在 Macie 中创建和管理基于邀请的组织 - Amazon Macie
添加成员账户暂停成员账户的 Macie删除成员账户删除与其他账户的关联

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Macie 中创建和管理基于邀请的组织

注意

我们建议使用 AWS Organizations 而不是 Macie 的成员账户管理邀请。有关更多信息,请参阅 使用管理多个 Macie 账户 AWS Organizations

要在 Amazon Macie 中创建基于邀请的组织,您首先要确定要使用哪个账户作为该组织的 Macie 管理员账户。然后,您使用该账户添加成员账户,向其他人发送会员邀请 AWS 账户,邀请这些账户以当前 Macie 成员账户的身份加入该组织 AWS 区域。 要在多个区域创建组织,请从其他账户当前使用或计划使用 Macie 的每个地区发送成员资格邀请。

账户接受邀请后,就会成为 Macie 成员账户,并与相应地区的 Macie 管理员账户相关联。然后,Macie 管理员账户就可以访问该区域中成员账户的某些 Macie 设置、数据和资源。

作为基于邀请的组织的 Macie 管理员,您可以查看成员账户的 Amazon Simple Storage Service (Amazon S3) 清单数据和策略调查发现。您还可以启用自动敏感数据发现并运行敏感数据发现任务,以检测成员账户拥有的 S3 存储桶中的敏感数据。有关您可执行的任务的详细列表,请参阅 Macie 管理员和成员账户关系

默认情况下,Macie 可让您查看整个组织的相关数据和资源。您还可以深入查看组织内各个账户的数据和资源。例如,如果您使用摘要控制面板来评测组织的 Amazon S3 安全状况,则可以按账户筛选数据。同样,如果您监控估算使用成本,则可以访问个人成员账户的估算费用明细。

除了管理员和成员账户共有的任务外,您还可以为组织集中执行各种管理任务。在执行这些任务之前,最好先查看一下在 Macie 中管理基于邀请的组织的注意事项和建议

将 Macie 成员账户添加到基于邀请的组织

作为基于邀请的组织的 Amazon Macie 管理员,您可以通过执行两个主要步骤向您的组织添加成员账户:

  1. 将账户添加到 Macie 的账户清单中。这会将账户与您的账户关联起来。

  2. 向账户发送成员资格邀请。

受邀账户接受邀请后,它将成为您组织中的成员账户。

步骤 1:添加账户

要向账户库存中添加一个或多个账户,您可以使用亚马逊 Macie 主机或亚马逊 Macie。API

Console

使用 Amazon Macie 控制台,您可以一次添加一个账户,也可以通过上传逗号分隔值 () 文件同时添加多个账户。CSV请按照以下步骤使用控制台添加一个或多个账户。

添加一个账户

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 通过使用 AWS 区域 页面右上角的选择器,选择要在其中添加账户的区域。

  3. 在导航窗格中,选择账户。“账户” 页面打开,显示当前与您的账户关联的账户表。

  4. 选择添加账户

  5. 输入账户详细信息部分,选择添加账户。然后执行以下操作:

    • 账户 ID 中,输入 12 位数的账户 ID AWS 账户 要添加。

    • 在 “电子邮件地址” 中,输入电子邮件地址 AWS 账户 要添加。

  6. 选择添加

  7. 在页面底部,选择 Next

Macie 会将该账户添加到您的账户清单中。该账户的类型为通过邀请,其状态为已创建。在您要添加账户的每个其他区域中重复上述步骤。

要管理多个账户

  1. 使用文本编辑器创建CSV文件,如下所示:

    1. 添加以下标头作为文件的第一行:Account ID,Email

    2. 为每个账户创建一个包含 12 位数账户 ID 的新行 AWS 账户 要添加以及该帐户的电子邮件地址。用逗号分隔各个条目,例如:111111111111,janedoe@example.com

      电子邮件地址必须与与之关联的电子邮件地址相匹配 AWS 账户.

