為組織指定不同的 Amazon Macie 管理員帳戶 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為組織指定不同的 Amazon Macie 管理員帳戶

在 Amazon Macie 中整合並設定 AWS Organizations組織後, AWS Organizations 管理帳戶可以將不同的帳戶指定為組織委派的 Macie 管理員帳戶。

身為組織 AWS Organizations 管理帳戶的使用者,請確認您符合下列權限需求,然後再為組織指定不同的 Macie 管理員帳戶:

  • 您必須擁有初始為組織指定 Macie 管理員帳戶所需的相同權限。您也必須被允許執行下列 AWS Organizations 動作:organizations:DeregisterDelegatedAdministrator。此額外動作可讓您移除目前的指定。

  • 如果您的帳戶目前是 Macie 會員帳戶,則當前的 Macie 管理員必須刪除您作為 Macie 會員帳戶的帳戶。否則,您將無法訪問 Macie 操作來指定不同的管理員帳戶。指定新的管理員帳戶後,新的 Macie 管理員可以再次將您的帳戶新增為 Macie 成員帳戶。

如果您的組織使用多個 Macie AWS 區域,也請務必在組織使用 Macie 的每個區域中變更委派的 Macie 管理員帳戶。所有這些區域中委派的 Macie 管理員帳戶必須相同。如果您在中管理多個組織 AWS Organizations,也請注意,一個帳戶一次只能成為一個組織的委派 Macie 管理員帳戶。若要瞭解其他需求,請參閱搭配使用 Amazon Macie 的注意事項和建議 AWS Organizations

注意

當您為組織指定不同的 Macie 管理員帳戶時,您也會停用存取現有的統計資料、庫存資料,以及 Macie 產生並直接提供的其他資訊,同時針對組織中的帳戶執行自動敏感資料探索。新的 Macie 管理員帳戶無法訪問現有數據。如果您變更指定,而新的 Macie 管理員會為帳戶啟用自動探索功能,Macie 會在為帳戶執行自動探索時產生並維護新資料。

為您的組織指定不同的 Macie 管理員帳戶

若要為您的組織指定不同的 Macie 管理員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie 和 API 的組合。 AWS Organizations 只有 AWS Organizations 管理帳戶的使用者可以變更其組織的指定。

Console

若要使用 Amazon Macie 主控台變更指定,請依照下列步驟執行。

若要指定不同的 Macie 管理員帳戶

  1. AWS Management Console 使用您的 AWS Organizations 管理帳戶登入。

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要在其中變更指定的「區域」。

  3. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  4. 根據目前區域中的管理帳戶是否已啟用 Macie,執行下列其中一項作業:

    • 如果未啟用 Macie,請在歡迎頁面上選擇 [開始使用]。

    • 如果已啟用 Macie,請在導覽窗格中選擇 [設定]。

  5. 委派管理員下,選擇移除。若要變更指定,您必須先移除目前的指定。

  6. 確認您要移除目前的指定。

  7. 在「委派管理員」下,輸入 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳號 ID。

  8. 選擇委派

在與 AWS Organizations Macie 整合的每個其他區域中重複上述步驟。

API

若要以程式設計方式變更指定,您可以使用 Amazon Macie API 的兩個操作和 API 的一項作業。 AWS Organizations 這是因為您必須在 Macie 和提交新指定 AWS Organizations 之前移除目前的指定。

若要移除目前的指定:

  1. 使用馬西 API 的DisableOrganizationAdminAccount操作。針對必要adminAccountId參數,指定目前指定為組織之 AWS 帳戶 Macie 管理員帳戶的 12 位數帳號 ID。

  2. 使用 AWS Organizations API 的DeregisterDelegatedAdministrator操作。對於AccountId參數,請為目前指定為組織的 Macie 管理員帳戶的帳戶指定 12 位數的帳戶 ID。此值應符合您在先前 Macie 要求中指定的帳戶 ID。對於ServicePrincipal參數,請指定 Macie 服務主體 (macie.amazonaws.com)。

移除目前的指定之後,請使用 Macie API 的EnableOrganizationAdminAccount操作來提交新指定。針對必要adminAccountId參數,請指定 12 位數的帳號 ID, AWS 帳戶 以指定為組織的新 Macie 管理員帳戶。

若要使用變更指定 AWS CLI,請執行 Macie API 的命disable-organization-admin-account令和 AWS Organizations API 的deregister-delegated-administrator命令。這些指令會分別移除 Macie 和 AWS Organizations目前的指定。對於admin-account-idaccount-id參數,請指定 AWS 帳戶 要移除的 12 位數帳號 ID 作為目前 Macie 管理員帳戶。使用region參數可指定移除套用至的「區域」。例如:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

其中:

  • us-east-1 是移除適用於美國東部 (維吉尼亞北部) 區域的區域。

  • 111122223333 是該帳戶的帳戶識別碼,以便以 Macie 系統管理員帳戶身分移除。

  • macie.amazonaws.com是馬西埃服務主體。

移除目前的指定之後,請執行 Macie API 的指enable-organization-admin-account令來提交新指定。對於admin-account-id參數,請指定 AWS 帳戶 要指定為組織的新 Macie 管理員帳戶的 12 位數帳號 ID。使用region參數指定要套用指定的「區域」。例如:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

其中 us-east-1 是指定套用至的區域 (美國東部 (維吉尼亞北部) 區域),而 444455556666 是要指定為新 Macie 管理員帳戶之帳戶的帳戶識別碼。