Ein anderes Amazon Macie-Administratorkonto für eine Organisation festlegen - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein anderes Amazon Macie-Administratorkonto für eine Organisation festlegen

Nachdem eine AWS Organizations Organisation in Amazon Macie integriert und konfiguriert wurde, kann das AWS Organizations Verwaltungskonto ein anderes Konto als delegiertes Macie-Administratorkonto für die Organisation festlegen.

Stellen Sie als Benutzer des AWS Organizations Verwaltungskontos für eine Organisation sicher, dass Sie die folgenden Berechtigungsanforderungen erfüllen, bevor Sie ein anderes Macie-Administratorkonto für Ihre Organisation festlegen:

  • Sie müssen über dieselben Berechtigungen verfügen, die ursprünglich für die Festlegung eines Macie-Administratorkontos für Ihre Organisation erforderlich waren. Sie müssen außerdem berechtigt sein, die folgende AWS Organizations Aktion auszuführen:. organizations:DeregisterDelegatedAdministrator Mit dieser zusätzlichen Aktion können Sie die aktuelle Bezeichnung entfernen.

  • Wenn es sich bei Ihrem Konto derzeit um ein Macie-Mitgliedskonto handelt, muss der aktuelle Macie-Administrator Ihr Konto als Macie-Mitgliedskonto entfernen. Andernfalls dürfen Sie nicht auf Macie-Operationen zugreifen, um ein anderes Administratorkonto festzulegen. Nachdem Sie ein neues Administratorkonto festgelegt haben, kann der neue Macie-Administrator Ihr Konto erneut als Macie-Mitgliedskonto hinzufügen.

Wenn Ihre Organisation Macie in mehreren Fällen verwendet, stellen Sie außerdem sicher AWS-Regionen, dass Sie das delegierte Macie-Administratorkonto in jeder Region ändern, in der Ihre Organisation Macie verwendet. Das delegierte Macie-Administratorkonto muss in all diesen Regionen identisch sein. Wenn Sie mehrere Organisationen in verwalten AWS Organizations, beachten Sie außerdem, dass ein Konto das delegierte Macie-Administratorkonto für jeweils nur eine Organisation sein kann. Weitere Informationen zu zusätzlichen Anforderungen finden Sie unter. Überlegungen und Empfehlungen zur Verwendung von Amazon Macie mit AWS Organizations

Anmerkung

Wenn Sie ein anderes Macie-Administratorkonto für Ihre Organisation angeben, deaktivieren Sie auch den Zugriff auf vorhandene statistische Daten, Inventardaten und andere Informationen, die Macie erstellt und direkt bereitgestellt hat, während die automatische Erkennung sensibler Daten für Konten in der Organisation durchgeführt wurde. Das neue Macie-Administratorkonto kann nicht auf die vorhandenen Daten zugreifen. Wenn Sie die Bezeichnung ändern und der neue Macie-Administrator die automatische Erkennung der Konten aktiviert, generiert und verwaltet Macie bei der automatischen Erkennung der Konten neue Daten.

Um ein anderes Macie-Administratorkonto für Ihre Organisation festzulegen

Um ein anderes Macie-Administratorkonto für Ihre Organisation festzulegen, können Sie die Amazon Macie-Konsole oder eine Kombination aus Amazon Macie und APIs verwenden. AWS Organizations Nur ein Benutzer des AWS Organizations Verwaltungskontos kann die Bezeichnung für seine Organisation ändern.

Console

Gehen Sie wie folgt vor, um die Bezeichnung mithilfe der Amazon Macie Macie-Konsole zu ändern.

Um ein anderes Macie-Administratorkonto festzulegen

  1. Melden Sie sich AWS Management Console mit Ihrem AWS Organizations Verwaltungskonto bei an.

  2. Wählen Sie mithilfe der AWS-Region Auswahltaste in der oberen rechten Ecke der Seite die Region aus, in der Sie die Bezeichnung ändern möchten.

  3. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  4. Führen Sie je nachdem, ob Macie für Ihr Verwaltungskonto in der aktuellen Region aktiviert ist, einen der folgenden Schritte aus:

    • Wenn Macie nicht aktiviert ist, wählen Sie auf der Willkommensseite die Option Erste Schritte aus.

