Mengintegrasikan dan mengonfigurasi organisasi di Macie - Amazon Macie
Langkah 1: Verifikasi izin AndaLangkah 2: Tentukan akun administrator Macie yang didelegasikanLangkah 3: Secara otomatis mengaktifkan dan menambahkan akun organisasi baruLangkah 4: Aktifkan dan tambahkan akun organisasi yang ada

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengintegrasikan dan mengonfigurasi organisasi di Macie

Untuk mulai menggunakan Amazon Macie dengan AWS Organizations, akun AWS Organizations manajemen untuk organisasi menetapkan akun sebagai akun administrator Macie yang didelegasikan untuk organisasi. Ini memungkinkan Macie sebagai layanan tepercaya di AWS Organizations. Ini juga memungkinkan Macie saat ini Wilayah AWS untuk akun administrator yang ditunjuk, dan memungkinkan akun administrator yang ditunjuk untuk mengaktifkan dan mengelola Macie untuk akun lain di organisasi di Wilayah itu. Untuk informasi tentang cara izin ini diberikan, lihat Menggunakan AWS Organizations dengan yang lain Layanan AWS di Panduan AWS Organizations Pengguna.

Administrator Macie yang didelegasikan kemudian mengonfigurasi organisasi di Macie, terutama dengan menambahkan akun organisasi sebagai akun anggota Macie di Wilayah. Administrator kemudian dapat mengakses pengaturan, data, dan sumber daya Macie tertentu untuk akun tersebut di Wilayah tersebut. Mereka juga dapat melakukan penemuan data sensitif otomatis dan menjalankan pekerjaan penemuan data sensitif untuk mendeteksi data sensitif di bucket Amazon Simple Storage Service (Amazon S3) yang dimiliki akun.

Topik ini menjelaskan cara menunjuk administrator Macie yang didelegasikan untuk organisasi dan cara menambahkan akun organisasi sebagai akun anggota Macie. Sebelum Anda melakukan tugas-tugas ini, pastikan bahwa Anda memahami hubungan antara administrator Macie dan akun anggota. Ini juga merupakan ide yang baik untuk meninjau pertimbangan dan rekomendasi untuk menggunakan Macie dengan. AWS Organizations

Untuk mengintegrasikan dan mengonfigurasi organisasi di beberapa Wilayah, akun AWS Organizations manajemen dan administrator Macie yang didelegasikan mengulangi langkah-langkah ini di setiap Wilayah tambahan.

Langkah 1: Verifikasi izin Anda

Sebelum Anda menetapkan akun administrator Macie yang didelegasikan untuk organisasi Anda, verifikasi bahwa Anda (sebagai pengguna akun AWS Organizations manajemen) diizinkan untuk melakukan tindakan Macie berikut:. macie2:EnableOrganizationAdminAccount Tindakan ini memungkinkan Anda untuk menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda dengan menggunakan Macie.

Juga verifikasi bahwa Anda diizinkan untuk melakukan AWS Organizations tindakan berikut:

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

Tindakan ini memungkinkan Anda untuk: mengambil informasi tentang organisasi Anda; mengintegrasikan Macie dengan AWS Organizations; mengambil informasi tentang mana Layanan AWS Anda telah terintegrasi dengan AWS Organizations; dan, menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda.

Untuk memberikan izin ini, sertakan pernyataan berikut dalam kebijakan AWS Identity and Access Management (IAM) untuk akun Anda:

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

Jika Anda ingin menetapkan akun AWS Organizations manajemen Anda sebagai akun administrator Macie yang didelegasikan untuk organisasi, akun Anda juga memerlukan izin untuk melakukan tindakan berikut:IAM. CreateServiceLinkedRole Tindakan ini memungkinkan Anda mengaktifkan Macie untuk akun manajemen. Namun, berdasarkan praktik terbaik AWS keamanan dan prinsip hak istimewa terkecil, kami tidak menyarankan Anda melakukan ini.

Jika Anda memutuskan untuk memberikan izin ini, tambahkan pernyataan berikut ke IAM kebijakan untuk akun AWS Organizations manajemen Anda:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

Dalam pernyataan tersebut, ganti 111122223333 dengan ID akun untuk akun manajemen.

