Integrando e configurando uma organização no Amazon Macie - Amazon Macie
Etapa 1: verificar as permissõesEtapa 2: designar a conta de administrador delegada do MacieEtapa 3: habilitar e adicionar novas contas da organização automaticamenteEtapa 4: habilitar e adicionar contas de organização existentes

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Integrando e configurando uma organização no Amazon Macie

Para começar a usar o Amazon Macie com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta de administrador delegada do Macie para a organização. Isso permite que o Macie seja um serviço confiável em AWS Organizations. Também habilita o Macie na conta atual Região da AWS do administrador designado e permite que a conta do administrador designada habilite e gerencie o Macie para outras contas na organização nessa região. Para obter informações sobre como essas permissões são concedidas, consulte Usando AWS Organizations com outras Serviços da AWS pessoas no Guia AWS Organizations do usuário.

O administrador delegado do Macie então configura a organização no Macie, principalmente adicionando as contas da organização como contas de membros do Macie na Região. O administrador pode então acessar determinadas configurações, dados e recursos do Macie para essas contas naquela região. Eles também podem realizar a descoberta automática de dados confidenciais e executar trabalhos de descoberta de dados confidenciais para detectar dados confidenciais nos buckets do Amazon Simple Storage Service (Amazon S3) pertencentes às contas.

Este tópico explica como designar um administrador delegado do Macie para uma organização e como adicionar as contas da organização como contas de membros do Macie. Antes de executar essas tarefas, certifique-se de compreender o relacionamento entre contas de administrador e membros. Também é uma boa ideia revisar as considerações e recomendações para usar o Macie com. AWS Organizations

Para integrar e configurar a organização em várias regiões, a conta AWS Organizations de gerenciamento e o administrador delegado do Macie repetem essas etapas em cada região adicional.

Etapa 1: verifique suas permissões

Antes de designar a conta de administrador delegada do Macie para sua organização, verifique se você (como usuário da conta de AWS Organizations gerenciamento) tem permissão para realizar a seguinte ação do Macie:. macie2:EnableOrganizationAdminAccount Essa ação permite que você designe a conta de administrador delegada do Macie para sua organização usando o Macie.

Verifique também se você tem permissão para realizar as seguintes AWS Organizations ações:

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

Essas ações permitem que você: recupere informações sobre sua organização; integre o Macie com AWS Organizations; recupere informações sobre as quais Serviços da AWS você se integrou AWS Organizations; e designe uma conta de administrador delegada do Macie para sua organização.

Para conceder essas permissões, inclua a seguinte declaração em uma política AWS Identity and Access Management (IAM) da sua conta:

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

Se você quiser designar sua conta AWS Organizations de gerenciamento como a conta delegada de administrador do Macie para a organização, sua conta também precisa de permissão para realizar a seguinte ação do IAM:. CreateServiceLinkedRole Essa ação permite que você habilite o Macie para a conta de gerenciamento. No entanto, com base nas melhores práticas de AWS segurança e no princípio do menor privilégio, não recomendamos que você faça isso.

Se você decidir conceder essa permissão, adicione a seguinte declaração à política do IAM da sua conta AWS Organizations de gerenciamento:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

Na instrução, substitua 111122223333 pelo ID da conta de gerenciamento.

Se você quiser administrar o Macie em um opt-in Região da AWS (região desativada por padrão), atualize também o valor do principal de serviço do Macie no Resource elemento e na condição. iam:AWSServiceName O valor deve especificar o código da região. Por exemplo, para administrar o Macie na região do Oriente Médio (Bahrein), que tem o código de região me-south-1, faça o seguinte:

  • Para o elemento Resource, substitua

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    with

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    Onde 111122223333 especifica o ID da conta de gerenciamento e me-south-1 especifica o código da região para a região.

  • Na condição iam:AWSServiceName, substitua macie.amazonaws.com por macie.me-south-1.amazonaws.com, onde me-south-1 especifica o código da região para a região.

Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte Endpoints e cotas do Amazon Macie no arquivo Referência geral da AWS. Para obter informações sobre regiões opcionais, consulte Como especificar quais Regiões da AWS sua conta pode usar no Guia de referência do AWS Account Management .

Etapa 2: designar a conta de administrador delegada do Macie para a organização

Depois de verificar suas permissões, você (como usuário da conta de AWS Organizations gerenciamento) pode designar a conta de administrador delegada do Macie para sua organização.