    3. 确认文件内容的格式如下例所示,其中包含三个账户所需的标头和信息:

      Account ID,Email
111111111111,janedoe@example.com
222222222222,jorgesouza@example.com
333333333333,lijuan@example.com

    4. 将该文件保存到您的计算机。

  2. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  3. 通过使用 AWS 区域 选择页面右上角的选择器,选择要在其中添加账户的区域。

  4. 在导航窗格中,选择账户。“账户” 页面打开,显示当前与您的账户关联的账户表。

  5. 选择添加账户

  6. 输入账户详情部分,选择上传列表 (CSV)

  7. 选择 “浏览”,然后选择您在步骤 1 中创建的CSV文件。

  8. 选择添加账户

  9. 在页面底部,选择 Next

Macie 会将这些账户添加到您的账户清单中。其类型为通过邀请,状态为已创建。在您要添加账户的每个其他区域中重复步骤 3 到 8。

API

要以编程方式添加一个或多个账户,请使用 Ama API zon Macie 的CreateMember操作。提交请求时,请使用支持的参数为每个 12 位数的账户 ID 和电子邮件地址指定 AWS 账户 要添加。此外,请指定请求适用的区域。要在其他区域中添加账户,请在每个其他区域中提交请求。

要添加账户,请使用 AWS Command Line Interface (AWS CLI),运行 create-member 命令。使用 region 参数指定要添加账户的区域。使用account参数为每个账户指定账户 ID 和电子邮件地址 AWS 账户 要添加。例如:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}

位置 us-east-1 是要添加账户的区域(美国东部(弗吉尼亚北部)区域),account参数指定账户 ID (111111111111) 和电子邮件地址 (janedoe@example.com),用于添加账户。

如果您的请求成功,Macie 会将每个账户添加到您的账户清单中,其状态为 Created,并且您会收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}

arn为关联您的账户和您添加的账户而创建的资源的 Amazon 资源名称 (ARN) 在哪里。在此示例中,123456789012 是创建关联的账户的账户 ID,111111111111 是已添加账户的账户 ID。

步骤 2:向账户发送成员资格邀请

将账户添加到账户清单后,您可以邀请该账户以 Macie 成员账户的身份加入您的组织。为此,请向该账户发送成员资格邀请。当您发送邀请时,如果收件人的账户已启用 Macie,则该账户的 Amazon Macie 控制台上会显示账户徽章和通知。Macie 还创建了一个 AWS Health 该账户的事件。

根据您是使用 Amazon Macie 控制台还是发送API邀请,Macie 还会将邀请发送到您在添加账户时为收件人账户指定的电子邮件地址。电子邮件表明您想成为 Macie 账户的管理员,其中包含您的账户 ID AWS 账户 和收件人的 AWS 账户。 该消息还说明了如何访问邀请。您可以选择在消息中添加自定义文本。

要向一个或多个账户发送会员邀请,您可以使用亚马逊 Macie 主机或亚马逊 Macie。API

Console

请按照以下步骤使用 Amazon Macie 控制台发送成员资格邀请。

发送成员资格邀请

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 通过使用 AWS 区域 页面右上角的选择器,选择您要发送邀请的区域。

  3. 在导航窗格中,选择账户。“账户” 页面打开,显示当前与您的账户关联的账户表。

  4. 现有账户表中,选中要向其发送邀请的每个账户对应的复选框。

    提示

    为了更轻松地识别您已添加但尚未向其发送邀请的账户,您可以筛选该表。为此,请将光标放在表上方的筛选框中,然后选择状态。然后选择状态 = 已创建

  5. 操作菜单上,选择邀请

  6. (可选)在消息框中,输入要包含在含有邀请的电子邮件中的任何自定义文本。该文本可包含多达 80 个字母数字字符。

  7. 选择邀请

要以其他方式发送邀请 AWS 区域,在其他每个区域中重复上述步骤。

发送邀请后,您账户清单中的收件人账户状态将更改为正在进行电子邮件验证。如果 Macie 可以验证账户的电子邮件地址,则该账户的状态随后会更改为已邀请。如果 Macie 无法验证地址,则账户的状态将更改为电子邮件验证失败。如果发生这种情况,请与账户所有者合作以获取正确的电子邮件地址。然后删除账户之间的关联,再次添加账户,并再次发送邀请。

