Amazon Macie und AWS Organizations - AWS Organizations
Serviceverknüpfte RollenService-PrinzipaleDen vertrauenswürdigen Zugriff aktivierenAktivieren eines delegierten Administrators

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Macie und AWS Organizations

Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der Machine Learning und Musterabgleich verwendet, um Ihre sensiblen Daten in Amazon Simple Storage Service (Amazon S3) zu erkennen, zu überwachen und zu schützen. Macie automatisiert die Erkennung sensibler Daten, wie persönlich identifizierbare Informationen (PII) und geistiges Eigentum, um Ihnen ein besseres Verständnis für die Daten zu bieten, die Ihre Organisation in Amazon S3 speichert.

Weitere Informationen finden Sie unter Verwalten von Amazon-Macie-Konten mit AWS Organizations im Amazon-Macie-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Amazon Macie mit AWS Organizations zu integrieren.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im delegierten Macie-Konto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit dieser Rolle kann Macie die unterstützten Vorgänge innerhalb der Konten in Ihrer Organisation ausführen.

Sie können diese Rolle nur löschen, wenn Sie den vertrauenswürdigen Zugriff zwischen Macie und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

  • AWSServiceRoleRorAmazonMacie

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Macie verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Serviceprinzipale:

  • macie.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit Macie

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder über die Amazon-Macie-Konsole oder über die AWS Organizations-Konsole aktivieren.

Wichtig

Wir empfehlen dringend, dass Sie nach Möglichkeit die Amazon-Macie-Konsole oder Tools verwenden, um die Integration mit Organisationen zu ermöglichen. Auf diese Weise kann Amazon Macie jede erforderliche Konfiguration ausführen, z. B. die vom Service benötigten Ressourcen erstellen. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration nicht mit den von Amazon Macie bereitgestellten Tools aktivieren können. Weitere Informationen sind in diesem Hinweis zu finden.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der Amazon-Macie-Konsole oder der Tools aktivieren, müssen Sie diese Schritte nicht ausführen.

So aktivieren Sie den vertrauenswürdigen Zugriff über die Macie-Konsole

Amazon Macie erfordert vertrauenswürdigen Zugriff auf AWS Organizations, um ein Mitgliedskonto als Macie-Administrator für Ihre Organisation zu bestimmen. Wenn Sie einen delegierten Administrator mit der Macie-Verwaltungskonsole konfigurieren, aktiviert Macie automatisch den vertrauenswürdigen Zugriff für Sie.

Weitere Informationen finden Sie unter Integration und Konfiguration einer Organisation in Amazon Macie im Amazon-Macie-Benutzerhandbuch.

Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie einen Organizations-AWS CLI-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS-SDKs aufrufen.

AWS CLI, AWS API
So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigen Servicezugriff aktivieren:

  • AWS CLI: enable-aws-service-access

    Sie können den folgenden Befehl ausführen, um Amazon Macie als vertrauenswürdigen Service für Organizations zu aktivieren.

    $ aws organizations enable-aws-service-access \
    --service-principal macie.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS-API: EnableAWSServiceAccess

Aktivieren eines delegierten Administratorkontos für Macie

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos administrative Aktionen für Macie ausführen, die andernfalls nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung von Macie zu trennen.

Mindestberechtigungen

Nur ein Benutzer oder eine Rolle im Organizations-Verwaltungskonto mit den folgenden Berechtigungen kann ein Mitgliedskonto als delegierter Administrator für Macie in der Organisation konfigurieren:

  • organizations:EnableAWSServiceAccess

  • macie:EnableOrganizationAdminAccount

So weisen Sie ein Mitgliedskonto als delegierten Administrator für Macie an

Amazon Macie erfordert vertrauenswürdigen Zugriff auf AWS Organizations, um ein Mitgliedskonto als Macie-Administrator für Ihre Organisation zu bestimmen. Wenn Sie einen delegierten Administrator mit der Macie-Verwaltungskonsole konfigurieren, aktiviert Macie automatisch den vertrauenswürdigen Zugriff für Sie.

Weitere Informationen finden Sie unter https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin