Amazon Macie e o AWS Organizations - AWS Organizations

Amazon Macie e o AWS Organizations

O Amazon Macie é um serviço de segurança e privacidade de dados totalmente gerenciado que usa machine learning e comparação de padrões para detectar, monitorar e ajudar você a proteger seus dados confidenciais no Amazon Simple Storage Service (Amazon S3). O Macie automatiza a descoberta de dados sigilosos, como informações de identificação pessoal (PII) e propriedade intelectual, para fornecer uma melhor compreensão dos dados armazenados por sua organização no Amazon S3.

Para obter mais informações, consulte Gerenciar contas do Amazon Macie com o AWS Organizations no Guia do usuário do Amazon Macie.

Use as informações a seguir para ajudá-lo a integrar o Amazon Macie ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente para a conta de administrador delegado do Macie da sua organização quando você habilita o acesso confiável. Essa função permite que o Macie execute as operações suportadas nas contas da sua organização.

Você só pode excluir essa função se desabilitar o acesso confiável entre o Macie e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleRorAmazonMacie

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Macie concedem acesso às seguintes entidades de serviço primárias:

  • macie.amazonaws.com

Habilitar o acesso confiável no Macie

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do Amazon Macie ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do Amazon Macie para habilitar a integração com o Organizations. Isso permite que o Amazon Macie realize qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo Amazon Macie. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do Amazon Macie, não é necessário concluir estas etapas.

Para habilitar o acesso confiável usando o console do Macie

O Amazon Macie requer acesso confiável ao AWS Organizations para designar uma conta-membro como administrador do Macie para a sua organização. Se você configurar um administrador delegado usando o console de gerenciamento do Macie, o Macie habilita automaticamente o acesso confiável para você.

Para obter mais informações, consulteIntegrar e configurar uma organização no Amazon Macie no Guia do usuário do Amazon Macie.

Você pode habilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para habilitar o acesso confiável a serviços usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o Amazon Macie como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal macie.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Habilitar uma conta de administrador delegado para o Macie

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Macie que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Macie.

Permissões mínimas

Somente um usuário ou função do IAM na conta de gerenciamento do Organizations com a seguinte permissão pode configurar uma conta-membro como administrador delegado para o Macie na organização:

  • organizations:EnableAWSServiceAccess

  • macie:EnableOrganizationAdminAccount

Para designar uma conta-membro como administrador delegado do Macie

O Amazon Macie requer acesso confiável ao AWS Organizations para designar uma conta-membro como administrador do Macie para a sua organização. Se você configurar um administrador delegado usando o console de gerenciamento do Macie, o Macie habilita automaticamente o acesso confiável para você.

Para obter mais informações, consulte https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin.