Designar uma conta de administrador do Amazon Macie para uma organização - Amazon Macie

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Designar uma conta de administrador do Amazon Macie para uma organização

Depois que uma AWS Organizations organização é integrada e configurada no Amazon Macie, a conta de AWS Organizations gerenciamento pode designar uma conta diferente como a conta delegada de administrador do Macie para a organização.

Como usuário da conta de AWS Organizations gerenciamento de uma organização, verifique se você atende aos seguintes requisitos de permissões antes de designar outra conta de administrador do Macie para sua organização:

  • Você deve ter as mesmas permissões necessárias para designar inicialmente uma conta de administrador do Macie para sua organização. Você também deve ter permissão para realizar a seguinte AWS Organizations ação:organizations:DeregisterDelegatedAdministrator. Essa ação adicional permite que você remova a designação atual.

  • Se sua conta for atualmente uma conta de membro do Macie, o administrador atual do Macie deverá remover sua conta como conta de membro do Macie. Caso contrário, você não poderá acessar as operações do Macie para designar uma conta de administrador diferente. Depois de designar uma nova conta de administrador, o novo administrador do Macie pode adicionar sua conta como conta de membro do Macie novamente.

Se sua organização usa o Macie em vários Regiões da AWS, certifique-se também de alterar a conta de administrador delegada do Macie em cada região em que sua organização usa o Macie. A conta de administrador delegada do Macie deve ser a mesma em todas essas regiões. Se você gerencia várias organizações em AWS Organizations, observe também que uma conta pode ser a conta delegada de administrador do Macie para apenas uma organização por vez. Para saber mais sobre os requisitos adicionais, consulte Considerações e recomendações para usar o Amazon Macie com AWS Organizations.

nota

Ao designar uma conta de administrador diferente do Macie para sua organização, você também desativa o acesso aos dados estatísticos existentes, dados de inventário e outras informações que o Macie produziu e forneceu diretamente ao realizar a descoberta automática de dados confidenciais para contas na organização. A nova conta de administrador do Macie não pode acessar os dados existentes. Se você alterar a designação e o novo administrador do Macie ativar a descoberta automática das contas, o Macie gerará e manterá novos dados ao realizar a descoberta automática das contas.

Para designar uma conta de administrador Macie diferente para sua organização

Para designar uma conta de administrador diferente do Macie para sua organização, você pode usar o console do Amazon Macie ou uma combinação do Amazon Macie e das APIs. AWS Organizations Somente um usuário da conta de AWS Organizations gerenciamento pode alterar a designação de sua organização.

Console

Para alterar a designação usando o console do Amazon Macie, siga estas etapas.

Para designar uma conta de administrador do Macie diferente

  1. Faça login no AWS Management Console usando sua conta AWS Organizations de gerenciamento.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja alterar a designação.

  3. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  4. Siga um destes procedimentos, dependendo de o Macie estar habilitado para sua conta de gerenciamento na região atual:

    • Se o Macie não estiver habilitado, selecione Iniciar na página de boas-vindas.

    • Se o Macie estiver habilitado, selecione Configurações no painel de navegação.

  5. Em Administrador delegado, selecione Remover. Para alterar a designação, primeiro você deve remover a designação atual.

  6. Confirme que você deseja remover a designação atual.

  7. Em Administrador delegado, insira o ID da conta de 12 dígitos para designar como Conta da AWS a nova conta de administrador do Macie para a organização.

  8. Escolha Delegar.

Repita as etapas anteriores em cada região adicional na qual você integrou o Macie com AWS Organizations.

API

Para alterar a designação programaticamente, você usa duas operações da API Amazon Macie e uma operação da API. AWS Organizations Isso ocorre porque você precisa remover a designação atual no Macie e AWS Organizations antes de enviar a nova designação.

Para remover a designação atual:

  1. Use a DisableOrganizationAdminAccountoperação da API Macie. Para o adminAccountId parâmetro necessário, especifique o ID da conta de 12 dígitos da Conta da AWS que está atualmente designada como a conta de administrador do Macie para a organização.

  2. Use a DeregisterDelegatedAdministratoroperação da AWS Organizations API. Para o parâmetro AccountId necessário, especifique o ID da conta de 12 dígitos da conta que está atualmente designada como a conta de administrador do Macie para a organização. Esse valor deve corresponder ao ID da conta que você especificou na solicitação anterior do Macie. Para o parâmetro ServicePrincipal, especifique o principal de serviço do Macie (macie.amazonaws.com).

Depois de remover a designação atual, envie a nova designação usando a EnableOrganizationAdminAccountoperação da API Macie. Para o adminAccountId parâmetro necessário, especifique o ID da conta de 12 dígitos para designar como Conta da AWS a nova conta de administrador do Macie para a organização.

Para alterar a designação usando o AWS CLI, execute o disable-organization-admin-accountcomando da API Macie e o deregister-delegated-administratorcomando da AWS Organizations API. Esses comandos removem a designação atual em Macie e AWS Organizations, respectivamente. Para os account-id parâmetros admin-account-id e, especifique a ID da conta de 12 dígitos a ser removida como Conta da AWS a conta de administrador atual do Macie. Use o parâmetro region para especificar a região à qual deseja aplicar a remoção. Por exemplo: .

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

Em que:

  • us-east-1 é a região da à qual a solicitação se aplica, a região Leste dos EUA (Norte da Virgínia).

  • 111122223333 é o ID da conta a ser removida como a conta de administrador do Macie.

  • macie.amazonaws.com é o principal serviço da Macie.

Depois de remover a designação atual, envie a nova designação executando o enable-organization-admin-accountcomando da API do Macie. Para o admin-account-id parâmetro, especifique o ID da conta de 12 dígitos para designar como Conta da AWS a nova conta de administrador do Macie para a organização. Use o parâmetro region para especificar a região à qual a designação se aplica. Por exemplo: .

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

Onde us-east-1 é a região à qual a designação se aplica (a região Leste dos EUA (Norte da Virgínia)) e 444455556666 é o ID da conta a ser designada como a nova conta de administrador do Macie.