當您提交請求時，請將 autoEnable 參數的值設定為 true。(預設值為 false。) 同時，請確定您指定請求套用的區域。若要在額外區域中自動啟用和新增帳戶，請為每個額外區域提交請求。

如果您使用 AWS CLI 提交請求，請執行 update-organization-configuration命令並指定 auto-enable 參數，以自動啟用和新增新帳戶。例如：

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

位置 us-east-1 是美國東部 （維吉尼亞北部） 區域，用來自動啟用和新增帳戶的區域。

若要隨後變更此設定並停止自動啟用和新增帳戶，請再次執行相同的命令，並在每個適用的區域中使用 no-auto-enable 參數，而不是 auto-enable 參數。

您也可以自動為新會員帳戶啟用自動敏感資料探索。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件，並分析物件，以判斷它們是否包含敏感資料。如需詳細資訊，請參閱執行自動化敏感資料探索。若要自動為成員帳戶啟用此功能，請使用 UpdateAutomatedDiscoveryConfiguration操作，或者，如果您使用的是 AWS CLI，請執行 update-automated-discovery-configuration命令。

步驟 4：啟用現有組織帳戶並將其新增為 Macie 成員帳戶

當您將 Macie 與 整合時 AWS Organizations，不會自動為您組織中的所有現有帳戶啟用 Macie。此外，帳戶不會自動與委派的 Macie 管理員帳戶建立關聯，作為 Macie 成員帳戶。因此，在 Macie 中整合和設定組織的最後一個步驟是將現有組織帳戶新增為 Macie 成員帳戶。當您將現有帳戶新增為 Macie 成員帳戶時，會自動為該帳戶啟用 Macie，而您 （作為委派 Macie 管理員） 可以存取該帳戶的特定 Macie 設定、資料和資源。

請注意，您無法新增目前與另一個 Macie 管理員帳戶相關聯的帳戶。若要新增帳戶，請先與帳戶擁有者合作，以取消帳戶與其目前管理員帳戶的關聯。此外，如果 Macie 目前針對該帳戶暫停，則您無法新增現有帳戶。帳戶擁有者必須先重新啟用帳戶的 Macie。最後，如果您想要將 AWS Organizations 管理帳戶新增為成員帳戶，該帳戶的使用者必須先為該帳戶啟用 Macie。

啟用和新增現有組織帳戶作為 Macie 成員帳戶

若要啟用現有組織帳戶並將其新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

Console

若要使用主控台執行此任務，您必須執行下列 AWS Organizations 動作：organizations:ListAccounts。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您具有這些許可，請依照下列步驟啟用現有帳戶，並將現有帳戶新增為 Macie 成員帳戶。

啟用和新增現有的組織帳戶

1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。

2. 使用頁面右上角的 AWS 區域 選取器，選擇要啟用的 區域，並將現有帳戶新增為 Macie 成員帳戶。

3. 在導覽窗格中，選擇帳戶。帳戶頁面會開啟並顯示與您 Macie 帳戶相關聯的帳戶資料表。

   如果帳戶是 中組織的一部分 AWS Organizations，其類型為透過 AWS Organizations。如果帳戶已經是 Macie 成員帳戶，則其狀態為已啟用或已暫停 （已暫停）。

4. 在現有帳戶表格中，選取您要新增為 Macie 成員帳戶的每個帳戶的核取方塊。

5. 在動作功能表中，選擇新增成員 。

6. 確認您要將選取的帳戶新增為成員帳戶。

確認新增選取的帳戶後，帳戶的狀態會變更為進行中啟用，然後啟用 。新增成員帳戶後，您也可以為帳戶啟用自動敏感資料探索：在現有帳戶資料表中，選取每個帳戶的核取方塊以啟用該帳戶，然後在動作功能表上選擇啟用自動敏感資料探索。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件，並分析物件，以判斷它們是否包含敏感資料。如需詳細資訊，請參閱執行自動化敏感資料探索。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

API

若要以程式設計方式啟用和新增一或多個現有帳戶作為 Macie 成員帳戶，請使用 Amazon Macie CreateMember的操作API。當您提交請求時，請使用支援的參數來指定 AWS 帳戶 要啟用和新增的每個 12 位數帳戶 ID 和電子郵件地址。也請指定請求套用的區域。若要在其他區域中啟用和新增現有帳戶，請為每個其他區域提交請求。

若要擷取 AWS 帳戶 要啟用和新增的帳戶 ID 和電子郵件地址，您可以選擇使用 Amazon Macie ListMembers的操作API。此操作提供與您的 Macie 帳戶相關聯的帳戶詳細資訊，包括非 Macie 成員帳戶的帳戶。如果帳戶relationshipStatus屬性的值不是 Enabled或 Paused，則帳戶不是 Macie 成員帳戶。

若要使用 啟用和新增一或多個現有帳戶 AWS CLI，請執行 create-member 命令。使用 region 參數來指定要在其中啟用和新增帳戶的區域。使用 account 參數指定 AWS 帳戶 要新增的每個帳戶 ID 和電子郵件地址。例如：

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

位置 us-east-1 是要在其中啟用並將帳戶新增為 Macie 成員帳戶 （美國東部 （維吉尼亞北部） 區域） 的區域，且account參數會指定帳戶 ID （123456789012） 和電子郵件地址 （janedoe@example.com）。

如果您的請求成功，指定帳戶的狀態 （relationshipStatus） 會變更為帳戶庫存Enabled中的 。

若要為一或多個帳戶啟用自動敏感資料探索，請使用 BatchUpdateAutomatedDiscoveryAccounts操作，或者，如果您使用的是 AWS CLI，請執行 batch-update-automated-discovery-accounts 命令。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件，並分析物件，以判斷它們是否包含敏感資料。如需詳細資訊，請參閱執行自動化敏感資料探索。