Intégration et configuration d'une organisation dans Macie - Amazon Macie
Étape 1 : Vérifier vos autorisationsÉtape 2 : Désigner le compte administrateur Macie déléguéÉtape 3 : activer et ajouter automatiquement de nouveaux comptes d'organisationÉtape 4 : activer et ajouter des comptes d'organisation existants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration et configuration d'une organisation dans Macie

Pour commencer à utiliser Amazon Macie avec AWS Organizations, le compte de AWS Organizations gestion de l'organisation désigne un compte en tant que compte administrateur Macie délégué pour l'organisation. Cela permet à Macie de devenir un service de confiance dans AWS Organizations. Il active également Macie en cours Région AWS pour le compte administrateur désigné, et il permet au compte administrateur désigné d'activer et de gérer Macie pour les autres comptes de l'organisation dans cette région. Pour plus d'informations sur la manière dont ces autorisations sont accordées, voir Utilisation AWS Organizations avec d'autres personnes Services AWS dans le Guide de AWS Organizations l'utilisateur.

L'administrateur délégué de Macie configure ensuite l'organisation dans Macie, principalement en ajoutant les comptes de l'organisation en tant que comptes de membres de Macie dans la région. L'administrateur peut ensuite accéder à certains paramètres, données et ressources Macie pour ces comptes dans cette région. Ils peuvent également effectuer une découverte automatique des données sensibles et exécuter des tâches de découverte de données sensibles pour détecter les données sensibles dans les compartiments Amazon Simple Storage Service (Amazon S3) détenus par les comptes.

Cette rubrique explique comment désigner un administrateur Macie délégué pour une organisation et comment ajouter les comptes de l'organisation en tant que comptes de membres Macie. Avant d'effectuer ces tâches, assurez-vous de bien comprendre la relation entre les comptes administrateur et membre de Macie. Il est également conseillé de passer en revue les considérations et les recommandations relatives à l'utilisation de Macie avec AWS Organizations.

Pour intégrer et configurer l'organisation dans plusieurs régions, le compte AWS Organizations de gestion et l'administrateur Macie délégué répètent ces étapes dans chaque région supplémentaire.

Étape 1 : Vérifier vos autorisations

Avant de désigner le compte administrateur Macie délégué pour votre organisation, vérifiez que vous (en tant qu'utilisateur du compte de AWS Organizations gestion) êtes autorisé à effectuer l'action Macie suivante : macie2:EnableOrganizationAdminAccount Cette action vous permet de désigner le compte administrateur Macie délégué pour votre organisation à l'aide de Macie.

Vérifiez également que vous êtes autorisé à effectuer les AWS Organizations actions suivantes :

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

Ces actions vous permettent de : récupérer des informations sur votre organisation ; intégrer Macie à AWS Organizations ; récupérer des informations à propos desquelles Services AWS vous avez intégré AWS Organizations ; et désigner un compte administrateur Macie délégué pour votre organisation.

Pour accorder ces autorisations, incluez la déclaration suivante dans une AWS Identity and Access Management (IAM) politique de votre compte :

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

Si vous souhaitez désigner votre compte AWS Organizations de gestion comme compte administrateur Macie délégué pour l'organisation, votre compte doit également être autorisé à effectuer l'IAMaction suivante :CreateServiceLinkedRole. Cette action vous permet d'activer Macie pour le compte de gestion. Toutefois, conformément aux meilleures pratiques en matière de AWS sécurité et au principe du moindre privilège, nous vous déconseillons de le faire.

Si vous décidez d'accorder cette autorisation, ajoutez la déclaration suivante à la IAM politique de votre compte AWS Organizations de gestion :

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

Dans la déclaration, remplacez 111122223333 avec l'identifiant du compte de gestion.

Si vous souhaitez administrer Macie dans le cadre d'un opt-in Région AWS (région désactivée par défaut), mettez également à jour la valeur du principal de service Macie dans l'Resourceélément et la condition. iam:AWSServiceName La valeur doit spécifier le code de région pour la région. Par exemple, pour administrer Macie dans la région du Moyen-Orient (Bahreïn), dont le code de région est me-south-1, procédez comme suit :

  • Dans l'Resourceélément, remplacez

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    avec

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    111122223333 spécifie l'ID de compte pour le compte de gestion et me-south-1 spécifie le code de région pour la région.

  • En l'iam:AWSServiceNameétat, remplacer macie.amazonaws.com parmacie.me-south-1.amazonaws.com, où me-south-1 spécifie le code de région pour la région.

Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section Points de terminaison et quotas Amazon Macie dans le. Références générales AWS Pour déterminer si une région est une région optionnelle, consultez la section Activer ou désactiver Régions AWS dans votre compte dans le guide de l'AWS Account Management utilisateur.

Étape 2 : Désigner le compte administrateur Macie délégué pour l'organisation

Après avoir vérifié vos autorisations, vous (en tant qu'utilisateur du compte de AWS Organizations gestion) pouvez désigner le compte administrateur Macie délégué pour votre organisation.

Pour désigner le compte administrateur Macie délégué pour une organisation

Pour désigner le compte administrateur Macie délégué pour votre organisation, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API Seul un utilisateur du compte AWS Organizations de gestion peut effectuer cette tâche.

Console

Suivez ces étapes pour désigner le compte administrateur Macie délégué à l'aide de la console Amazon Macie.

Pour désigner le compte administrateur Macie délégué

  1. Connectez-vous à l' AWS Management Console aide de votre compte AWS Organizations de gestion.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez désigner le compte d'administrateur Macie délégué pour votre organisation.

  3. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  4. Procédez de l'une des manières suivantes, selon que Macie est activé ou non pour votre compte de gestion dans la région actuelle :

    • Si Macie n'est pas activé, choisissez Commencer sur la page d'accueil.

    • Si Macie est activé, choisissez Paramètres dans le volet de navigation.

  5. Sous Administrateur délégué, entrez l'identifiant de compte à 12 chiffres pour le compte Compte AWS que vous souhaitez désigner comme compte administrateur Macie.

  6. Choisisssez Delegate (Déléguer).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez intégrer votre organisation à Macie. Vous devez désigner le même compte administrateur Macie dans chacune de ces régions.

API

Pour désigner le compte administrateur Macie délégué par programmation, utilisez le EnableOrganizationAdminAccountfonctionnement d'Amazon Macie. API Pour désigner le compte dans plusieurs régions, soumettez la désignation de chaque région dans laquelle vous souhaitez intégrer votre organisation à Macie. Vous devez désigner le même compte administrateur Macie dans chacune de ces régions.

Lorsque vous soumettez la désignation, utilisez le adminAccountId paramètre requis pour spécifier l'identifiant de compte à 12 chiffres Compte AWS à désigner comme compte administrateur Macie pour l'organisation. Assurez-vous également de spécifier la région à laquelle la désignation s'applique.

Pour désigner le compte administrateur Macie à l'aide de AWS Command Line Interface (AWS CLI), exécutez la enable-organization-admin-accountcommande. Pour le admin-account-id paramètre, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner. Utilisez le region paramètre pour spécifier la région à laquelle la désignation s'applique. Par exemple :

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

us-east-1 est la région à laquelle s'applique la désignation (la région de l'est des États-Unis (Virginie du Nord)) et 111122223333 est l'identifiant du compte à désigner.

Après avoir désigné le compte administrateur Macie pour votre organisation, l'administrateur Macie peut commencer à configurer l'organisation dans Macie.

Étape 3 : activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie

Par défaut, Macie n'est pas automatiquement activé pour les nouveaux comptes lorsque ceux-ci sont ajoutés à votre organisation dans AWS Organizations. De plus, les comptes ne sont pas automatiquement ajoutés en tant que comptes membres de Macie. Les comptes apparaissent dans l'inventaire des comptes de l'administrateur Macie. Cependant, Macie n'est pas nécessairement activé pour les comptes et l'administrateur Macie ne peut pas nécessairement accéder aux paramètres, aux données et aux ressources de Macie pour les comptes.

Si vous êtes l'administrateur Macie délégué de l'organisation, vous pouvez modifier ce paramètre de configuration. Vous pouvez activer l'activation automatique pour votre organisation. Dans ce cas, Macie est automatiquement activé pour les nouveaux comptes lorsque ceux-ci sont ajoutés à votre organisation dans AWS Organizations. De plus, les comptes sont automatiquement associés à votre compte administrateur Macie en tant que comptes membres. L'activation de ce paramètre n'affecte pas les comptes existants de votre organisation. Pour activer et gérer Macie pour les comptes existants, vous devez ajouter manuellement les comptes en tant que comptes membres Macie. L'étape suivante explique comment procéder.

Note

Si vous activez l'activation automatique, notez l'exception suivante. Si un nouveau compte est déjà associé à un autre compte administrateur Macie, Macie n'ajoute pas automatiquement le compte en tant que compte membre de votre organisation. Le compte doit être dissocié de son compte administrateur Macie actuel avant de pouvoir faire partie de votre organisation dans Macie. Vous pouvez ensuite ajouter le compte manuellement. Pour identifier les comptes dans lesquels c'est le cas, vous pouvez consulter l'inventaire des comptes de votre organisation.

Pour activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie

Pour activer et ajouter automatiquement de nouveaux comptes en tant que comptes membres Macie, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API Seul l'administrateur Macie délégué de l'organisation peut effectuer cette tâche.

Console

Pour effectuer cette tâche à l'aide de la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante :organizations:ListAccounts. Cette action vous permet de récupérer et d'afficher des informations sur les comptes de votre organisation. Si vous disposez de ces autorisations, suivez ces étapes pour activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie.

Pour activer et ajouter automatiquement de nouveaux comptes d'organisation

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer et ajouter automatiquement de nouveaux comptes en tant que comptes membres Macie.

  3. Dans le panneau de navigation, choisissez Accounts (Comptes).

  4. Sur la page Comptes, dans la section Nouveaux comptes, choisissez Modifier.

  5. Dans la boîte de dialogue Modifier les paramètres pour les nouveaux comptes, sélectionnez Activer Macie.

    Pour activer également la découverte automatique des données sensibles pour les nouveaux comptes membres, sélectionnez Activer la découverte automatique des données sensibles. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter Réalisation de la découverte automatisée des données sensibles.

  6. Choisissez Save (Enregistrer).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez configurer votre organisation dans Macie.

Pour modifier ultérieurement ces paramètres, répétez les étapes précédentes et décochez la case correspondant à chaque paramètre.

API

Pour activer et ajouter automatiquement de nouveaux comptes membres Macie par programmation, utilisez le UpdateOrganizationConfigurationfonctionnement d'Amazon Macie. API Lorsque vous soumettez votre demande, définissez la valeur du autoEnable paramètre surtrue. (La valeur par défaut est false.) Assurez-vous également de spécifier la région à laquelle s'applique votre demande. Pour activer et ajouter automatiquement de nouveaux comptes dans des régions supplémentaires, soumettez la demande pour chaque région supplémentaire.

Si vous utilisez le AWS CLI pour envoyer la demande, exécutez la update-organization-configurationcommande et spécifiez le auto-enable paramètre pour activer et ajouter de nouveaux comptes automatiquement. Par exemple :

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

us-east-1 est la région dans laquelle vous pouvez automatiquement activer et ajouter de nouveaux comptes, la région USA Est (Virginie du Nord).

Pour modifier ultérieurement ce paramètre et arrêter d'activer et d'ajouter automatiquement de nouveaux comptes, réexécutez la même commande et utilisez le no-auto-enable paramètre, au lieu du auto-enable paramètre, dans chaque région applicable.

Vous pouvez également activer la découverte automatique des données sensibles pour les nouveaux comptes membres. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter Réalisation de la découverte automatisée des données sensibles. Pour activer automatiquement cette fonctionnalité pour les comptes des membres, utilisez l'UpdateAutomatedDiscoveryConfigurationopération ou, si vous utilisez le AWS CLI, exécutez la update-automated-discovery-configurationcommande.

Étape 4 : activer et ajouter des comptes d'organisation existants en tant que comptes membres Macie

Lorsque vous intégrez Macie à Macie AWS Organizations, Macie n'est pas automatiquement activé pour tous les comptes existants de votre organisation. De plus, les comptes ne sont pas automatiquement associés au compte administrateur Macie délégué en tant que comptes de membre Macie. Par conséquent, la dernière étape de l'intégration et de la configuration de votre organisation dans Macie consiste à ajouter des comptes d'organisation existants en tant que comptes membres de Macie. Lorsque vous ajoutez un compte existant en tant que compte membre Macie, Macie est automatiquement activé pour le compte et vous (en tant qu'administrateur Macie délégué) avez accès à certains paramètres, données et ressources Macie du compte.

