Amazon Macie et AWS Organizations - AWS Organizations
Rôles liés à un servicePrincipaux de serviceActiver l'accès approuvéActivation d'un compte administrateur délégué

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Macie et AWS Organizations

Amazon Macie est un service totalement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour identifier, surveiller et protéger vos données sensibles dans Amazon Simple Storage Service (Amazon S3). Macie automatise la découverte de données sensibles, notamment les informations d'identification personnelle et la propriété intellectuelle, afin de vous fournir une meilleure compréhension des données stockées par votre organisation dans Amazon S3.

Pour plus d'informations, consultez Gestion des comptes Amazon Macie avec AWS Organizations dans le Guide de l'utilisateur Amazon Macie.

Utilisez les informations suivantes pour vous aider à intégrer Amazon Macie à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service ci-dessous est automatiquement créé pour le compte administrateur Macie délégué de l'organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Macie d'effectuer les opérations prises en charge pour les comptes de votre organisation.

Vous ne pouvez supprimer ce rôle que si vous désactivez l'accès approuvé entre Macie et Organizations, ou si vous supprimez le compte membre de l'organisation.

  • AWSServiceRoleRorAmazonMacie

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Macie autorisent l'accès aux mandataires de service suivants :

  • macie.amazonaws.com

Activation de l'accès approuvé avec Macie

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Vous pouvez activer l'accès approuvé à l'aide de la console Amazon Macie ou de la console AWS Organizations.

Important

Dans la mesure du possible, nous vous recommandons vivement d'utiliser la console ou les outils d'Amazon Macie pour activer l'intégration à Organizations. Cela permet à Amazon Macie d'effectuer toute configuration nécessaire, par exemple la création des ressources nécessaires au service. Exécutez ces étapes uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Amazon Macie. Pour plus d'informations, consultez cette note.

Si vous activez l'accès approuvé à l'aide de la console ou des outils d'Amazon Macie, vous n'avez pas besoin de suivre ces étapes.

Pour activer l'accès approuvé à l'aide de la console Macie

Amazon Macie exige un accès approuvé à AWS Organizations avant que vous puissiez désigner un compte membre comme administrateur Macie pour votre organisation. Si vous configurez un administrateur délégué à l'aide de la console de gestion de Macie, le service active automatiquement l'accès approuvé pour vous.

Pour plus d'informations, consultez Intégration et configuration d'une organisation dans Amazon Macie dans le Guide de l'utilisateur Amazon Macie.

Vous pouvez activer l'accès approuvé en exécutant une commande de AWS CLI Organizations ou en appelant une opération d'API Organizations dans l'un des SDK AWS.

AWS CLI, AWS API
Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les commandes de AWS CLI ou les opérations d'API suivantes pour activer l'accès approuvé aux services :

  • AWS CLI : enable-aws-service-access

    Vous pouvez exécuter la commande suivante pour activer Amazon Macie en tant que service approuvé auprès d'Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal macie.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • API AWS : EnableAWSServiceAccess

Activation d'un compte administrateur délégué pour Macie

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Macie qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Macie.

Autorisations minimales

Seuls un utilisateur ou un rôle du compte de gestion d'Organizations disposant de l'autorisation suivante peuvent configurer un compte membre en tant qu'administrateur délégué pour Macie dans l'organisation :

  • organizations:EnableAWSServiceAccess

  • macie:EnableOrganizationAdminAccount

Pour désigner un compte membre comme administrateur délégué pour Macie

Amazon Macie exige un accès approuvé à AWS Organizations avant que vous puissiez désigner un compte membre comme administrateur Macie pour votre organisation. Si vous configurez un administrateur délégué à l'aide de la console de gestion de Macie, le service active automatiquement l'accès approuvé pour vous.

Pour de plus amples informations, veuillez consulter https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin.