在 Amazon Macie 中集成和配置组织 - Amazon Macie
步骤 1:验证您的权限步骤 2:指定委派的 Macie 管理员账户步骤 3:自动启用并添加新组织账户步骤 4:启用并添加现有组织账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Macie 中集成和配置组织

要开始使用 Amazon Macie AWS Organizations,该组织的 AWS Organizations 管理账户需要将一个账户指定为该组织委托的 Macie 管理员账户。这使Macie成为值得信赖的服务. AWS Organizations它还为指定的管理员账户启用当前 AWS 区域 中的 Macie,并允许指定的管理员账户为该区域组织中的其他账户启用和管理 Macie。有关如何授予这些权限的信息,请参阅《AWS Organizations 用户指南》 AWS 服务中的 “AWS Organizations 与其他人一起使用”。

然后,委派的 Macie 管理员在 Macie 中配置组织,主要是通过添加该组织的账户作为该区域中的 Macie 成员账户。然后,管理员可以访问该区域中这些账户的某些 Macie 设置、数据和资源。他们还可以自动发现敏感数据并运行敏感数据发现任务,以检测账户拥有的亚马逊简单存储服务 (Amazon S3) 存储桶中的敏感数据。

本主题说明如何为组织指定委托的 Macie 管理员以及如何添加该组织的账户作为 Macie 成员账户。在执行这些任务之前,请确保您了解管理员账户和成员账户之间的关系。查看将 Macie 与配 AWS Organizations合使用的注意事项和建议也是一个好主意。

要在多个区域中整合和配置组织, AWS Organizations 管理账户和委派的 Macie 管理员在每个其他区域中重复这些步骤。

第 1 步:验证权限

在为组织指定委派的 Macie 管理员帐户之前,请确认您(作为 AWS Organizations 管理账户的用户)是否被允许执行以下 Macie 操作:。macie2:EnableOrganizationAdminAccount此操作允许您使用 Macie 为您的组织指定委派的 Macie 管理员账户。

此外,请确认您是否被允许执行以下 AWS Organizations 操作:

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

这些操作允许您:检索有关您的组织的信息;将 Macie 与集成 AWS Organizations;检索有关 AWS 服务 您已与之集成的信息 AWS Organizations;以及为您的组织指定一个委托的 Macie 管理员帐户。

要授予这些权限,请在账户的 AWS Identity and Access Management (IAM) 策略中加入以下声明:

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

如果您想将自己的 AWS Organizations 管理账户指定为该组织委派的 Macie 管理员账户,则您的账户还需要权限才能执行以下 IAM 操作:CreateServiceLinkedRole。此操作允许您为管理账户启用 Macie。但是,根据 AWS 安全最佳实践和最低权限原则,我们不建议您这样做。

如果您决定授予此权限,请将以下声明添加到您的 AWS Organizations 管理账户的 IAM 策略中:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

在语句中,将 111122223333 替换为管理账户的账户 ID。

如果您想在选择加入 AWS 区域 (默认情况下禁用的区域)中管理 Macie,还要更新Resource元素和条件中的 Macie 服务主体的值。iam:AWSServiceName该值必须指定该区域的区域代码。例如,要管理中东(巴林)区域(区域代码为 me-south-1)中的 Macie,请执行以下操作:

  • Resource 元素中,请将

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    替换为

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    其中 111122223333 指定了管理账户的账户 ID,me-south-1 指定了该区域的区域代码。

  • iam:AWSServiceName 条件中,请将 macie.amazonaws.com 替换为 macie.me-south-1.amazonaws.com,其中 me-south-1 指定了该地区的区域代码。

有关 Macie 当前可用区域的列表以及每个区域的区域代码,请参阅 AWS 一般参考 中的 Amazon Macie 端点和限额。有关选择加入型区域的信息,请参阅《AWS Account Management 参考指南》中的 Specifying which AWS 区域 your account can use

步骤 2:为组织指定委派的 Macie 管理员账户

验证权限后,您(作为 AWS Organizations 管理账户的用户)可以为您的组织指定委派的 Macie 管理员帐户。

为组织指定委派的 Macie 管理员账户

要为您的组织指定委派 Macie 管理员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有 AWS Organizations 管理账户的用户才能执行此任务。

Console

请按照以下步骤操作,使用 Amazon Macie 控制台指定 Macie 委派管理员账户。

指定委派的 Macie 管理员账户

  1. AWS Management Console 使用您的 AWS Organizations 管理账户登录。

  2. 使用页面右上角的 AWS 区域 选择器,选择要为组织指定委托的 Macie 管理员帐户的区域。

  3. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  4. 根据您的管理账户在当前区域中是否启用 Macie,执行以下操作之一:

    • 如果未启用 Macie,请在欢迎页面上选择开始使用

    • 如果已启用 Macie,请在导航窗格中选择设置

  5. 在 “委托管理员” 下,输入要指定为 Mac AWS 账户 ie 管理员帐户的 12 位数账户 ID。

  6. 选择 Delegate(委派)

