Integrazione e configurazione di un'organizzazione in Macie - Amazon Macie
Passaggio 1: verifica le autorizzazioniFase 2: Designare l'account amministratore delegato di MaciePassaggio 3: abilitare e aggiungere automaticamente nuovi account dell'organizzazionePassaggio 4: abilitare e aggiungere gli account aziendali esistenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione e configurazione di un'organizzazione in Macie

Per iniziare a utilizzare Amazon Macie con AWS Organizations, l'account di AWS Organizations gestione dell'organizzazione designa un account come account amministratore Macie delegato per l'organizzazione. Ciò abilita Macie come servizio affidabile in. AWS Organizations Inoltre, abilita Macie nell'account Regione AWS amministratore designato e consente all'account amministratore designato di abilitare e gestire Macie per altri account dell'organizzazione in quella regione. Per informazioni su come vengono concesse queste autorizzazioni, consulta Using AWS Organizations with other Servizi AWS nella Guida per l'AWS Organizations utente.

L'amministratore delegato di Macie configura quindi l'organizzazione in Macie, principalmente aggiungendo gli account dell'organizzazione come account membri Macie nella regione. L'amministratore può quindi accedere a determinate impostazioni, dati e risorse di Macie per quegli account in quella regione. Possono anche eseguire il rilevamento automatico di dati sensibili ed eseguire processi di rilevamento di dati sensibili per rilevare dati sensibili nei bucket Amazon Simple Storage Service (Amazon S3) di proprietà degli account.

Questo argomento spiega come designare un amministratore Macie delegato per un'organizzazione e come aggiungere gli account dell'organizzazione come account membri di Macie. Prima di eseguire queste attività, assicurati di comprendere la relazione tra l'amministratore di Macie e gli account dei membri. È anche una buona idea rivedere le considerazioni e i consigli sull'utilizzo di Macie con. AWS Organizations

Per integrare e configurare l'organizzazione in più regioni, l'account di AWS Organizations gestione e l'amministratore Macie delegato ripetono questi passaggi in ogni regione aggiuntiva.

Passaggio 1: verifica le tue autorizzazioni

Prima di designare l'account amministratore delegato Macie per la tua organizzazione, verifica che tu (come utente dell'account di AWS Organizations gestione) sia autorizzato a eseguire la seguente azione Macie:. macie2:EnableOrganizationAdminAccount Questa azione consente di designare l'account amministratore Macie delegato per l'organizzazione utilizzando Macie.

Verifica inoltre di avere il permesso di eseguire le seguenti azioni: AWS Organizations

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

Queste azioni ti consentono di: recuperare informazioni sulla tua organizzazione, integrare Macie con AWS Organizations, recuperare le informazioni con AWS Organizations cui Servizi AWS hai effettuato l'integrazione e designare un account amministratore Macie delegato per la tua organizzazione.

Per concedere queste autorizzazioni, includi la seguente dichiarazione in una AWS Identity and Access Management politica () per il tuo account: IAM

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

Se desideri designare il tuo account di AWS Organizations gestione come account amministratore Macie delegato per l'organizzazione, il tuo account necessita anche dell'autorizzazione per eseguire le seguenti azioni:. IAM CreateServiceLinkedRole Questa azione ti consente di abilitare Macie per l'account di gestione. Tuttavia, in base alle migliori pratiche di AWS sicurezza e al principio del privilegio minimo, non è consigliabile eseguire questa operazione.

Se decidi di concedere questa autorizzazione, aggiungi la seguente dichiarazione alla IAM politica per il tuo account di AWS Organizations gestione:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

Nella dichiarazione, sostituisci 111122223333 con l'ID dell'account di gestione.

Se desideri amministrare Macie in un opt-in Regione AWS (regione disabilitata per impostazione predefinita), aggiorna anche il valore per il principale del servizio Macie nell'Resourceelemento e nella condizione. iam:AWSServiceName Il valore deve specificare il codice regionale per la regione. Ad esempio, per amministrare Macie nella regione del Medio Oriente (Bahrein), che ha il codice regionale me-south-1, procedi come segue:

  • Nell'elemento, sostituisci Resource

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    con

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    Dove 111122223333 specifica l'ID dell'account per l'account di gestione e me-south-1 specifica il codice regionale per la regione.

  • Nella iam:AWSServiceName condizione, sostituire macie.amazonaws.com conmacie.me-south-1.amazonaws.com, dove me-south-1 specifica il codice regionale per la regione.

Per un elenco delle regioni in cui Macie è attualmente disponibile e il codice regionale per ciascuna di esse, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS Per determinare se una regione è una regione a cui aderire, consulta Abilita o disabilita Regioni AWS nel tuo account nella Guida per l'utente.AWS Account Management

Passaggio 2: designare l'account amministratore Macie delegato per l'organizzazione

Dopo aver verificato le autorizzazioni, tu (come utente dell'account di AWS Organizations gestione) puoi designare l'account amministratore Macie delegato per la tua organizzazione.

Per designare l'account amministratore Macie delegato per un'organizzazione

Per designare l'account amministratore delegato Macie per la tua organizzazione, puoi utilizzare la console Amazon Macie o Amazon Macie. API Solo un utente dell'account di AWS Organizations gestione può eseguire questa operazione.

Console

Segui questi passaggi per designare l'account amministratore delegato di Macie utilizzando la console Amazon Macie.

Per designare l'account amministratore delegato di Macie

  1. Accedi all'account di gestione AWS Management Console utilizzando il tuo AWS Organizations account di gestione.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri designare l'account amministratore Macie delegato per la tua organizzazione.

  3. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  4. Esegui una delle seguenti operazioni, a seconda che Macie sia abilitato per il tuo account di gestione nella regione corrente:

    • Se Macie non è abilitato, scegli Inizia nella pagina di benvenuto.

    • Se Macie è abilitato, scegli Impostazioni nel pannello di navigazione.

  5. In Amministratore delegato, inserisci l'ID dell'account a 12 cifre per l'account Account AWS che desideri designare come account amministratore Macie.

  6. Scegli Delega.

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri integrare la tua organizzazione con Macie. È necessario designare lo stesso account amministratore Macie in ciascuna di queste regioni.

API

Per designare l'account amministratore Macie delegato a livello di codice, utilizza EnableOrganizationAdminAccountil funzionamento di Amazon Macie. API Per designare l'account in più regioni, invia la designazione per ogni regione in cui desideri integrare la tua organizzazione con Macie. È necessario designare lo stesso account amministratore Macie in ciascuna di queste regioni.

Quando invii la designazione, utilizza il adminAccountId parametro richiesto per specificare l'ID dell'account a 12 cifre da Account AWS designare come account amministratore Macie per l'organizzazione. Assicurati inoltre di specificare la regione a cui si riferisce la designazione.

Per designare l'account amministratore di Macie utilizzando AWS Command Line Interface (AWS CLI), esegui il comando. enable-organization-admin-account Per il admin-account-id parametro, specificate l'ID dell'account a 12 cifre da designare. Account AWS Utilizzate il region parametro per specificare la regione a cui si applica la designazione. Per esempio:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

Dove us-east-1 è la regione a cui si applica la designazione (regione Stati Uniti orientali (Virginia settentrionale)) e 111122223333 è l'ID dell'account da designare.

Dopo aver designato l'account amministratore Macie per l'organizzazione, l'amministratore Macie può iniziare a configurare l'organizzazione in Macie.

Passaggio 3: Abilita e aggiungi automaticamente nuovi account dell'organizzazione come account membri di Macie

Per impostazione predefinita, Macie non è abilitato automaticamente per i nuovi account quando gli account vengono aggiunti all'organizzazione in AWS Organizations. Inoltre, gli account non vengono aggiunti automaticamente come account membri di Macie. Gli account vengono visualizzati nell'inventario degli account dell'amministratore di Macie. Tuttavia, Macie non è necessariamente abilitato per gli account e l'amministratore Macie non può necessariamente accedere alle impostazioni, ai dati e alle risorse di Macie per gli account.

Se sei l'amministratore delegato di Macie dell'organizzazione, puoi modificare questa impostazione di configurazione. Puoi attivare l'abilitazione automatica per la tua organizzazione. Se lo fai, Macie viene abilitato automaticamente per i nuovi account quando gli account vengono aggiunti alla tua organizzazione in. AWS Organizations Inoltre, gli account vengono automaticamente associati al tuo account amministratore Macie come account membro. L'attivazione di questa impostazione non influisce sugli account esistenti nell'organizzazione. Per abilitare e gestire Macie per gli account esistenti, devi aggiungere manualmente gli account come account membro Macie. Il passaggio successivo spiega come eseguire questa operazione.

Nota

Se attivi l'attivazione automatica, tieni presente la seguente eccezione. Se un nuovo account è già associato a un altro account amministratore Macie, Macie non aggiunge automaticamente l'account come account membro dell'organizzazione. L'account deve dissociarsi dall'account amministratore Macie corrente prima di poter far parte dell'organizzazione in Macie. È quindi possibile aggiungere manualmente l'account. Per identificare gli account in cui ciò si verifica, puoi esaminare l'inventario degli account della tua organizzazione.

Per abilitare e aggiungere automaticamente nuovi account dell'organizzazione come account membri di Macie

Per abilitare e aggiungere automaticamente nuovi account come account membro Macie, puoi utilizzare la console Amazon Macie o Amazon Macie. API Solo l'amministratore Macie delegato dell'organizzazione può eseguire questa operazione.

Console

Per eseguire questa operazione utilizzando la console, è necessario disporre del permesso di eseguire la seguente AWS Organizations azione:. organizations:ListAccounts Questa azione consente di recuperare e visualizzare informazioni sugli account della propria organizzazione. Se disponi di queste autorizzazioni, segui questi passaggi per abilitare e aggiungere automaticamente nuovi account dell'organizzazione come account membro di Macie.

Per abilitare e aggiungere automaticamente nuovi account dell'organizzazione

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Utilizzando il Regione AWS selettore nell'angolo in alto a destra della pagina, scegli la regione in cui desideri abilitare e aggiungere automaticamente nuovi account come account membro di Macie.

  3. Dal riquadro di navigazione, selezionare Accounts (Account).

  4. Nella pagina Account, nella sezione Nuovi account, scegli Modifica.

  5. Nella finestra di dialogo Modifica le impostazioni per i nuovi account, seleziona Abilita Macie.

    Per abilitare anche l'individuazione automatica dei dati sensibili per gli account dei nuovi membri, seleziona Abilita l'individuazione automatica dei dati sensibili. Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti campione dai bucket S3 dell'account e li analizza per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta Esecuzione del rilevamento automatico di dati sensibili.

  6. Seleziona Save (Salva.

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri configurare la tua organizzazione in Macie.

Per modificare successivamente queste impostazioni, ripeti i passaggi precedenti e deseleziona la casella di controllo per ogni impostazione.

API

Per abilitare e aggiungere automaticamente nuovi account utente Macie a livello di codice, utilizza il UpdateOrganizationConfigurationfunzionamento di Amazon Macie. API Quando invii la richiesta, imposta il valore del parametro su. autoEnable true Il valore predefinito è false. Assicurati inoltre di specificare la regione a cui si riferisce la richiesta. Per abilitare e aggiungere automaticamente nuovi account in altre regioni, invia la richiesta per ogni regione aggiuntiva.

Se utilizzi il AWS CLI per inviare la richiesta, esegui il update-organization-configurationcomando e specifica il auto-enable parametro per abilitare e aggiungere nuovi account automaticamente. Per esempio:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

Dove us-east-1 è la regione in cui abilitare e aggiungere automaticamente nuovi account, la regione Stati Uniti orientali (Virginia settentrionale).

Per modificare successivamente questa impostazione e interrompere l'attivazione e l'aggiunta automatica di nuovi account, esegui nuovamente lo stesso comando e utilizza il no-auto-enable parametro, anziché il auto-enable parametro, in ciascuna regione applicabile.

È inoltre possibile abilitare automaticamente l'individuazione automatica dei dati sensibili per gli account dei nuovi membri. Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti campione dai bucket S3 dell'account e li analizza per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta Esecuzione del rilevamento automatico di dati sensibili. Per abilitare automaticamente questa funzionalità per gli account dei membri, utilizza l'UpdateAutomatedDiscoveryConfigurationoperazione o, se utilizzi il, esegui il comando. AWS CLIupdate-automated-discovery-configuration

Passaggio 4: abilitare e aggiungere gli account aziendali esistenti come account membri di Macie

Quando integri Macie con AWS Organizations, Macie non viene abilitato automaticamente per tutti gli account esistenti nell'organizzazione. Inoltre, gli account non vengono associati automaticamente all'account amministratore delegato di Macie come account membri di Macie. Pertanto, il passaggio finale dell'integrazione e della configurazione dell'organizzazione in Macie consiste nell'aggiungere gli account dell'organizzazione esistenti come account membri di Macie. Quando aggiungi un account esistente come account membro Macie, Macie viene automaticamente abilitato per l'account e tu (in qualità di amministratore delegato di Macie) hai accesso a determinate impostazioni, dati e risorse di Macie per l'account.

Tieni presente che non puoi aggiungere un account attualmente associato a un altro account amministratore Macie. Per aggiungere l'account, collabora con il proprietario dell'account per dissociare prima l'account dall'account amministratore corrente. Inoltre, non puoi aggiungere un account esistente se Macie è attualmente sospeso per l'account. Il proprietario dell'account deve prima riattivare Macie per l'account. Infine, se desideri aggiungere l'account di AWS Organizations gestione come account membro, un utente di quell'account deve prima abilitare Macie per l'account.

Per abilitare e aggiungere account aziendali esistenti come account membri di Macie

Per abilitare e aggiungere account aziendali esistenti come account membri Macie, puoi utilizzare la console Amazon Macie o Amazon Macie. API Solo l'amministratore Macie delegato dell'organizzazione può eseguire questa operazione.

Console

Per eseguire questa operazione utilizzando la console, è necessario disporre del permesso di eseguire la seguente AWS Organizations azione:. organizations:ListAccounts Questa azione consente di recuperare e visualizzare informazioni sugli account della propria organizzazione. Se disponi di queste autorizzazioni, segui questi passaggi per abilitare e aggiungere account esistenti come account membri di Macie.

Per abilitare e aggiungere account aziendali esistenti

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Utilizzando il Regione AWS selettore nell'angolo in alto a destra della pagina, scegli la regione in cui desideri abilitare e aggiungi gli account esistenti come account membri di Macie.

  3. Dal riquadro di navigazione, selezionare Accounts (Account). La pagina Account si apre e mostra una tabella degli account associati al tuo account Macie.

    Se un account fa parte della tua organizzazione in AWS Organizations, il tipo è Via AWS Organizations. Se un account è già membro di Macie, il suo stato è Attivato o In pausa (sospeso).

  4. Nella tabella Account esistenti, seleziona la casella di controllo per ogni account che desideri aggiungere come account membro Macie.

  5. Nel menu Azioni, scegli Aggiungi membro.

  6. Conferma di voler aggiungere gli account selezionati come account membro.

Dopo aver confermato l'aggiunta degli account selezionati, lo stato degli account cambia in Attivazione in corso e quindi Attivato. Dopo aver aggiunto un account membro, puoi anche abilitare l'individuazione automatica dei dati sensibili per l'account: nella tabella Account esistenti, seleziona la casella di controllo relativa a ciascun account per cui abilitarlo, quindi scegli Abilita il rilevamento automatico dei dati sensibili nel menu Azioni. Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti campione dai bucket S3 dell'account e li analizza per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta Esecuzione del rilevamento automatico di dati sensibili.

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri configurare la tua organizzazione in Macie.

API

Per abilitare e aggiungere a livello di codice uno o più account esistenti come account membri di Macie, utilizza il CreateMemberfunzionamento di Amazon Macie. API Quando invii la richiesta, utilizza i parametri supportati per specificare l'ID dell'account a 12 cifre e l'indirizzo e-mail di ciascuno da abilitare e aggiungere. Account AWS Specificate anche la regione a cui si riferisce la richiesta. Per abilitare e aggiungere account esistenti in altre regioni, invia la richiesta per ogni regione aggiuntiva.

Per recuperare l'ID account e l'indirizzo e-mail di un account Account AWS da abilitare e aggiungere, puoi opzionalmente utilizzare il ListMembersfunzionamento di Amazon Macie. API Questa operazione fornisce dettagli sugli account associati al tuo account Macie, inclusi gli account che non sono account membri di Macie. Se il valore della relationshipStatus proprietà di un account non è Enabled o Paused l'account non è un account membro Macie.

Per abilitare e aggiungere uno o più account esistenti utilizzando AWS CLI, esegui il comando create-member. Utilizzate il region parametro per specificare la regione in cui abilitare e aggiungere gli account. Utilizzate i account parametri per specificare l'ID dell'account e l'indirizzo e-mail per ciascuno Account AWS di essi da aggiungere. Per esempio:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Dove us-east-1 è la regione in cui abilitare e aggiungere l'account come account membro Macie (regione Stati Uniti orientali (Virginia settentrionale)) e account i parametri specificano l'ID dell'account (123456789012) e indirizzo e-mail (janedoe@example.com) per l'account.

Se la richiesta ha esito positivo, lo stato (relationshipStatus) dell'account specificato diventa Enabled Nell'inventario dell'account.

Per abilitare anche l'individuazione automatica dei dati sensibili per uno o più account, utilizza l'BatchUpdateAutomatedDiscoveryAccountsoperazione o, se utilizzi il AWS CLI, esegui il comando batch-update-automated-discovery-accounts. Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti di esempio dai bucket S3 dell'account e analizza gli oggetti per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta Esecuzione del rilevamento automatico di dati sensibili.