更改基于邀请的组织的 Macie 管理员账户 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改基于邀请的组织的 Macie 管理员账户

注意

我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息,请参阅 使用管理多个 Macie 账户 AWS Organizations

在创建和建立基于邀请的组织后,您可以更改该组织的 Amazon Macie 管理员账户。为此,管理员和组织成员应执行以下步骤:

  1. 当前的 Macie 管理员可选择导出组织的成员账户的当前清单。这可以帮助您确定应继续成为组织一部分的成员账户,从而简化过渡工作。

  2. 当前 Macie 管理员从当前组织中删除所有成员账户。这将使账户与当前管理员账户解除关联。账户将继续启用 Macie,但该账户将变为独立的 Macie 账户。

    重要

    当前 Macie 管理员删除成员账户时,Macie 会自动禁用账户的自动敏感数据发现。这也导致无法访问统计数据、库存数据以及 Macie 在对账户进行自动发现时生成和直接提供的其他信息。完成向新组织的过渡后,新的 Macie 管理员就无法访问这些数据了。

  3. 新的 Macie 管理员将以前的成员账户添加到新组织。这会将账户与新的管理员账户相关联。

  4. 每个成员账户都接受加入新组织的邀请。该账户接受邀请后,就会成为新组织的成员账户。然后,新的 Macie 管理员就可以访问该账户的 Macie 设置、数据和资源。如果之前为该账户启用了自动敏感数据发现,则不包括 Macie 之前在对该账户执行自动发现功能时生成和直接提供的数据。相反,如果新的 Macie 管理员启用了账户自动发现功能,Macie 就会生成和维护该账户的新数据。

如果您的组织在多个区域中使用 Macie AWS 区域,请在每个区域中执行上述步骤。

要导出成员账户的当前清单,当前 Macie 管理员可以使用 Amazon Macie 控制台或 Amazon Macie API。使用控制台,当前管理员可以将数据导出到逗号分隔值 (CSV) 文件。然后,新管理员可以使用控制台上传 CSV 文件,并将所有账户(批量)添加到新组织。

使用控制台导出成员账户数据

  1. AWS Management Console 使用当前 Macie 管理员帐户登录。

  2. 使用页面右上角的选择 AWS 区域 器,选择要导出数据的区域。

  3. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  4. 在导航窗格中,选择账户账户页面将打开并显示与当前 Macie 管理员账户相关联的账户表。

  5. (可选)要筛选账户表并仅显示组织中当前的成员账户的账户,请使用账户表上方的筛选条件框添加以下筛选条件:

    • 类型 = 邀请

    • 状态 = 已启用

    • 状态 = 已暂停

  6. 在表格中,选中要包含在导出数据中的每个成员帐户的复选框。

  7. 选择导出 CSV

  8. 指定文件的名称和位置。

借助 Amazon Macie API,当前的 Macie 管理员可以检索 JSON 格式的数据。然后,新的 Macie 管理员可以使用该数据生成账户 IDs 和电子邮件地址列表,供账户添加和邀请加入新组织。要以 JSON 格式检索数据,请使用亚马逊 Macie API 的ListMembers操作。如果操作成功,Macie 将返回一个 members 数组,该数组提供有关与管理员账户关联的所有账户的详细信息。如果账户当前是成员账户,则该账户的 relationshipStatus 属性值为 EnabledPaused,该 invitedAt 属性指定了日期和时间。