Notez que vous ne pouvez pas ajouter un compte actuellement associé à un autre compte administrateur Macie. Pour ajouter le compte, contactez le propriétaire du compte pour dissocier d'abord le compte de son compte administrateur actuel. De plus, vous ne pouvez pas ajouter de compte existant si Macie est actuellement suspendu pour ce compte. Le titulaire du compte doit d'abord réactiver Macie pour le compte. Enfin, si vous souhaitez ajouter le compte de AWS Organizations gestion en tant que compte membre, un utilisateur de ce compte doit d'abord activer Macie pour le compte.

Pour activer et ajouter des comptes d'organisation existants en tant que comptes membres de Macie

Pour activer et ajouter des comptes d'organisation existants en tant que comptes membres de Macie, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API Seul l'administrateur Macie délégué de l'organisation peut effectuer cette tâche.

Console

Pour effectuer cette tâche à l'aide de la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante :organizations:ListAccounts. Cette action vous permet de récupérer et d'afficher des informations sur les comptes de votre organisation. Si vous disposez de ces autorisations, procédez comme suit pour activer et ajouter des comptes existants en tant que comptes membres Macie.

Pour activer et ajouter des comptes d'organisation existants

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer et ajouter des comptes existants en tant que comptes membres Macie.

  3. Dans le panneau de navigation, choisissez Accounts (Comptes). La page Comptes s'ouvre et affiche un tableau des comptes associés à votre compte Macie.

    Si un compte fait partie de votre organisation dans AWS Organizations, son type est Via AWS Organizations. Si un compte est déjà membre de Macie, son statut est Activé ou Suspendu (suspendu).

  4. Dans le tableau des comptes existants, cochez la case correspondant à chaque compte que vous souhaitez ajouter en tant que compte membre Macie.

  5. Dans le menu Actions, choisissez Ajouter un membre.

  6. Confirmez que vous souhaitez ajouter les comptes sélectionnés en tant que comptes membres.

Une fois que vous avez confirmé l'ajout des comptes sélectionnés, le statut des comptes passe à Activation en cours, puis à Activé. Après avoir ajouté un compte membre, vous pouvez également activer la découverte automatique des données sensibles pour le compte : dans le tableau Comptes existants, cochez la case correspondant à chaque compte pour laquelle elle est activée, puis choisissez Activer la découverte automatique des données sensibles dans le menu Actions. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter Réalisation de la découverte automatisée des données sensibles.

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez configurer votre organisation dans Macie.

API

Pour activer et ajouter par programmation un ou plusieurs comptes existants en tant que comptes membres Macie, utilisez le CreateMemberfonctionnement d'Amazon Macie. API Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chacun Compte AWS à activer et à ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour activer et ajouter des comptes existants dans d'autres régions, soumettez la demande pour chaque région supplémentaire.

Pour récupérer l'identifiant de compte et l'adresse e-mail d'un Compte AWS utilisateur à activer et à ajouter, vous pouvez éventuellement utiliser le ListMembersfonctionnement d'Amazon MacieAPI. Cette opération fournit des détails sur les comptes associés à votre compte Macie, y compris les comptes qui ne sont pas des comptes de membres de Macie. Si la valeur de la relationshipStatus propriété d'un compte n'est pas Enabled ou Paused si le compte n'est pas un compte de membre Macie.

Pour activer et ajouter un ou plusieurs comptes existants à l'aide de AWS CLI, exécutez la commande create-member. Utilisez le region paramètre pour spécifier la région dans laquelle vous souhaitez activer et ajouter les comptes. Utilisez les account paramètres pour spécifier l'ID de compte et l'adresse e-mail de chacun Compte AWS à ajouter. Par exemple :

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

us-east-1 est la région dans laquelle activer et ajouter le compte en tant que compte de membre Macie (région USA Est (Virginie du Nord)), et les account paramètres spécifient l'ID du compte (123456789012) et adresse e-mail (janedoe@example.com) pour le compte.

Si votre demande aboutit, le statut (relationshipStatus) du compte spécifié est reporté Enabled à l'inventaire de votre compte.

Pour activer également la découverte automatique des données sensibles pour un ou plusieurs comptes, utilisez l'BatchUpdateAutomatedDiscoveryAccountsopération ou, si vous utilisez le AWS CLI, exécutez la commande batch-update-automated-discovery-accounts. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter Réalisation de la découverte automatisée des données sensibles.