在 Amazon Macie 中建立和管理以邀請為基礎的組織 - Amazon Macie
新增會員帳戶暫停會員帳戶的 Macie移除成員帳戶刪除與其他帳戶的關聯

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Macie 中建立和管理以邀請為基礎的組織

若要在 Amazon Macie 中建立以邀請為基礎的組織,請先決定要做為該組織的 Macie 管理員帳戶的帳戶。然後,您可以使用該帳戶來新增成員帳戶 — 您會傳送成員邀請給其他帳戶 AWS 帳戶,邀請這些帳戶以目前的 Macie 成員帳戶的身分加入組織。 AWS 區域若要在多個區域中建立組織,請從其他帳戶目前使用或計劃使用 Macie 的每個區域傳送成員資格邀請。

當帳戶接受邀請時,它會成為與適用區域中的 Macie 管理員帳戶相關聯的 Macie 成員帳戶。然後,Macie 管理員帳戶可以訪問該區域中成員帳戶的某些 Macie 設置,數據和資源。

身為受邀組織的 Macie 管理員,您可以檢閱 Amazon Simple Storage Service (Amazon S3) 庫存資料和成員帳戶的政策發現項目。您也可以啟用自動化敏感資料探索,並執行敏感資料探索任務,以偵測成員帳戶所擁有的 S3 儲存貯體中的敏感資料。如需可執行之工作的詳細清單,請參閱了解 Amazon Macie 管理員和會員帳戶之間的關係

根據預設,Macie 可讓您檢視整體組織的相關資料和資源。您也可以向下鑽研以複查組織中個別帳戶的資料與資源。例如,如果您使用摘要儀表板來評估組織的 Amazon S3 安全狀態,則可以按帳戶篩選資料。同樣地,如果您監控預估的使用成本,則可以存取個別成員帳戶的估計費用明細。

除了系統管理員和成員帳戶通用的工作之外,您還可以為組織集中執行各種管理工作。在執行這些工作之前,最好先檢閱在 Macie 中管理以邀請為基礎的組織的考量和建議

將 Amazon Macie 成員帳戶添加到以邀請為基礎的組織

身為以邀請為基礎之組織的 Macie 管理員,您可以執行兩個主要步驟,將成員帳戶新增至組織:

  1. 在 Macie 中將帳戶新增至您的帳戶清單。這會將帳戶與您的帳戶相關聯。

  2. 向帳戶發送會員邀請。

當帳戶接受邀請時,該帳戶就會成為您組織中的成員帳戶。

步驟 1:新增帳戶

若要將一個或多個帳戶新增至您的帳戶庫存,您可以使用 Amazon Macie 主控台或 Amazon Macie API。

Console

使用 Amazon Macie 主控台,您可以一次新增一個帳戶,或透過上傳逗號分隔值 (CSV) 檔案同時新增多個帳戶。請依照下列步驟使用主控台新增一或多個帳戶。

若要新增一個帳號

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要在其中新增帳戶的地區。

  3. 在導覽窗格中,選擇帳戶。[戶] 頁面隨即開啟,並顯示目前與您帳戶相關聯的帳戶表格。

  4. 選擇 Add accounts (新增帳戶)

  5. 在「輸入帳戶詳細資訊」區段中,選擇「新增帳戶」 然後執行下列動作:

    • 帳戶 ID 中,輸入 AWS 帳戶 要新增的 12 位數帳號 ID。

    • 在「電子郵件地址」中,輸入 AWS 帳戶 要新增的電子郵件地址。

  6. 選擇新增

  7. 請選擇頁面最下方的 Next (下一頁)。

Macie 將該帳戶添加到您的帳戶庫存。帳戶類型為 [依邀請],其狀態為 [已建立]。在您要新增帳戶的每個其他區域中,重複上述步驟。

若要新增多個帳戶

  1. 透過使用文字編輯器,建立 CSV 檔案,如下所示:

    1. 將下列標頭新增為檔案的第一行:Account ID,Email

    2. 對於每個帳戶,請建立一個新行,其中包含要新增的 12 位數帳號 ID AWS 帳戶 以及該帳戶的電子郵件地址。以逗號分隔項目,例如:111111111111,janedoe@example.com

      電子郵件地址必須與相關聯的電子郵件地址相符 AWS 帳戶。

    3. 確認檔案內容的格式如下列範例所示,其中包含三個帳戶的必要標頭和資訊:

      Account ID,Email
111111111111,janedoe@example.com
222222222222,jorgesouza@example.com
333333333333,lijuan@example.com

    4. 將文件保存在計算機上。

  2. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  3. 使用頁面右上角的選取 AWS 區域 器,選取您要在其中新增帳戶的地區。