Jika Anda ingin mengelola Macie dalam opt-in Wilayah AWS (Wilayah yang dinonaktifkan secara default), perbarui juga nilai untuk prinsipal layanan Macie di Resource elemen dan kondisi. iam:AWSServiceName Nilai harus menentukan kode Wilayah untuk Wilayah. Misalnya, untuk mengelola Macie di Wilayah Timur Tengah (Bahrain), yang memiliki kode Wilayah me-south-1, lakukan hal berikut:

  • Dalam Resource elemen, ganti

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    dengan

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    Di mana 111122223333 menentukan ID akun untuk akun manajemen dan me-south-1 menentukan kode Wilayah untuk Wilayah.

  • Dalam iam:AWSServiceName kondisi, ganti macie.amazonaws.com denganmacie.me-south-1.amazonaws.com, di mana me-south-1 menentukan kode Wilayah untuk Wilayah.

Untuk daftar Wilayah di mana Macie saat ini tersedia dan kode Wilayah untuk masing-masing wilayah, lihat titik akhir dan kuota Amazon Macie di. Referensi Umum AWS Untuk menentukan apakah suatu Wilayah merupakan Region opt-in, lihat Mengaktifkan atau menonaktifkan Wilayah AWS di akun Anda di Panduan AWS Account Management Pengguna.

Langkah 2: Tentukan akun administrator Macie yang didelegasikan untuk organisasi

Setelah memverifikasi izin, Anda (sebagai pengguna akun AWS Organizations manajemen) dapat menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda.

Untuk menunjuk akun administrator Macie yang didelegasikan untuk sebuah organisasi

Untuk menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie. API Hanya pengguna akun AWS Organizations manajemen yang dapat melakukan tugas ini.

Console

Ikuti langkah-langkah ini untuk menunjuk akun administrator Macie yang didelegasikan dengan menggunakan konsol Amazon Macie.

Untuk menunjuk akun administrator Macie yang didelegasikan

  1. Masuk ke AWS Management Console menggunakan akun AWS Organizations manajemen Anda.

  2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin menunjuk akun administrator Macie yang didelegasikan untuk organisasi Anda.

  3. Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/

  4. Lakukan salah satu hal berikut, tergantung pada apakah Macie diaktifkan untuk akun manajemen Anda di Wilayah saat ini:

    • Jika Macie tidak diaktifkan, pilih Mulai di halaman selamat datang.

    • Jika Macie diaktifkan, pilih Pengaturan di panel navigasi.

  5. Di bawah Administrator yang didelegasikan, masukkan ID akun 12 digit untuk Akun AWS yang ingin Anda tetapkan sebagai akun administrator Macie.

  6. Pilih Delegasikan.

Ulangi langkah sebelumnya di setiap Wilayah tambahan di mana Anda ingin mengintegrasikan organisasi Anda dengan Macie. Anda harus menunjuk akun administrator Macie yang sama di masing-masing Wilayah tersebut.

API

Untuk menunjuk akun administrator Macie yang didelegasikan secara terprogram, gunakan pengoperasian Amazon Macie EnableOrganizationAdminAccount. API Untuk menetapkan akun di beberapa Wilayah, kirimkan penunjukan untuk setiap Wilayah tempat Anda ingin mengintegrasikan organisasi Anda dengan Macie. Anda harus menunjuk akun administrator Macie yang sama di masing-masing Wilayah tersebut.

Saat Anda mengirimkan penunjukan, gunakan adminAccountId parameter yang diperlukan untuk menentukan ID akun 12 digit Akun AWS untuk ditunjuk sebagai akun administrator Macie untuk organisasi. Pastikan juga bahwa Anda menentukan Wilayah tempat penunjukan berlaku.

Untuk menunjuk akun administrator Macie dengan menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah. enable-organization-admin-account Untuk admin-account-id parameter, tentukan ID akun 12 digit Akun AWS untuk ditunjuk. Gunakan region parameter untuk menentukan Wilayah tempat penunjukan berlaku. Sebagai contoh:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

Di mana us-east-1 adalah Wilayah yang penunjukan berlaku untuk (Wilayah AS Timur (Virginia N.)) dan 111122223333 adalah ID akun untuk akun yang akan ditunjuk.

Setelah Anda menunjuk akun administrator Macie untuk organisasi Anda, administrator Macie dapat mulai mengonfigurasi organisasi di Macie.

