在 Amazon Macie 中整合和設定組織 - Amazon Macie
步驟 1:驗證您的權限步驟 2:指定委派的 Macie 管理員帳戶步驟 3:自動啟用並新增組織帳戶步驟 4:啟用並新增現有組織帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Macie 中整合和設定組織

若要開始使用 Amazon Macie AWS Organizations,組織的 AWS Organizations 管理帳戶會將帳戶指定為該組織的委派 Macie 管理員帳戶。這使 Macie 成為中 AWS Organizations的受信任服務。它也會為指定的管理員帳戶啟 AWS 區域 用目前的 Macie,並允許指定的管理員帳戶啟用和管理該區域中組織中其他帳戶的 Macie。如需有關如何授與這些權限的資訊,請參閱《使用指南》 AWS 服務中的「 AWS Organizations 與其他權限搭配AWS Organizations 使

委派的 Macie 管理員接著會在 Macie 中設定組織,主要是將組織的帳戶新增為「區域」中的 Macie 成員帳戶。然後,管理員可以存取該區域中這些帳戶的特定 Macie 設定、資料和資源。他們還可以執行自動化敏感資料探索和執行敏感資料探索任務,以在帳戶擁有的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中偵測敏感資料。

本主題說明如何為組織指定委派的 Macie 管理員,以及如何將組織的帳戶新增為 Macie 成員帳戶。執行這些工作之前,請確定您瞭解管理員帳戶與成員帳戶之間的關係。檢閱搭 AWS Organizations配使用 Macie 的注意事項和建議也是個好主意。

若要整合和設定多個區域中的組織, AWS Organizations 管理帳戶和委派的 Macie 管理員會在每個額外的區域中重複這些步驟。

步驟 1:驗證您的權限

在您為組織指定委派的 Macie 管理員帳戶之前,請確認您 (身為 AWS Organizations 管理帳戶的使用者) 可以執行下列 Macie 動作:macie2:EnableOrganizationAdminAccount此動作可讓您使用 Macie 指定組織的委派 Macie 管理員帳戶。

此外,請確認您是否被允許執行下列 AWS Organizations 動作:

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

這些動作可讓您:擷取組織的相關資訊、與 Macie 整合、擷取與 AWS Organizations之整合的 AWS 服務 相關資訊 AWS Organizations;以及為您的組織指定委派的 Macie 管理員帳戶。

若要授予這些權限,請在帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式:

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

如果您想要將 AWS Organizations 管理帳戶指定為組織委派的 Macie 管理員帳戶,您的帳戶還需要執行下列 IAM 動作的權限:CreateServiceLinkedRole此動作可讓您為管理帳戶啟用 Macie。不過,根據 AWS 安全性最佳做法和最低權限原則,我們不建議您這麼做。

如果您決定授予此權限,請在 AWS Organizations 管理帳戶的 IAM 政策中新增下列陳述式:

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

在對帳單中,將 111122223333 取代為管理帳戶的帳戶識別碼。

如果您想要在選擇加入 AWS 區域 (預設為停用的區域) 中管理 Macie,請同時更新Resource元素和條件中 Macie 服務主體的值。iam:AWSServiceName此值必須指定「區域」的「地區」代碼。例如,若要管理中東 (巴林) 區域的 Macie,該區域的區域代碼為 me-south-1,請執行以下操作:

  • Resource元素中,替換

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    取代為

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    其中 111122223333 會指定管理帳戶的帳戶識別碼,而 me-south-1 會指定區域的地區代碼。

  • iam:AWSServiceName條件下,取代macie.amazonaws.commacie.me-south-1.amazonaws.com,其中 me-south-1 指定「區域」的「區域」代碼。

如需目前可使用 Macie 的區域清單以及每個區域的 Amazon Macie 域代碼,請參閱. AWS 一般參考 如需選擇加入區域的相關資訊,請參閱AWS Account Management 參考指南中的指定 AWS 區域 您的帳戶可以使用的項目。

步驟 2:指定組織的委派 Macie 管理員帳戶

驗證權限後,您 (身為 AWS Organizations 管理帳戶的使用者) 可以為組織指定委派的 Macie 管理員帳戶。

若要指定組織的委派 Macie 管理員帳戶

若要為您的組織指定委派的 Macie 管理員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有 AWS Organizations 管理帳戶的使用者可以執行此工作。

Console

請依照下列步驟使用 Amazon Macie 主控台指定委派的 Macie 管理員帳戶。

若要指定委派的 Macie 管理員帳戶

  1. AWS Management Console 使用您的 AWS Organizations 管理帳戶登入。

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要在其中指定組織委派 Macie 管理員帳戶的區域。

  3. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  4. 根據目前區域中的管理帳戶是否已啟用 Macie,執行下列其中一項作業:

    • 如果未啟用 Macie,請在歡迎頁面上選擇 [開始使用]。

    • 如果已啟用 Macie,請在導覽窗格中選擇 [設定]。

  5. 在「委派管理員」下,輸入您要指定為 Macie 管理員帳戶的 12 位數帳號 ID。 AWS 帳戶

  6. 選擇委派

在您要將組織與 Macie 整合的每個其他區域中,重複上述步驟。您必須在這些區域中指定相同的 Macie 管理員帳戶。

API

若要以程式設計方式指定委派的 Macie 管理員帳戶,請使用 Amazon Macie API 的EnableOrganizationAdminAccount操作。若要在多個區域中指定科目,請針對您要將組織與 Macie 整合的每個區域提交指定。您必須在這些區域中指定相同的 Macie 管理員帳戶。

當您提交指定時,請使用必要的adminAccountId參數來指定要指定為組織的 AWS 帳戶 Macie 管理員帳戶的 12 位數帳號 ID。同時請務必指定要套用指定的「區域」。

若要使用 AWS Command Line Interface (AWS CLI) 指定 Macie 管理員帳戶,請執行命enable-organization-admin-account令。對於admin-account-id參數,請指定 AWS 帳戶 要指定的 12 位數帳戶 ID。使用region參數指定要套用指定的「區域」。例如:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

其中 us-east-1 是指定套用至的區域 (美國東部 (維吉尼亞北部) 區域),111122223333 是要指定帳戶的帳戶識別碼。

指定組織的 Macie 管理員帳戶後,Macie 管理員即可開始在 Macie 中配置組織。

步驟 3:自動啟用並新增組織帳戶作為 Macie 成員帳戶

根據預設,當帳戶新增至您的組織時,新帳戶不會自動啟用 Macie。 AWS Organizations此外,帳戶不會自動添加為 Macie 成員帳戶。這些帳號會顯示在 Macie 管理員的帳戶清單中。不過,Macie 不一定會為帳戶啟用,而 Macie 管理員也不一定會存取帳戶的 Macie 設定、資料和資源。

如果您是組織的委派 Macie 管理員,您可以變更此組態設定。您可以為組織開啟自動啟用。如果您這麼做,當帳戶新增至您的組織中時,Macie 會自動為新帳戶啟用 AWS Organizations,而這些帳戶會自動與您的 Macie 管理員帳戶關聯為成員帳戶。開啟此設定不會影響組織中的現有帳戶。若要啟用和管理現有帳戶的 Macie,您必須手動將帳戶新增為 Macie 成員帳戶。下一步說明如何執行此操作。

備註

如果您開啟自動啟用,請注意下列例外狀況:

  • 如果新帳戶已與不同的 Macie 管理員帳戶相關聯,Macie 不會自動將該帳戶新增為組織中的成員帳戶。

    該帳戶必須先取消與其目前 Macie 管理員帳戶的關聯,才能成為您在 Macie 中組織的一部分。然後,您可以手動添加帳戶。若要識別發生這種情況的科目,您可以複查組織的科目存貨

  • 如果您的組織達到 10,000 Macie 成員帳戶的配額 AWS 區域,Macie 會自動關閉「地區」中的此設定。

    如果發生這種情況,我們會通過為您的 Macie 管理員帳戶創建 AWS Health 和 Amazon CloudWatch 事件通知您。我們也會傳送電子郵件至與該帳戶相關聯的電子郵件地址。如果帳戶總數隨後減少到 10,000 個以下,Macie 會自動再次開啟設定。

自動啟用並新增組織帳戶作為 Macie 成員帳戶

要自動啟用並將新帳戶添加為 Macie 會員帳戶,您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有委派的組織 Macie 管理員可以執行此任務。

Console

若要使用控制台執行此工作,您必須被允許執行下列 AWS Organizations 動作:organizations:ListAccounts此動作可讓您擷取並顯示組織中帳號的相關資訊。如果您具有這些權限,請依照下列步驟自動啟用並新增新的組織帳戶作為 Macie 成員帳戶。

若要自動啟用和新增組織帳戶

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要在其中自動啟用的區域,並將新帳戶新增為 Macie 成員帳戶。

  3. 在導覽窗格中,選擇帳戶

  4. 在 [帳戶] 頁面的 [新帳戶] 區段中,選擇 [編輯]。

  5. 在 [編輯新帳戶的設定] 對話方塊中,選取 [啟用 Macie]。

    若要同時為新成員帳戶啟用自動敏感資料探索功能,請選取 [啟用自動敏感資料探索]。如果您為帳戶啟用此功能,Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件,並分析物件以判斷它們是否包含敏感資料。如需詳細資訊,請參閱 執行自動化敏感資料探索

  6. 選擇 Save (儲存)。

在您要在 Macie 中配置組織的每個其他區域中,重複上述步驟。

若要隨後變更這些設定,請重複上述步驟,並清除每個設定的核取方塊。

API

若要以程式設計方式自動啟用和新增 Macie 成員帳戶,請使用 Amazon Macie API 的UpdateOrganizationConfiguration操作。當您提交請求時,請將autoEnable參數的值設定為true。(預設值為 false。) 此外,請務必指定要求適用的「地區」。若要在其他區域中自動啟用並新增帳戶,請針對每個額外區域提交要求。

如果您使用 AWS CLI 提交請求,請執行命update-organization-configuration令並指定要自動啟用和新增帳戶的auto-enable參數。例如:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

其中 us-east-1 是自動啟用和新增帳戶的區域,即美國東部 (維吉尼亞北部) 區域。

若要隨後變更此設定並停止自動啟用和新增帳戶,請再次執行相同的命令,並在每個適用的「區域」中使用auto-enable參數而非參數。no-auto-enable

您也可以為新成員帳戶自動啟用自動敏感資料探索功能。如果您為帳戶啟用此功能,Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件,並分析物件以判斷它們是否包含敏感資料。如需詳細資訊,請參閱 執行自動化敏感資料探索。若要為成員帳戶自動啟用此功能,請使用UpdateAutomatedDiscoveryConfiguration作業,或者,如果您正在使用 AWS CLI,請執行update-automated-discovery-configuration命令。

步驟 4:啟用並新增現有組織帳戶作為 Macie 成員帳戶

當您與 Macie 整合時 AWS Organizations,不會為組織中的所有現有帳戶自動啟用 Macie。此外,這些帳戶不會自動與委派的 Macie 管理員帳戶作為 Macie 成員帳戶關聯。因此,在 Macie 中整合和設定組織的最後一個步驟是將現有的組織帳戶新增為 Macie 成員帳戶。當您將現有帳戶添加為 Macie 成員帳戶時,Macie 會自動為該帳戶啟用,並且您(作為委託的 Macie 管理員)可以訪問該帳戶的某些 Macie 設置,數據和資源。

請注意,您無法新增目前與另一個 Macie 管理員帳戶關聯的帳戶。若要新增帳戶,請與帳戶擁有者合作,先取消帳戶與其目前管理員帳戶的關聯。此外,如果該帳戶目前已暫停 Macie,則無法新增現有帳戶。帳戶擁有者必須先重新啟用該帳戶的 Macie。最後,如果您想要將 AWS Organizations 管理帳戶新增為成員帳戶,該帳戶的使用者必須先為該帳戶啟用 Macie。

啟用並新增現有組織帳戶作為 Macie 成員帳戶

若要啟用並將現有的組織帳戶新增為 Macie 成員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有委派的組織 Macie 管理員可以執行此任務。

Console

若要使用控制台執行此工作,您必須被允許執行下列 AWS Organizations 動作:organizations:ListAccounts此動作可讓您擷取並顯示組織中帳號的相關資訊。如果您具有這些權限,請按照以下步驟啟用現有帳戶並將其添加為 Macie 成員帳戶。

若要啟用及新增現有的組織帳號

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要啟用的區域,並將現有帳戶新增為 Macie 成員帳戶。

  3. 在導覽窗格中,選擇帳戶

    戶」頁面隨即開啟,並顯示與您的 Macie 帳戶相關聯的帳戶表格。如果帳戶是中組織的一部分 AWS Organizations,則其「類型」為「通過」 AWS Organizations。如果帳戶已經是 Macie 成員帳戶,則其狀態為已啟用

  4. 在「戶」表格中,針對您要新增為 Macie 成員帳戶的每個帳戶選取核取方塊。

  5. 在「動作」功能表上,選擇「新增成員」。

  6. 確認您要將選取的帳戶新增為成員帳戶。

確認新增所選帳戶之後,帳戶的狀態會變更為 [正在啟用],然後變更為 [已啟用]。新增成員帳戶後,您也可以為帳戶啟用自動敏感資料探索:在 [帳戶] 表格中,選取每個戶的核取方塊以啟用該帳戶,然後選擇 [動] 功能表上的 [啟用自動敏感資料探索]。如果您為帳戶啟用此功能,Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件,並分析物件以判斷它們是否包含敏感資料。如需詳細資訊,請參閱 執行自動化敏感資料探索

在您要在 Macie 中配置組織的每個其他區域中,重複上述步驟。

API

若要以程式設計方式啟用並新增一或多個現有帳戶做為 Macie 成員帳戶,請使用 Amazon Macie API 的CreateMember操作。當您提交要求時,請使用支援的參數來指定要啟用和新增的每個 AWS 帳戶 帳戶 ID 和電子郵件地址。同時指定要套用要求的「區域」。若要在其他區域中啟用並新增現有帳戶,請針對每個額外區域提交請求。

若要擷取要啟用和新增的帳戶 ID 和電子郵件地址,您可以選擇性地使用 Amazon Macie API 的ListMembers操作。 AWS 帳戶 此操作提供有關與您的 Macie 帳戶相關聯的帳戶的詳細信息,包括不是 Macie 成員帳戶的帳戶。如果帳戶relationshipStatus屬性的值不是Enabled,則該帳戶不是 Macie 成員帳戶。

若要使用啟用和新增一或多個現有帳戶 AWS CLI,請執行建立成員命令。使用region參數可指定要在其中啟用和新增帳戶的「區域」。使用account參數來指定每個 AWS 帳戶 要新增的帳戶 ID 和電子郵件地址。例如:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

其中 us-east-1 是要在其中啟用並新增帳戶做為 Macie 成員帳戶的區域 (美國東部 (維吉尼亞北部) 區域),而account參數會指定帳戶的帳戶識別碼 (123456789012) 和電子郵件地址 (janedoe@example.com)。

如果您的要求成功,指定帳戶的狀態 (relationshipStatus) 會變更為您Enabled的帳戶庫存。

若要同時為一或多個帳戶啟用自動化敏感資料探索,請使用該BatchUpdateAutomatedDiscoveryAccounts作業,或者,如果您使用的是 AWS CLI,請執行 batch-update-automated-discovery- account 命令。如果您為帳戶啟用此功能,Macie 會持續從帳戶的 S3 儲存貯體中選取範例物件,並分析物件以判斷它們是否包含敏感資料。如需更多詳細資訊,請參閱 執行自動化敏感資料探索