在您想要将组织与 Macie 集成的每个其他区域中重复上述步骤。您必须在每个区域中指定相同的 Macie 管理员账户。

API

要以编程方式指定委派的 Macie 管理员账户,请使用 Amazon Macie API 的EnableOrganizationAdminAccount操作。要在多个区域中指定账户,请为要在其中将您的组织与 Macie 集成的每个区域提交该指定。您必须在每个区域中指定相同的 Macie 管理员账户。

提交指定时,请使用必填adminAccountId参数指定 12 位数的帐户 ID, AWS 账户 以便指定为组织的 Macie 管理员帐户。另外,请务必指定该指定所适用的区域。

要使用 AWS Command Line Interface (AWS CLI) 指定 Macie 管理员帐户,请运行enable-organization-admin-account命令。在admin-account-id参数中,指定要指定的 12 位帐户 ID。 AWS 账户 使用 region 参数指定该指定所适用的区域。例如:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

其中 us-east-1 是该指定适用的区域(美国东部(弗吉尼亚州北部)区域),111122223333 是要指定的账户的账户 ID。

为组织指定 Macie 管理员账户后,Macie 管理员便可以开始在 Macie 中配置组织。

步骤 3:自动启用并添加新组织账户作为 Macie 成员账户

默认情况下,在 AWS Organizations中将新账户添加到您的组织时,不会自动为这些账户启用 Macie。此外,不会自动添加这些账户作为 Macie 成员账户。这些账户会显示在 Macie 管理员的账户清单中。但是,不一定要为这些账户启用 Macie,Macie 管理员也不一定能访问这些账户的 Macie 设置、数据和资源。

如果您是该组织委派的 Macie 管理员,则可以更改此配置设置。您可以为组织开启自动启用。如果您这样做,则在中将新帐户添加到您的组织时,Macie 会自动为这些帐户启用 AWS Organizations,并且这些帐户将自动作为成员帐户与您的 Macie 管理员帐户关联。开启此设置不会影响组织中的现有账户。要为现有账户启用和管理 Macie,必须手动添加这些账户作为 Macie 成员账户。下一步介绍如何执行此操作。

注意

如果您开启自动启用,请注意以下例外情况:

  • 如果新账户已与其他 Macie 管理员账户关联,则 Macie 不会自动添加该账户作为组织中的成员账户。

    该账户必须先取消与其当前 Macie 管理员账户的关联,然后才能在 Macie 中加入您的组织。然后,您可以手动添加该账户。要确定存在这种情况的账户,您可以为您的组织查看账户清单

  • 如果您的组织达到了 10,000 个 Macie 成员账户的配额 AWS 区域,Macie 会自动关闭该地区中的此设置。

    如果发生这种情况,我们会通过为您的 Macie 管理员账户创建 AWS Health 和 Amazon CloudWatch 事件来通知您。我们还会向与该账户关联的地址发送电子邮件。如果账户总数随后减少到少于 10,000 个账户,则 Macie 会自动再次开启该设置。

自动启用并添加新组织账户作为 Macie 成员账户

要自动启用并添加新账户作为 Macie 成员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

Console

要使用控制台执行此任务,必须允许您执行以下 AWS Organizations 操作:organizations:ListAccounts。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限,请按照以下步骤自动启用并添加新组织账户作为 Macie 成员账户。

自动启用并添加新组织账户

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要自动启用的区域,并将新账户添加为 Macie 成员账户。

  3. 在导航窗格中,选择账户

  4. 在 “帐户” 页面的 “新帐户” 部分中,选择编辑

  5. “编辑新帐户的设置” 对话框中,选择 “启用 Macie”。

    要同时自动为新成员帐户启用自动发现敏感数据,请选择启用自动发现敏感数据。如果您为账户启用此功能,Macie 会持续从该账户的 S3 存储桶中选择示例对象并分析这些对象以确定它们是否包含敏感数据。有关更多信息,请参阅 执行自动敏感数据发现

  6. 选择 Save(保存)。

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

要随后更改这些设置,请重复上述步骤并清除每个设置的复选框。

API

要以编程方式自动启用和添加新的 Macie 成员账户,请使用亚马逊 Macie API 的UpdateOrganizationConfiguration操作。提交请求时,将 autoEnable 参数的值设置为 true。(默认值为 false。) 另外,请务必指定您的请求适用的区域。要在其他区域中自动启用并添加新账户,请为每个其他区域提交请求。

如果您使用 AWS CLI 提交请求,请运行update-organization-configuration命令并指定auto-enable参数以自动启用和添加新账户。例如:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

其中 us-east-1 是自动在其中启用并添加新账户的区域,即美国东部(弗吉尼亚州北部)区域。

要随后更改此设置以及停止自动启用并添加新账户,请再次运行相同的命令并在每个适用区域中使用 no-auto-enable 参数,而不是 auto-enable 参数。