Langkah 3: Secara otomatis mengaktifkan dan menambahkan akun organisasi baru sebagai akun anggota Macie

Secara default, Macie tidak diaktifkan secara otomatis untuk akun baru saat akun ditambahkan ke organisasi Anda. AWS Organizations Selain itu, akun tidak ditambahkan secara otomatis sebagai akun anggota Macie. Akun muncul di inventaris akun administrator Macie. Namun, Macie belum tentu diaktifkan untuk akun dan administrator Macie tidak dapat mengakses pengaturan, data, dan sumber daya Macie untuk akun tersebut.

Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi, Anda dapat mengubah pengaturan konfigurasi ini. Anda dapat mengaktifkan pengaktifan otomatis untuk organisasi Anda. Jika Anda melakukan ini, Macie secara otomatis diaktifkan untuk akun baru saat akun ditambahkan ke organisasi Anda. AWS Organizations Selain itu, akun secara otomatis dikaitkan dengan akun administrator Macie Anda sebagai akun anggota. Mengaktifkan setelan ini tidak memengaruhi akun yang ada di organisasi Anda. Untuk mengaktifkan dan mengelola Macie untuk akun yang ada, Anda harus menambahkan akun secara manual sebagai akun anggota Macie. Langkah selanjutnya menjelaskan bagaimana melakukan ini.

catatan

Jika Anda mengaktifkan pengaktifan otomatis, perhatikan pengecualian berikut. Jika akun baru sudah dikaitkan dengan akun administrator Macie yang berbeda, Macie tidak secara otomatis menambahkan akun sebagai akun anggota di organisasi Anda. Akun harus dipisahkan dari akun administrator Macie saat ini sebelum dapat menjadi bagian dari organisasi Anda di Macie. Anda kemudian dapat menambahkan akun secara manual. Untuk mengidentifikasi akun di mana hal ini terjadi, Anda dapat meninjau inventaris akun untuk organisasi Anda.

Untuk mengaktifkan dan menambahkan akun organisasi baru secara otomatis sebagai akun anggota Macie

Untuk mengaktifkan dan menambahkan akun baru secara otomatis sebagai akun anggota Macie, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie. API Hanya administrator Macie yang didelegasikan untuk organisasi yang dapat melakukan tugas ini.

Console

Untuk melakukan tugas ini dengan menggunakan konsol, Anda harus diizinkan untuk melakukan AWS Organizations tindakan berikut:organizations:ListAccounts. Tindakan ini memungkinkan Anda untuk mengambil dan menampilkan informasi tentang akun di organisasi Anda. Jika Anda memiliki izin ini, ikuti langkah-langkah berikut untuk mengaktifkan dan menambahkan akun organisasi baru secara otomatis sebagai akun anggota Macie.

Untuk mengaktifkan dan menambahkan akun organisasi baru secara otomatis

  1. Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/

  2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah di mana Anda ingin mengaktifkan secara otomatis dan menambahkan akun baru sebagai akun anggota Macie.

  3. Di panel navigasi, pilih Akun.

  4. Pada halaman Akun, di bagian Akun baru, pilih Edit.

  5. Dalam kotak dialog Edit pengaturan untuk akun baru, pilih Aktifkan Macie.

    Untuk juga mengaktifkan penemuan data sensitif otomatis secara otomatis untuk akun anggota baru, pilih Aktifkan penemuan data sensitif otomatis. Jika Anda mengaktifkan fitur ini untuk akun, Macie terus memilih objek sampel dari bucket S3 akun dan menganalisis objek untuk menentukan apakah objek tersebut berisi data sensitif. Untuk informasi selengkapnya, lihat Melakukan penemuan data sensitif otomatis.

  6. Pilih Simpan.

Ulangi langkah sebelumnya di setiap Wilayah tambahan tempat Anda ingin mengonfigurasi organisasi Anda di Macie.

Untuk selanjutnya mengubah pengaturan ini, ulangi langkah-langkah sebelumnya dan kosongkan kotak centang untuk setiap pengaturan.