当收件人接受邀请时,收件人的账户状态将在您的账户清单中更改为 已启用。如果收件人拒绝接受邀请,则该收件人的账户将与您的账户解除关联,并从您的账户清单中移除。

API

要以编程方式发送邀请,请使用亚马API逊 Macie 的CreateInvitations操作。提交请求时,请使用支持的参数为每个请求指定 12 位数的账户 ID AWS 账户 向发送邀请。账户 ID 必须与您的账户清单中某个账户的账户 ID 一致。否则将出错。此外,指定要从中发送邀请的区域。要从其他区域发送邀请,请在每个其他区域提交请求。

在请求中,您还可以指定是否以电子邮件形式发送邀请,以及是否在该消息中包含自定义文本。如果您选择发送电子邮件,Macie 会将邀请发送到您在将账户添加到账户清单时为该账户指定的电子邮件地址。要以电子邮件形式发送邀请,请省略 disableEmailNotification 参数或将参数值设置为 false。(默认值为 false。) 要在信息中添加自定义文本,请使用 message 参数指定要添加的文本。该文本可包含多达 80 个字母数字字符。

要发送邀请,请使用 AWS CLI,运行 “创建邀请” 命令。使用 region 参数指定要从中发送邀请的区域。使用account-ids参数为每个账户指定账户 ID AWS 账户 向发送邀请。例如:

C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]

位置 us-east-1 是要从中发送邀请的区域(美国东部(弗吉尼亚北部)区域),account-ids参数指定了要向其发送邀请的三个账户的账户。IDs要将邀请作为电子邮件发送,还需包含 no-disable-email-notification 参数,并可选择包含 message 参数,以指定要添加到邮件中的自定义文本。

发送邀请后,每个收件人账户的状态将更改为 EmailVerificationInProgress。如果 Macie 可以验证账户的电子邮件地址,则该账户的状态随后会更改为 Invited。如果 Macie 无法验证地址,则账户的状态将更改为 EmailVerificationFailed。如果发生这种情况,请与账户所有者合作以获取正确的地址。然后删除账户之间的关联,再次添加账户,并再次发送邀请。

当收件人接受邀请时,收件人的账户状态将在您的账户清单中更改为 Enabled。如果收件人拒绝接受邀请,则该收件人的账户将与您的账户解除关联,并从您的账户清单中移除。

暂停基于邀请的组织中的成员账号的 Macie

作为组织的 Amazon Macie 管理员,你可以在特定组织中暂停 Macie AWS 区域 适用于您组织中的个人成员账户。但请注意,暂停成员账户后,您无法为其重新启用 Macie。之后只有该账户的用户才能为该账户重新启用 Macie。

当您暂停成员账户的 Macie 时:

  • Macie 会失去对该区域中账户的 Amazon S3 数据的访问权限,并停止提供有关该账户的 Amazon S3 数据的元数据。

  • Macie 停止在该区域中为账户执行所有活动。这包括监控 S3 存储桶的安全性和访问控制、执行自动敏感数据发现,以及运行当前正在进行的敏感数据发现作业。

  • Macie 会取消该账户在该区域创建的所有敏感数据发现作业。作业取消后无法恢复或重新启动。如果您创建了作业来分析成员账户拥有的数据,Macie 不会取消这些作业。相反,这些作业会跳过该账户拥有的资源。

账户被暂停后,Macie 会在相应区域保留该账户的 Macie 会话标识符、设置和资源。例如,该账户的调查发现保持不变,最长可在 90 天内不受影响。在适用区域中使用 Macie 不会向该账户收费,而该区域中的账户会暂停 Macie。

要暂停基于邀请的组织中成员账户的 Macie

要在基于邀请的组织中暂停 Macie 的成员账户,你可以使用亚马逊 Macie 控制台或亚马逊 Macie。API

Console

按照以下步骤使用 Amazon Macie 控制台暂停成员账户的 Macie。

暂停成员账户的 Macie

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 通过使用 AWS 区域 在页面右上角的选择器中,选择您要暂停 Macie 的成员账号所在的区域。

  3. 在导航窗格中,选择账户。“账户” 页面打开,显示当前与您的账户关联的账户表。

  4. 现有账户表中,选中要暂停的账户对应的复选框。

  5. 操作菜单上,选择暂停 Macie

  6. 确认您要暂停所选账户的 Macie。

确认暂停后,账户清单中的账户状态会更改为已暂停(已挂起)

在要暂停账户 Macie 的每个附加区域中重复上述步骤。

API

要以编程方式暂停 Macie 的成员账户,请使用亚马逊 Macie 的UpdateMemberSession操作。API提交请求时,使用id参数指定 12 位数的账户 ID AWS 账户 你想因此暂停 Macie。对于 status 参数,将 PAUSED 指定为 Macie 账户的新状态。此外,请指定请求适用的区域。要在其他区域暂停 Macie,请在每个其他区域提交您的请求。

要检索成员账户的账户 ID,您可以使用亚马逊 Mac API ie 的ListMembers操作。如果执行此操作,请考虑通过在请求中包含 onlyAssociated 参数来筛选结果。如果将此参数的值设置为 true,则 Macie 将返回一个 members 数组,该数组仅提供有关当前是管理员账户的成员账户的账户的详细信息。

要暂停 Macie 的成员账号,请使用 AWS CLI,运行update-member-session命令。使用 region 参数指定要暂停 Macie 的区域,并使用 id 参数指定要暂停 Macie 的账户的账户 ID。对于 status 参数,请指定 PAUSED。例如:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

位置 us-east-1 是暂停 Macie 的区域(美国东部(弗吉尼亚北部)区域),123456789012 是要暂停 Macie 的账户的账户 ID,PAUSED也是该账户的 Macie 新状态。

如果请求成功,Macie 将返回空响应,并且指定账户的状态将在账户清单中更改为 Paused

从基于邀请的组织中移除 Macie 成员账户

作为 Amazon Macie 管理员,您可以从您的组织中删除成员账户。为此,请取消该账户与 Macie 管理员账户的关联。

如果您移除成员账户,Macie 将继续为该账户启用,并且该账户会继续显示在您的账户清单中。但是,该账户将成为独立的 Macie 账户。当您移除账户时,Macie 不会通知账户的所有者。因此,请考虑与账户所有者联系,以确保他们开始管理其账户的设置和资源。

删除成员账户后,您将无法访问该账户的所有 Macie 设置、资源和数据。这包括账户拥有的 S3 存储桶的策略调查发现和元数据。此外,您无法再使用 Macie 发现账户拥有的 S3 存储桶中的敏感数据。如果您已创建敏感数据发现作业来执行此操作,则这些作业将跳过账户拥有的存储桶。如果您为该账户启用了自动敏感数据发现,则您和该账户都将无法访问 Macie 在对该账户执行自动发现时生成和直接提供的统计数据、库存数据和其他信息。

删除成员账户后,您可以随后通过向该账户发送新邀请,将其再次添加到您的组织中。如果该账户接受了新的邀请,并且您在 30 天内为该账户启用了自动敏感数据发现功能,那么您还可以重新获取 Macie 之前在对该账户执行自动发现时生成和直接提供的数据和信息的访问权限。

如果您删除了某个成员账户,但不打算再次添加该账户,则可以将其完全从账户库存中移除。要了解如何操作,请参阅 删除与其他账户的关联

要从基于邀请的组织中删除成员账户

要从您的组织中删除成员账户,您可以使用亚马逊 Macie 控制台或亚马逊 Macie。API

Console

按照以下步骤使用 Amazon Macie 控制台删除成员账户。

要删除成员账户

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 通过使用 AWS 区域 页面右上角的选择器,选择要删除成员帐户的区域。

  3. 在导航窗格中,选择账户。“账户” 页面打开,显示当前与您的账户关联的账户表。

  4. 现有账户表中,选中要删除的账户对应的复选框。

  5. 操作菜单上,选择取消关联账户

  6. 确认您要作为成员账户移除的选定账户。

确认选择后,账户清单中的账户状态会更改为已移除(已解除关联)

在您要移除成员账户的每个附加区域中重复上述步骤。

API

要以编程方式删除成员账户,请使用亚马API逊 Macie 的DisassociateMember操作。提交请求时,使用id参数指定 12 位数字 AWS 账户 要删除的成员账户的 ID。此外,请指定请求适用的区域。要移除其他区域的账户,请在每个其他区域提交您的申请。

要检索要删除的账户的账户 ID,你可以使用 Amazon Mac API ie 的ListMembers操作。如果执行此操作,请考虑通过在请求中包含 onlyAssociated 参数来筛选结果。如果将此参数的值设置为 true,则 Macie 将返回一个 members 数组,该数组仅提供有关当前是您账户的成员账户的账户的详细信息。

要删除成员账户,请使用 AWS CLI,运行取消关联成员命令。使用 region 参数指定要移除账户的区域。使用 id 参数指定要删除的账户的账户 ID。例如:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

位置 us-east-1 是要移除账户的区域(美国东部(弗吉尼亚北部)区域)和 123456789012 是要删除的账户的账户 ID。

如果请求成功,Macie 将返回空响应,并且指定账户的状态将在账户清单中更改为 Removed

删除与其他账户的关联

在 Amazon Macie 的账户库存中添加账户后,您可以删除您的账户与其他账户之间的关联。您可以对库存中的任何账户执行此操作,但以下情况除外:

  • 属于您组织的账户 AWS Organizations。 这种类型的关联是通过以下方式控制的 AWS Organizations 不是 Macie。

  • 接受 Macie 成员资格邀请以加入您的组织的成员账户。如果是这种情况,您必须先删除成员账户,然后才能删除关联。

当您删除关联时,Macie 会从您的账户清单中移除该账户。如果您想随后恢复关联,则必须重新添加该帐户,就像它是一个全新的帐户一样。

要删除与其他账户的关联

要删除您的账户与其他账户之间的关联,您可以使用亚马逊 Macie 主机或亚马逊 Macie。API

Console

要使用 Amazon Macie 控制台删除与其他账户的关联,请执行以下步骤。

删除关联

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 通过使用 AWS 区域 页面右上角的选择器,选择要删除关联的区域。

  3. 在导航窗格中,选择账户。“账户” 页面打开,显示当前与您的账户关联的账户表。

  4. 现有账户表中,选中要删除其关联的账户对应的复选框。

  5. 操作 菜单上,选择删除

  6. 确认要删除所选关联。

在要删除关联的每个其他区域中重复上述步骤。

API

要以编程方式删除与其他账户的关联,请使用 Ama API zon Macie 的DeleteMember操作。提交请求时,使用id参数指定 12 位数的账户 ID AWS 账户 删除与的关联。此外,请指定请求适用的区域。要删除其他区域中的关联,请在每个其他区域中提交您的请求。

要检索账户的账户 ID,您可以使用亚马逊 Mac API ie 的ListMembers操作。如果执行此操作,请在请求中包含 onlyAssociated 参数,并将参数的值设置为 false。如果操作成功,Macie 将返回一个 members 数组,该数组提供有关与您的账户关联的所有账户的详细信息,包括当前不是成员账户的账户。

要删除与其他账户的关联,请使用 AWS CLI,运行删除成员命令。使用 region 参数指定要删除关联的区域,并使用 id 参数指定账户的账户 ID。例如:

C:\> aws macie2 delete-member --region us-east-1 --id 123456789012

位置 us-east-1 是要删除与其他账户关联的区域(美国东部(弗吉尼亚北部)区域)和 123456789012 是该账户的账户 ID。

如果请求成功,Macie 将返回空响应,并删除您的账户与其他账户之间的关联。之前关联的账户将从您的账户清单中移除。