Modifier le compte administrateur Macie d'une organisation - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier le compte administrateur Macie d'une organisation

Une fois qu'une AWS Organizations organisation est intégrée et configurée dans Amazon Macie, le compte de AWS Organizations gestion peut désigner un autre compte en tant que compte administrateur Macie délégué pour l'organisation.

En tant qu'utilisateur du compte de AWS Organizations gestion d'une organisation, vérifiez que vous répondez aux exigences d'autorisation suivantes avant de désigner un autre compte administrateur Macie pour votre organisation :

  • Vous devez disposer des mêmes autorisations que celles requises pour désigner initialement un compte administrateur Macie pour votre organisation. Vous devez également être autorisé à effectuer l' AWS Organizations action suivante :organizations:DeregisterDelegatedAdministrator. Cette action supplémentaire vous permet de supprimer la désignation actuelle.

  • Si votre compte est actuellement un compte membre Macie, l'administrateur Macie actuel doit supprimer votre compte en tant que compte membre Macie. Sinon, vous ne serez pas autorisé à accéder aux opérations Macie pour désigner un autre compte administrateur. Une fois que vous avez désigné un nouveau compte administrateur, le nouvel administrateur Macie peut à nouveau ajouter votre compte en tant que compte membre Macie.

Si votre organisation utilise Macie à plusieurs reprises Régions AWS, assurez-vous également de modifier le compte d'administrateur Macie délégué dans chaque région dans laquelle votre organisation utilise Macie. Le compte administrateur Macie délégué doit être le même dans toutes ces régions. Si vous gérez plusieurs organisations dans AWS Organizations, notez également qu'un compte ne peut être le compte d'administrateur Macie délégué que pour une seule organisation à la fois. Pour en savoir plus sur les exigences supplémentaires, voirConsidérations relatives à l'utilisation de Macie avec AWS Organizations.

Note

Lorsque vous désignez un autre compte administrateur Macie pour votre organisation, vous désactivez également l'accès aux données statistiques existantes, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique des données sensibles pour les comptes de l'organisation. Le nouveau compte administrateur Macie ne peut pas accéder aux données existantes. Si vous modifiez la désignation et que le nouvel administrateur Macie active la découverte automatique des comptes, Macie génère et gère de nouvelles données lorsqu'il effectue la découverte automatique des comptes.

Pour modifier la désignation d'un compte administrateur Macie pour une organisation

Pour désigner un compte administrateur Macie différent pour votre organisation, vous pouvez utiliser la console Amazon Macie ou une combinaison des deux. AWS Organizations APIs Seul un utilisateur du compte de AWS Organizations gestion peut modifier la désignation de son organisation.

Console

Pour modifier la désignation à l'aide de la console Amazon Macie, procédez comme suit.

Pour modifier la désignation du compte administrateur Macie

  1. Connectez-vous à l' AWS Management Console aide de votre compte AWS Organizations de gestion.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier la désignation.

  3. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  4. Procédez de l'une des manières suivantes, selon que Macie est activé ou non pour votre compte de gestion dans la région actuelle :

    • Si Macie n'est pas activé, choisissez Commencer sur la page d'accueil.

    • Si Macie est activé, choisissez Paramètres dans le volet de navigation.

  5. Sous Administrateur délégué, choisissez Supprimer. Pour modifier la désignation, vous devez d'abord supprimer la désignation actuelle.

  6. Confirmez que vous souhaitez supprimer la désignation actuelle.

  7. Sous Administrateur délégué, entrez l'identifiant de compte à 12 chiffres Compte AWS pour le désigner comme nouveau compte administrateur Macie pour l'organisation.

  8. Choisisssez Delegate (Déléguer).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous avez intégré Macie. AWS Organizations

API

Pour modifier la désignation par programmation, vous devez utiliser deux opérations de l'Amazon API Macie et une opération du. AWS Organizations API En effet, vous devez supprimer la désignation actuelle à la fois dans Macie et AWS Organizations avant de soumettre la nouvelle désignation.

Pour supprimer la désignation actuelle :

  1. Utilisez le DisableOrganizationAdminAccountfonctionnement du MacieAPI. Pour le adminAccountId paramètre requis, spécifiez l'identifiant de compte à 12 chiffres pour Compte AWS le compte actuellement désigné comme le compte administrateur Macie de l'organisation.

  2. Utilisez le DeregisterDelegatedAdministratorfonctionnement du AWS Organizations API. Pour le AccountId paramètre, spécifiez l'ID de compte à 12 chiffres du compte actuellement désigné comme compte administrateur Macie pour l'organisation. Cette valeur doit correspondre à l'identifiant de compte que vous avez spécifié dans la demande Macie précédente. Pour le ServicePrincipal paramètre, spécifiez le principal de service Macie (macie.amazonaws.com).

Après avoir supprimé la désignation actuelle, soumettez la nouvelle désignation en EnableOrganizationAdminAccountutilisant le MacieAPI. Pour le adminAccountId paramètre requis, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner comme nouveau compte administrateur Macie pour l'organisation.

Pour modifier la désignation à l'aide du AWS CLI, exécutez la disable-organization-admin-accountcommande du Macie API et la deregister-delegated-administratorcommande du AWS Organizations API. Ces commandes suppriment la désignation actuelle dans Macie et AWS Organizations, respectivement. Pour les account-id paramètres admin-account-id et, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à supprimer en tant que compte administrateur Macie actuel. Utilisez le region paramètre pour spécifier la région à laquelle s'applique la suppression. Par exemple :

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

Où :

  • us-east-1 est la région à laquelle s'applique la suppression, la région de l'est des États-Unis (Virginie du Nord).

  • 111122223333 est l'identifiant du compte à supprimer en tant que compte administrateur Macie.

  • macie.amazonaws.comest le directeur du service Macie.

Après avoir supprimé la désignation actuelle, soumettez la nouvelle désignation en exécutant la enable-organization-admin-accountcommande MacieAPI. Pour le admin-account-id paramètre, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner comme nouveau compte administrateur Macie pour l'organisation. Utilisez le region paramètre pour spécifier la région à laquelle la désignation s'applique. Par exemple :

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

us-east-1 est la région à laquelle s'applique la désignation (la région de l'est des États-Unis (Virginie du Nord)) et 444455556666 est l'identifiant du compte à désigner comme nouveau compte administrateur Macie.