API

Untuk mengaktifkan dan menambahkan akun anggota Macie baru secara otomatis secara terprogram, gunakan UpdateOrganizationConfigurationpengoperasian Amazon Macie. API Saat Anda mengirimkan permintaan, tetapkan nilai untuk autoEnable parameter tersebuttrue. (Nilai default-nya adalah false.) Pastikan juga bahwa Anda menentukan Wilayah tempat permintaan Anda berlaku. Untuk mengaktifkan dan menambahkan akun baru secara otomatis di Wilayah tambahan, kirimkan permintaan untuk setiap Wilayah tambahan.

Jika Anda menggunakan AWS CLI untuk mengirimkan permintaan, jalankan update-organization-configurationperintah dan tentukan auto-enable parameter untuk mengaktifkan dan menambahkan akun baru secara otomatis. Sebagai contoh:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

Di mana us-east-1 adalah Wilayah di mana untuk secara otomatis mengaktifkan dan menambahkan akun baru, Wilayah AS Timur (Virginia N.).

Untuk selanjutnya mengubah pengaturan ini dan berhenti mengaktifkan dan menambahkan akun baru secara otomatis, jalankan perintah yang sama lagi dan gunakan no-auto-enable parameter, bukan auto-enable parameter, di setiap Wilayah yang berlaku.

Anda juga dapat mengaktifkan penemuan data sensitif otomatis secara otomatis untuk akun anggota baru. Jika Anda mengaktifkan fitur ini untuk akun, Macie terus memilih objek sampel dari bucket S3 akun dan menganalisis objek untuk menentukan apakah objek tersebut berisi data sensitif. Untuk informasi selengkapnya, lihat Melakukan penemuan data sensitif otomatis. Untuk mengaktifkan fitur ini secara otomatis untuk akun anggota, gunakan UpdateAutomatedDiscoveryConfigurationoperasi atau, jika Anda menggunakan AWS CLI, jalankan update-automated-discovery-configurationperintah.

Langkah 4: Aktifkan dan tambahkan akun organisasi yang ada sebagai akun anggota Macie

Saat Anda mengintegrasikan Macie AWS Organizations, Macie tidak diaktifkan secara otomatis untuk semua akun yang ada di organisasi Anda. Selain itu, akun tidak secara otomatis dikaitkan dengan akun administrator Macie yang didelegasikan sebagai akun anggota Macie. Oleh karena itu, langkah terakhir untuk mengintegrasikan dan mengonfigurasi organisasi Anda di Macie adalah menambahkan akun organisasi yang ada sebagai akun anggota Macie. Saat Anda menambahkan akun yang ada sebagai akun anggota Macie, Macie secara otomatis diaktifkan untuk akun tersebut dan Anda (sebagai administrator Macie yang didelegasikan) mendapatkan akses ke pengaturan, data, dan sumber daya Macie tertentu untuk akun tersebut.

Perhatikan bahwa Anda tidak dapat menambahkan akun yang saat ini dikaitkan dengan akun administrator Macie lainnya. Untuk menambahkan akun, bekerja dengan pemilik akun untuk terlebih dahulu memisahkan akun dari akun administrator saat ini. Selain itu, Anda tidak dapat menambahkan akun yang ada jika Macie saat ini ditangguhkan untuk akun tersebut. Pemilik akun harus mengaktifkan kembali Macie terlebih dahulu untuk akun tersebut. Terakhir, jika Anda ingin menambahkan akun AWS Organizations manajemen sebagai akun anggota, pengguna akun itu harus mengaktifkan Macie terlebih dahulu untuk akun tersebut.

Untuk mengaktifkan dan menambahkan akun organisasi yang ada sebagai akun anggota Macie

Untuk mengaktifkan dan menambahkan akun organisasi yang ada sebagai akun anggota Macie, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie. API Hanya administrator Macie yang didelegasikan untuk organisasi yang dapat melakukan tugas ini.

Console

Untuk melakukan tugas ini dengan menggunakan konsol, Anda harus diizinkan untuk melakukan AWS Organizations tindakan berikut:organizations:ListAccounts. Tindakan ini memungkinkan Anda untuk mengambil dan menampilkan informasi tentang akun di organisasi Anda. Jika Anda memiliki izin ini, ikuti langkah-langkah berikut untuk mengaktifkan dan menambahkan akun yang ada sebagai akun anggota Macie.