    • Wenn Macie aktiviert ist, wählen Sie im Navigationsbereich Einstellungen aus.

  5. Wählen Sie unter Delegierter Administrator die Option Entfernen aus. Um die Bezeichnung zu ändern, müssen Sie zuerst die aktuelle Bezeichnung entfernen.

  6. Bestätigen Sie, dass Sie die aktuelle Bezeichnung entfernen möchten.

  7. Geben Sie unter Delegierter Administrator die 12-stellige Konto-ID ein, die als neues Macie-Administratorkonto für die Organisation bezeichnet werden AWS-Konto soll.

  8. Wählen Sie Delegieren.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in die Sie Macie integriert haben. AWS Organizations

API

Um die Bezeichnung programmgesteuert zu ändern, verwenden Sie zwei Operationen der Amazon Macie Macie-API und eine Operation der API. AWS Organizations Dies liegt daran, dass Sie die aktuelle Bezeichnung sowohl in Macie als auch AWS Organizations vor dem Einreichen der neuen Bezeichnung entfernen müssen.

Um die aktuelle Bezeichnung zu entfernen:

  1. Verwenden Sie den DisableOrganizationAdminAccountBetrieb der Macie-API. Geben Sie für den erforderlichen adminAccountId Parameter die 12-stellige Konto-ID für das Konto an AWS-Konto , das derzeit als Macie-Administratorkonto für die Organisation festgelegt ist.

  2. Verwenden Sie den DeregisterDelegatedAdministratorBetrieb der AWS Organizations API. Geben Sie für den AccountId Parameter die 12-stellige Konto-ID für das Konto an, das derzeit als Macie-Administratorkonto für die Organisation festgelegt ist. Dieser Wert sollte mit der Konto-ID übereinstimmen, die Sie in der vorherigen Macie-Anfrage angegeben haben. Geben Sie für den ServicePrincipal Parameter den Macie-Dienstprinzipal () macie.amazonaws.com an.

Nachdem Sie die aktuelle Bezeichnung entfernt haben, reichen Sie die neue Bezeichnung mithilfe der EnableOrganizationAdminAccountMacie-API ein. Geben Sie für den erforderlichen adminAccountId Parameter die 12-stellige Konto-ID an, die als neues Macie-Administratorkonto für die Organisation bezeichnet werden AWS-Konto soll.

Um die Bezeichnung mithilfe von zu ändern AWS CLI, führen Sie den disable-organization-admin-accountBefehl der Macie-API und den deregister-delegated-administratorBefehl der API aus. AWS Organizations Mit diesen Befehlen wird die aktuelle Bezeichnung in Macie bzw. AWS Organizations entfernt. Geben Sie für die account-id Parameter admin-account-id und die 12-stellige Konto-ID an, die als aktuelles Macie-Administratorkonto entfernt werden AWS-Konto soll. Verwenden Sie den region Parameter, um die Region anzugeben, für die das Entfernen gilt. Beispielsweise:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

Wobei gilt:

  • us-east-1 ist die Region, für die die Entfernung gilt, die Region USA Ost (Nord-Virginia).

  • 111122223333 ist die Konto-ID für das Konto, das als Macie-Administratorkonto entfernt werden soll.

  • macie.amazonaws.comist der Macie-Service Principal.

Nachdem Sie die aktuelle Bezeichnung entfernt haben, reichen Sie die neue Bezeichnung ein, indem Sie den enable-organization-admin-accountBefehl der Macie-API ausführen. Geben Sie für den admin-account-id Parameter die 12-stellige Konto-ID an, die als neues Macie-Administratorkonto für die Organisation bezeichnet werden AWS-Konto soll. Verwenden Sie den region Parameter, um die Region anzugeben, für die die Bezeichnung gilt. Beispielsweise:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

Wobei us-east-1 die Region ist, für die die Bezeichnung gilt (Region USA Ost (Nord-Virginia)), und 444455556666 die Konto-ID für das Konto ist, das als neues Macie-Administratorkonto bestimmt werden soll.