为组织指定不同的 Amazon Macie 管理员账户 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为组织指定不同的 Amazon Macie 管理员账户

在 Amazon Macie 中整合并配置 AWS Organizations组织后, AWS Organizations 管理账户可以将不同的账户指定为该组织委派的 Macie 管理员账户。

作为组织 AWS Organizations 管理账户的用户,在为组织指定其他 Macie 管理员帐户之前,请先验证自己是否满足以下权限要求:

  • 您必须拥有最初为您的组织指定 Macie 管理员账户所需的相同权限。还必须允许您执行以下 AWS Organizations 操作:organizations:DeregisterDelegatedAdministrator. 此附加操作允许您删除当前指定。

  • 如果您的账户目前是 Macie 成员账户,则当前 Macie 管理员必须将您的账户移除为 Macie 成员账户。否则,您将无法访问用于指定其他管理员账户的 Macie 操作。在您指定新的管理员账户后,新的 Macie 管理员可以再次将您的账户添加为 Macie 成员账户。

如果您的组织多次使用 Macie AWS 区域,还要确保在组织使用 Macie 的每个区域中更改委托的 Macie 管理员帐户。在所有这些区域中,委托的 Macie 管理员账户必须相同。如果您在中管理多个组织 AWS Organizations,另请注意,一个账户一次只能是为一个组织委托的 Macie 管理员帐户。要了解其他要求,请参阅使用 Amazon Macie 的注意事项和建议 AWS Organizations

注意

当你为组织指定不同的 Macie 管理员帐户时,你还会禁用对现有统计数据、库存数据以及其他信息的访问权限,这些数据是 Macie 在为组织中的帐户执行自动敏感数据发现时生成和直接提供的信息。新的 Macie 管理员帐户无法访问现有数据。如果您更改了名称,并且新的 Macie 管理员启用了账户的自动发现,则 Macie 会在自动发现账户时生成并维护新数据。

为组织指定不同的 Macie 管理员账户

要为您的组织指定不同的 Macie 管理员账户,您可以使用亚马逊 Macie 控制台或亚马逊 Macie 和 API 的组合。 AWS Organizations 只有 AWS Organizations 管理账户的用户才能更改其组织的名称。

Console

要使用 Amazon Macie 控制台更改指定,请遵循以下步骤。

指定不同的 Macie 管理员账户

  1. AWS Management Console 使用您的 AWS Organizations 管理账户登录。

  2. 使用页面右上角的选择 AWS 区域 器,选择要更改名称的区域。

  3. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  4. 根据您的管理账户在当前区域中是否启用 Macie,执行以下操作之一:

    • 如果未启用 Macie,请在欢迎页面上选择开始使用

    • 如果已启用 Macie,请在导航窗格中选择设置

  5. 指定管理员下,选择移除。要更改指定,必须先删除当前指定。

  6. 确认您要删除当前指定。

  7. 在 “委托管理员” 下,输入 12 位数的账户 ID AWS 账户 ,以指定为该组织的新 Macie 管理员账户。

  8. 选择 Delegate(委派)

在您将 Macie 与 AWS Organizations集成的每个其他区域中重复上述步骤。

API

要以编程方式更改名称,您需要使用 Amazon Macie API 的两个操作和一个 API 的操作。 AWS Organizations 这是因为在提交新名称 AWS Organizations 之前,您必须移除 Macie 中的当前名称。

要删除当前指定:

  1. 使用 Macie API 的DisableOrganizationAdminAccount操作。在必填adminAccountId参数中,为当前指定为组织的 Macie 管理员账户指 AWS 账户 定 12 位数的账户 ID。

  2. 使用 AWS Organizations API 的DeregisterDelegatedAdministrator操作。在必填 AccountId 参数中,为当前被指定为组织 Macie 管理员账户的账户指定 12 位数的账户 ID。此值应与您在之前的 Macie 请求中指定的账户 ID 相匹配。对于 ServicePrincipal 参数,指定 Macie 服务主体 (macie.amazonaws.com)。

删除当前名称后,使用 Macie API 的EnableOrganizationAdminAccount操作提交新的名称。在必填adminAccountId参数中,指定 12 位数的帐户 ID, AWS 账户 以指定为该组织的新 Macie 管理员帐户。

要使用更改名称 AWS CLI,请运行 Macie API 的disable-organization-admin-account命令和 API 的deregister-delegated-administrator AWS Organizations 命令。这些命令分别删除 Macie 和 AWS Organizations中的当前名称。在admin-account-idaccount-id参数中,指定 AWS 账户 要删除的 12 位数帐户 ID 作为当前 Macie 管理员帐户。使用 region 参数指定移除所适用的区域。例如:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

其中:

  • us-east-1 是删除适用的区域,即美国东部(弗吉尼亚州北部)区域。

  • 111122223333 是要作为 Macie 管理员账户删除的账户的账户 ID。

  • macie.amazonaws.com 是 Macie 的服务主体。

移除当前名称后,运行 Macie API 的enable-organization-admin-account命令提交新的名称。在admin-account-id参数中,指定 12 位数的帐户 ID, AWS 账户 以指定为该组织的新 Macie 管理员帐户。使用 region 参数指定该指定所适用的区域。例如:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

其中 us-east-1 是该指定适用的区域(美国东部(弗吉尼亚州北部)区域),444455556666 是指定为新 Macie 管理员账户的账户 ID。