Para designar a conta de administrador delegada do Macie para uma organização

Para designar a conta de administrador delegada do Macie para sua organização, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente um usuário da conta AWS Organizations de gerenciamento pode realizar essa tarefa.

Console

Siga estas etapas para designar a conta de administrador delegada do Macie usando o console do Amazon Macie.

Para designar a conta de administrador delegada do Macie

  1. Faça login no AWS Management Console usando sua conta AWS Organizations de gerenciamento.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja designar a conta de administrador delegada do Macie para sua organização.

  3. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  4. Siga um destes procedimentos, dependendo de o Macie estar habilitado para sua conta de gerenciamento na região atual:

    • Se o Macie não estiver habilitado, selecione Iniciar na página de boas-vindas.

    • Se o Macie estiver ativado, escolha Configurações no painel de navegação.

  5. Em Administrador delegado, insira a ID da conta de 12 dígitos da Conta da AWS que você deseja designar como a conta de administrador do Macie.

  6. Escolha Delegar.

Repita as etapas anteriores em cada região adicional da qual deseja integrar a organização ao Macie. Você deve designar a mesma conta de administrador do Macie em cada uma dessas regiões.

API

Para designar programaticamente a conta delegada do administrador do Macie, use a operação da API EnableOrganizationAdminAccountdo Amazon Macie. Para designar a conta em várias regiões, envie a designação para cada região na qual você deseja integrar sua organização ao Macie. Você deve designar a mesma conta de administrador do Macie em cada uma dessas regiões.

Ao enviar a designação, use o adminAccountId parâmetro necessário para especificar o ID da conta de 12 dígitos para designar como Conta da AWS a conta de administrador do Macie para a organização. Além disso, certifique-se de especificar a região à qual a designação se aplica.

Para designar a conta de administrador do Macie usando o AWS Command Line Interface (AWS CLI), execute o enable-organization-admin-accountcomando. Para o admin-account-id parâmetro, especifique o ID da conta de 12 dígitos Conta da AWS a ser designado. Use o parâmetro region para especificar a região à qual a designação se aplica. Por exemplo: .

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

Onde us-east-1 é a região à qual a designação se aplica (a região Leste dos EUA (Norte da Virgínia)) e 111122223333 é a ID da conta a ser designada.

Depois de designar a conta de administrador do Macie para sua organização, o administrador do Macie pode começar a configurar a organização no Macie.

Etapa 3: habilitar e adicionar novas contas da organização automaticamente como contas-membro do Macie

Por padrão, o Macie não é habilitado automaticamente para novas contas quando as contas são adicionadas à sua organização no AWS Organizations. Além disso, as contas não são adicionadas automaticamente como contas de membros do Macie. As contas aparecem no inventário de contas do administrador do Macie. No entanto, o Macie não está necessariamente habilitado para as contas e o administrador do Macie não pode necessariamente acessar as configurações, os dados e os recursos do Macie para as contas.

Se você for o administrador delegado do Macie para a organização, poderá alterar essa configuração. Você pode ativar a ativação automática para sua organização. Se você fizer isso, o Macie será habilitado automaticamente para novas contas quando as contas forem adicionadas à sua organização em AWS Organizations, e as contas serão automaticamente associadas à sua conta de administrador do Macie como contas de membros. A habilitação dessa configuração não afeta as contas existentes na sua organização. Para habilitar e gerenciar o Macie para contas existentes, você deve adicionar manualmente as contas como contas de membros do Macie. A próxima etapa explica como fazer isso.

Observações

Se você ativar a ativação automática, observe as seguintes exceções:

  • Se uma nova conta já estiver associada a uma conta de administrador diferente do Macie, o Macie não adicionará automaticamente a conta como conta membro em sua organização.

    A conta deve se desassociar de sua conta de administrador atual do Macie antes que possa fazer parte da sua organização no Macie. Em seguida, você pode adicionar manualmente a conta. Para identificar contas em que esse é o caso, você pode revisar o inventário de contas da sua organização.

  • Se sua organização atingir a cota de 10.000 contas de membros do Macie em um Região da AWS, o Macie desativará automaticamente essa configuração na Região.