您还可以为新成员账户自动启用敏感数据发现功能。如果您为账户启用此功能,Macie 会持续从该账户的 S3 存储桶中选择示例对象并分析这些对象以确定它们是否包含敏感数据。有关更多信息,请参阅 执行自动敏感数据发现。要为成员账户自动启用此功能,请使用UpdateAutomatedDiscoveryConfiguration操作,或者,如果您使用的是 AWS CLI,则运行update-automated-discovery-configuration命令。

步骤 4:启用并添加现有组织账户作为 Macie 成员账户

当你将 Macie 与集成时 AWS Organizations,不会自动为组织中的所有现有账户启用 Macie。此外,这些账户不会作为 Macie 成员账户自动与委派的 Macie 管理员账户关联。因此,在 Macie 中集成和配置组织的最后一步是添加现有组织账户作为 Macie 成员账户。当您添加现有账户作为 Macie 成员账户时,系统会自动为该账户启用 Macie,并且您(作为委派的 Macie 管理员)可以访问该账户的某些 Macie 设置、数据和资源。

请注意,您无法添加当前与其他 Macie 管理员账户关联的账户。要添加账户,请与账户所有者合作,以先取消该账户与其当前管理员账户的关联。此外,如果 Macie 当前被暂停使用现有账户,则无法添加该账户。账户所有者必须先为账户重新启用 Macie。最后,如果您要添加 AWS Organizations 管理账户作业为成员账户,该账户的用户必须首先为该账户启用 Macie。

启用并添加现有组织账户作为 Macie 成员账户

要启用并添加现有组织账户作为 Macie 成员账户,您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

Console

要使用控制台执行此任务,必须允许您执行以下 AWS Organizations 操作:organizations:ListAccounts。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限,请按照以下步骤启用并添加现有账户作为 Macie 成员账户。

启用并添加现有组织账户

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要启用的区域,并将现有账户添加为 Macie 成员账户。

  3. 在导航窗格中,选择账户

    账户页面将打开并显示与您的 Macie 账户关联的账户表。如果账户属于您的组织 AWS Organizations,则其类型Via AWS Organizations。如果账户已经是 Macie 成员账户,则其状态为 “已启用”

  4. 账户表中,为要添加作为 Macie 成员账户的每个账户选中复选框。

  5. 操作菜单上,选择添加成员

  6. 确认您要添加所选账户作为成员账户。

确认添加选定账户后,账户的状态将更改为 “正在启用”,然后更改为 “已启用”添加成员帐户后,您还可以为该帐户启用自动敏感数据发现:在 “帐户” 表中,选中要启用的每个帐户的复选框,然后在 “操作” 菜单上选择 “启用自动敏感数据发现”。如果您为账户启用此功能,Macie 会持续从该账户的 S3 存储桶中选择示例对象并分析这些对象以确定它们是否包含敏感数据。有关更多信息,请参阅 执行自动敏感数据发现

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

API

要以编程方式启用一个或多个现有账户并将其添加为 Macie 成员账户,请使用 Amazon Macie API 的CreateMember操作。提交请求时,请使用支持的参数指定 AWS 账户 要启用和添加的 12 位账户 ID 和电子邮件地址。此外,请指定请求适用的区域。要在其他区域中启用并添加现有账户,请提交每个其他区域的请求。

要检索 AWS 账户 要启用和添加的账户 ID 和电子邮件地址,您可以选择使用 Amazon Macie API 的ListMembers操作。此操作提供有关与您的 Macie 账户关联的账户的详细信息,包括非 Macie 成员账户的账户。如果账户relationshipStatus属性的值不是Enabled,则该账户不是 Macie 成员账户。

要使用启用和添加一个或多个现有账户 AWS CLI,请运行 create-Mem ber 命令。使用region参数指定要在其中启用并添加账户的区域。使用account参数为每个 AWS 账户 要添加的账户 ID 和电子邮件地址指定账户 ID 和电子邮件地址。例如:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

其中 us-east-1 是要在其中启用并添加账户作为 Macie 成员账户的区域(美国东部(弗吉尼亚州北部)区域),account参数为该账户指定账户 ID (123456789012) 和电子邮件地址 (janedoe@example.com)。

如果您的请求成功,则指定账户的状态 (relationshipStatus) 将更改为您的账户清单中的Enabled

要同时为一个或多个账户启用自动发现敏感数据,请使用BatchUpdateAutomatedDiscoveryAccounts操作,或者,如果您使用的是,则运行 batch-update-automated-discovery- AWS CLI accounts 命令。如果您为账户启用此功能,Macie 会持续从该账户的 S3 存储桶中选择示例对象并分析这些对象以确定它们是否包含敏感数据。有关更多信息,请参阅 执行自动敏感数据发现