Untuk mengaktifkan dan menambahkan akun organisasi yang ada

  1. Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/

  2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah yang ingin Anda aktifkan dan tambahkan akun yang ada sebagai akun anggota Macie.

  3. Di panel navigasi, pilih Akun. Halaman Akun membuka dan menampilkan tabel akun yang terkait dengan akun Macie Anda.

    Jika akun adalah bagian dari organisasi Anda AWS Organizations, Jenisnya adalah Via AWS Organizations. Jika akun sudah menjadi akun anggota Macie, Statusnya Diaktifkan atau Dijeda (ditangguhkan).

  4. Di tabel Akun yang ada, pilih kotak centang untuk setiap akun yang ingin Anda tambahkan sebagai akun anggota Macie.

  5. Pada menu Tindakan, pilih Tambahkan anggota.

  6. Konfirmasikan bahwa Anda ingin menambahkan akun yang dipilih sebagai akun anggota.

Setelah Anda mengonfirmasi penambahan akun yang dipilih, status akun berubah menjadi Mengaktifkan dalam proses dan kemudian Diaktifkan. Setelah menambahkan akun anggota, Anda juga dapat mengaktifkan penemuan data sensitif otomatis untuk akun tersebut: di tabel Akun yang ada, pilih kotak centang untuk setiap akun untuk mengaktifkannya, lalu pilih Aktifkan penemuan data sensitif otomatis pada menu Tindakan. Jika Anda mengaktifkan fitur ini untuk akun, Macie terus memilih objek sampel dari bucket S3 akun dan menganalisis objek untuk menentukan apakah objek tersebut berisi data sensitif. Untuk informasi selengkapnya, lihat Melakukan penemuan data sensitif otomatis.

Ulangi langkah sebelumnya di setiap Wilayah tambahan tempat Anda ingin mengonfigurasi organisasi Anda di Macie.

API

Untuk mengaktifkan dan menambahkan satu atau beberapa akun yang ada secara terprogram sebagai akun anggota Macie, gunakan CreateMemberpengoperasian Amazon Macie. API Saat Anda mengirimkan permintaan, gunakan parameter yang didukung untuk menentukan 12 digit ID akun dan alamat email masing-masing Akun AWS untuk mengaktifkan dan menambahkan. Tentukan juga Wilayah tempat permintaan tersebut berlaku. Untuk mengaktifkan dan menambahkan akun yang ada di Wilayah tambahan, kirimkan permintaan untuk setiap Wilayah tambahan.

Untuk mengambil ID akun dan alamat email Akun AWS untuk mengaktifkan dan menambahkan, Anda dapat menggunakan ListMembersoperasi Amazon Macie secara opsional. API Operasi ini memberikan detail tentang akun yang terkait dengan akun Macie Anda, termasuk akun yang bukan akun anggota Macie. Jika nilai relationshipStatus properti akun tidak Enabled atauPaused, akun tersebut bukan akun anggota Macie.

Untuk mengaktifkan dan menambahkan satu atau beberapa akun yang ada dengan menggunakan AWS CLI, jalankan perintah create-member. Gunakan region parameter untuk menentukan Wilayah untuk mengaktifkan dan menambahkan akun. Gunakan account parameter untuk menentukan ID akun dan alamat email untuk masing-masing Akun AWS untuk ditambahkan. Sebagai contoh:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Di mana us-east-1 adalah Wilayah untuk mengaktifkan dan menambahkan akun sebagai akun anggota Macie (Wilayah AS Timur (Virginia N.)), dan account parameter menentukan ID akun (123456789012) dan alamat email (janedoe@example.com) untuk akun.

Jika permintaan Anda berhasil, status (relationshipStatus) akun yang ditentukan berubah menjadi Enabled inventaris akun Anda.

Untuk juga mengaktifkan penemuan data sensitif otomatis untuk satu atau beberapa akun, gunakan BatchUpdateAutomatedDiscoveryAccountsoperasi atau, jika Anda menggunakan AWS CLI, jalankan perintah batch-update-automated-discovery-accounts. Jika Anda mengaktifkan fitur ini untuk akun, Macie terus memilih objek sampel dari bucket S3 akun dan menganalisis objek untuk menentukan apakah objek tersebut berisi data sensitif. Untuk informasi selengkapnya, lihat Melakukan penemuan data sensitif otomatis.