    Se isso acontecer, notificaremos você criando AWS Health CloudWatch eventos da Amazon para sua conta de administrador do Macie. Também enviamos e-mails para o endereço associado a essa conta. Se o número total de contas diminuir posteriormente para menos de 10.000 contas, o Macie ativará automaticamente a configuração novamente.

Para habilitar e adicionar automaticamente novas contas da organização como contas de membros do Macie

Para habilitar e adicionar automaticamente novas contas como contas de membros do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente o administrador delegado do Macie para a organização pode executar esta tarefa.

Console

Para realizar esta tarefa usando o console, você deve ter permissão para realizar a seguinte AWS Organizations ação:organizations:ListAccounts. Essa ação permite que você recupere as informações sobre as contas da sua organização. Se você tiver essas permissões, siga estas etapas para ativar e adicionar automaticamente novas contas da organização como contas de membros do Macie.

Para ativar e adicionar automaticamente novas contas da organização

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja ativar e adicionar automaticamente novas contas como contas de membros do Macie.

  3. No painel de navegação, escolha Accounts (Contas).

  4. Na página Contas, na seção Novas contas, escolha Editar.

  5. Na caixa de diálogo Editar configurações para novas contas, selecione Ativar Macie.

    Para também ativar automaticamente a descoberta automática de dados confidenciais para novas contas de membros, selecione Ativar descoberta automática de dados confidenciais. Se você habilitar esse recurso para uma conta, o Macie seleciona continuamente objetos de amostra dos buckets S3 da conta e analisa os objetos para determinar se eles contêm dados confidenciais. Para ter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais.

  6. Escolha Salvar.

Repita as etapas anteriores em cada região adicional na qual deseja configurar a organização no Macie.

Para alterar essas configurações posteriormente, repita as etapas anteriores e desmarque a caixa de seleção de cada configuração.

API

Para habilitar e adicionar automaticamente novas contas de membros do Macie de forma programática, use a UpdateOrganizationConfigurationoperação da API do Amazon Macie. Ao enviar sua solicitação, defina o valor do parâmetro autoEnable como true. (O valor padrão é false.) Além disso, certifique-se de especificar a região à qual sua solicitação se aplica. Para ativar e adicionar automaticamente novas contas em outras regiões, envie a solicitação para cada região adicional.

Se você usar o AWS CLI para enviar a solicitação, execute o update-organization-configurationcomando e especifique o auto-enable parâmetro para ativar e adicionar novas contas automaticamente. Por exemplo: .

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

Onde us-east-1 é a região na qual habilitar e adicionar automaticamente novas contas, a região Leste dos EUA (Norte da Virgínia).

Para alterar essa configuração posteriormente e parar de ativar e adicionar novas contas automaticamente, execute o mesmo comando novamente e use o parâmetro no-auto-enable, em vez do parâmetro auto-enable, em cada região aplicável.

Você também pode ativar automaticamente a descoberta automática de dados confidenciais para novas contas de membros. Se você habilitar esse recurso para uma conta, o Macie seleciona continuamente objetos de amostra dos buckets S3 da conta e analisa os objetos para determinar se eles contêm dados confidenciais. Para ter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais. Para ativar esse recurso automaticamente para contas de membros, use a UpdateAutomatedDiscoveryConfigurationoperação ou, se estiver usando a AWS CLI, execute o update-automated-discovery-configurationcomando.

Etapa 4: habilitar e adicionar contas de organização existentes como contas-membros do Macie

Quando você integra o Macie com AWS Organizations, o Macie não é habilitado automaticamente para todas as contas existentes em sua organização. Além disso, as contas não são associadas automaticamente à conta delegada de administrador do Macie como contas de membros do Macie. Portanto, a etapa final de integrar e configurar sua organização no Macie é adicionar contas existentes da organização como contas de membros do Macie. Quando você adiciona uma conta existente como conta de membro do Macie, o Macie é automaticamente ativado para a conta e você (como administrador delegado do Macie) obtém acesso a determinadas configurações, dados e recursos do Macie para a conta.

Observe que você não pode adicionar uma conta atualmente associada a outra conta de administrador do Macie. Para adicionar a conta, trabalhe com o proprietário da conta para primeiro desassociar a conta da conta de administrador atual. Além disso, você não pode adicionar uma conta existente se o Macie estiver atualmente suspenso da conta. O proprietário da conta deve primeiro rehabilitar o Macie para a conta. Finalmente, se você quiser adicionar a conta de gerenciamento do AWS Organizations como uma conta de membro, um usuário dessa conta deve primeiro habilitar o Macie para a conta.

Para habilitar e adicionar contas de organização existentes como contas-membros do Macie

Para habilitar e adicionar contas organizacionais existentes como contas de membros do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente o administrador delegado do Macie para a organização pode executar esta tarefa.

Console

Para realizar esta tarefa usando o console, você deve ter permissão para realizar a seguinte AWS Organizations ação:organizations:ListAccounts. Essa ação permite que você recupere as informações sobre as contas da sua organização. Se você tiver essas permissões, siga estas etapas para ativar e adicionar contas existentes como contas de membros do Macie.

Para habilitar e adicionar contas existentes da organização

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja ativar e adicionar contas existentes como contas de membros do Macie.

  3. No painel de navegação, escolha Accounts (Contas).

    A página Contas é aberta e exibe uma tabela das contas associadas à sua conta Macie. Se uma conta fizer parte da sua organização em AWS Organizations, seu tipo será Via AWS Organizations. Se uma conta já for uma conta de membro do Macie, seu status será Ativado.

  4. Na tabela Contas, selecione a caixa de seleção para cada conta que deseja adicionar como conta-membro do Macie.

  5. No menu Ações, selecione Adicionar membro.

  6. Confirme que deseja adicionar as contas selecionadas como contas-membro.

Depois de confirmar a adição das contas selecionadas, o status das contas muda para Ativação em andamento e, em seguida, Ativada. Depois de adicionar uma conta de membro, você também pode ativar a descoberta automática de dados confidenciais para a conta: na tabela Contas, marque a caixa de seleção de cada conta para ativá-la e escolha Habilitar descoberta automática de dados confidenciais no menu Ações. Se você habilitar esse recurso para uma conta, o Macie seleciona continuamente objetos de amostra dos buckets S3 da conta e analisa os objetos para determinar se eles contêm dados confidenciais. Para ter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais.

Repita as etapas anteriores em cada região adicional na qual deseja configurar a organização no Macie.

API

Para habilitar e adicionar programaticamente uma ou mais contas existentes como contas de membro do Macie, use a CreateMemberoperação da API do Amazon Macie. Ao enviar sua solicitação, use os parâmetros compatíveis para especificar o ID da conta de 12 dígitos e o endereço de e-mail de cada um Conta da AWS para ativar e adicionar. Especifique também a região à qual a solicitação se aplica. Para ativar e adicionar contas existentes em outras regiões, envie a solicitação para cada região adicional.

Para recuperar o ID da conta e o endereço de e-mail de uma Conta da AWS para ativar e adicionar, você pode, opcionalmente, usar a ListMembersoperação da API do Amazon Macie. Essa operação fornece detalhes sobre as contas associadas à sua conta do Macie, incluindo contas que não são contas de membros do Macie. Se o valor da propriedade relationshipStatus de uma conta não for Enabled, a conta não é uma conta de membro do Macie.

Para ativar e adicionar uma ou mais contas existentes usando o AWS CLI, execute o comando create-member. Use o parâmetro region para especificar a região na qual ativar e adicionar as contas. Use os account parâmetros para especificar o ID da conta e o endereço de e-mail de cada um Conta da AWS para adicionar. Por exemplo: .

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Onde us-east-1 é a região na qual ativar e adicionar a conta como uma conta de membro do Macie (a região Leste dos EUA (Norte da Virgínia)) e os parâmetros account especificam o ID da conta (123456789012) e o endereço de e-mail (janedoe@example.com) da conta.

Se a sua solicitação for realizada com êxito, o status (relationshipStatus) da conta especificada será alterado para Enabled no inventário da sua conta.

Para também ativar a descoberta automática de dados confidenciais para uma ou mais contas, use a BatchUpdateAutomatedDiscoveryAccountsoperação ou, se estiver usando a AWS CLI, execute o comando batch-update-automated-discovery-accounts. Se você habilitar esse recurso para uma conta, o Macie seleciona continuamente objetos de amostra dos buckets S3 da conta e analisa os objetos para determinar se eles contêm dados confidenciais. Para ter mais informações, consulte Realizando a descoberta automatizada de dados confidenciais.