  4. 在導覽窗格中,選擇帳戶。[戶] 頁面隨即開啟,並顯示目前與您帳戶相關聯的帳戶表格。

  5. 選擇 Add accounts (新增帳戶)

  6. 在 [輸入帳戶詳細資料] 區段中,選擇 [上傳清單 (CSV)]。

  7. 選擇 [瀏覽],然後選取您在步驟 1 中建立的 CSV 檔案。

  8. 選擇 Add accounts (新增帳戶)

  9. 請選擇頁面最下方的 Next (下一頁)。

Macie 將帳戶添加到您的帳戶庫存。他們的類型為「通過邀請」,其狀態為「已創建」。在您要新增帳戶的每個其他區域中,重複步驟 3 到 8。

API

若要以程式設計方式新增一或多個帳戶,請使用 Amazon Macie API 的CreateMember操作。當您提交要求時,請使用支援的參數,為每個 AWS 帳戶 要新增的帳戶 ID 和電子郵件地址指定 12 位數的帳戶 ID 和電子郵件地址。同時指定要套用要求的「區域」。若要在其他區域中新增帳戶,請在每個額外的區域中提交請求。

若要使用 AWS Command Line Interface (AWS CLI) 新增帳戶,請執行建立成員命令。使用region參數可指定要在其中新增帳戶的「區域」。使用account參數來指定每個 AWS 帳戶 要新增的帳戶 ID 和電子郵件地址。例如:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}

其中 us-east-1 是要在其中新增帳戶的區域 (美國東部 (維吉尼亞北部) 區域),而account參數會指定要新增之帳戶的帳戶識別碼 (111111111111) 和電子郵件地址 (janedoe@example.com)。

如果您的Created請求成功,Macie 會將每個帳戶新增至您的帳戶庫存,其狀態為,您會收到類似下列內容的輸出:

{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}

其中arn是為了您的帳戶和您新增的帳戶之間的關聯而建立的資源的 Amazon 資源名稱 (ARN)。在此範例中,123456789012是建立關聯之帳戶的帳戶 ID,也111111111111是新增之帳戶的帳戶 ID。

步驟 2:向帳戶發送會員邀請

將帳戶新增至帳戶詳細目錄後,您可以邀請該帳戶以 Macie 成員帳戶的身分加入您的組織。要做到這一點,發送會員邀請到該帳戶。當您傳送邀請時,如果戶已啟用 Macie,則收件者帳戶的 Amazon Macie 主控台會顯示帳戶徽章和通知。Macie 還為帳戶創建一個 AWS Health 事件。

根據您是使用 Amazon Macie 主控台還是 API 傳送邀請,Macie 也會將邀請傳送至您在新增帳戶時為收件者帳戶指定的電子郵件地址。電子郵件訊息表示您想要成為其帳戶的 Macie 管理員,其中包含您 AWS 帳戶 和收件者的 AWS 帳戶帳戶 ID。訊息也會說明如何存取邀請。您可以選擇性地將自訂文字新增至郵件。

要向一個或多個帳戶發送會員邀請,您可以使用 Amazon Macie 控制台或 Amazon Macie API。

Console

請依照下列步驟使用 Amazon Macie 主控台傳送會員邀請。

傳送會員邀請

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要傳送邀請的地區。

  3. 在導覽窗格中,選擇帳戶。[戶] 頁面隨即開啟,並顯示目前與您帳戶相關聯的帳戶表格。

  4. 在「戶」表格中,針對您要傳送邀請的每個帳戶選取核取方塊。

    提示

    若要更輕鬆地識別您新增且尚未傳送邀請的帳戶,您可以篩選表格。若要執行此操作,請將游標置於表格上方的篩選方塊中,然後選擇 [狀態]。然後選擇「狀態 = 已建立」。

  5. 在 [動作] 功能表上,選擇 [邀請]。

  6. (選擇性) 在「訊息」方塊中,輸入您要包含在包含邀請的電子郵件訊息中的任何自訂文字。文字最多可包含 80 個英數字元。

  7. 選擇 Invite (邀請)。

若要以其他方式傳送邀請 AWS 區域,請在其他每個區域中重複上述步驟。

傳送邀請後,收件者帳戶的狀態會變更為帳號清單中的 [正在進行中的電子郵件驗證]。如果 Macie 可以驗證帳戶的電子郵件地址,該帳戶的狀態隨後會變更為「已邀請」。如果 Macie 無法驗證地址,則帳戶的狀態變更為電子郵件驗證失敗。如果發生這種情況,請與帳戶擁有者合作以取得正確的電子郵件地址。然後刪除帳戶之間的關聯,再次新增帳戶,然後再次傳送邀請。

當收件者接受邀請時,收件者帳戶的狀態會在您的帳戶庫存中變更為 [已啟用]。如果收件人拒絕邀請,收件人的帳戶就會與您的帳戶中斷連結,並從您的帳戶清單中移除。

API

若要以程式設計方式傳送邀請,請使用 Amazon Macie API 的CreateInvitations操作。當您提交要求時,請使用支援的參數,為每個 AWS 帳戶 要傳送邀請的帳戶指定 12 位數的帳戶 ID。帳戶 ID 必須與您帳戶清單中帳戶的帳戶 ID 相符。否則會發生錯誤。還要指定要從中發送邀請的地區。若要從其他區域傳送邀請,請在每個額外的區域中提交要求。

在您的要求中,您也可以指定是否要以電子郵件訊息的形式傳送邀請,以及是否要在該郵件中包含自訂文字。如果您選擇傳送電子郵件訊息,Macie 會在您將帳戶新增至帳戶清單時,將邀請傳送至您為帳戶指定的電子郵件地址。若要以電子郵件訊息的形式傳送邀請,請省略disableEmailNotification參數或將參數值設定為false。(預設值為 false。) 若要將自訂文字新增至郵件,請使用message參數指定要加入的文字。文字最多可包含 80 個英數字元。

若要使用傳送邀請 AWS CLI,請執行建立邀請指令。使用region參數可指定要從中傳送邀請的「地區」。使用account-ids參數可指定每個 AWS 帳戶 要傳送邀請的帳戶 ID。例如:

C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]

其中 us-east-1 是要從美國東部 (維吉尼亞北部) 區域 (美國東部 (維吉尼亞北部) 區域傳送邀請的區域,而account-ids參數會指定要傳送邀請的三個帳戶的帳戶 ID。若要以電子郵件訊息的形式傳送邀請,也請加入no-disable-email-notification參數,並選擇性地加入message參數,以指定要新增至郵件的自訂文字。

傳送邀請後,每個收件者帳戶的狀態都會變更為EmailVerificationInProgress。如果 Macie 可以驗證帳戶的電子郵件地址,則該帳戶的狀態隨後會變更為Invited。如果 Macie 無法驗證地址,則帳戶的狀態會變更為EmailVerificationFailed。如果發生這種情況,請與帳戶擁有者合作以取得正確的地址。然後刪除帳戶之間的關聯,再次新增帳戶,然後再次傳送邀請。

當收件人接受邀請時,收件人帳戶的狀態會Enabled在您的帳戶庫存中變更為。如果收件人拒絕邀請,收件人的帳戶就會與您的帳戶中斷連結,並從您的帳戶清單中移除。

在基於邀請的組織中暫停 Amazon Macie 的成員帳戶

身為組織的 Macie 管理員,您可以在組織中個別成員帳戶 AWS 區域 的特定帳戶中暫停 Macie。但請注意,暫停會員帳戶後,您將無法重新啟用 Macie。只有該帳戶的使用者可以隨後重新啟用該帳戶的 Macie。

當您暫停 Macie 的會員帳戶時:

  • Macie 會失去對該區域中帳戶 Amazon S3 資料的中繼資料的存取權,並停止提供相關中繼資料。

  • Macie 停止執行該地區帳戶的所有活動。這包括監控 S3 儲存貯體的安全性和存取控制、執行自動化敏感資料探索,以及執行目前正在進行的敏感資料探索任務。

  • Macie 會取消區域中帳戶建立的所有敏感資料探索工作。工作取消後無法繼續或重新啟動。如果您建立工作來分析成員帳戶所擁有的資料,Macie 不會取消這些工作。相反地,工作會略過帳戶所擁有的資源。

暫停帳戶時,Macie 會保留適用區域中帳戶的 Macie 工作階段識別碼、設定和資源。例如,帳戶的發現項目會保持完整,最多 90 天不受影響。在適用地區使用 Macie 時,該帳戶不會收取任何費用,而 Macie 在該地區的帳戶被停權。

在邀請型組織中暫停成員帳戶的 Macie

若要暫停以邀請為基礎的組織中的成員帳戶 Macie,您可以使用 Amazon Macie 主控台或 Amazon Macie API。

Console

請按照以下步驟使用亞馬遜 Macie 控制台暫停會員帳戶的 Macie。

暫停會員帳戶的 Macie

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要暫停成員帳戶 Macie 的區域。

  3. 在導覽窗格中,選擇帳戶。[戶] 頁面隨即開啟,並顯示目前與您帳戶相關聯的帳戶表格。

  4. 在「戶」表中,選取您要暫停之帳戶的核取方塊。

  5. 在 [動作] 功能表上,選擇 [暫停 Macie]。

  6. 確認您要暫停所選帳戶的 Macie。

確認停權後,帳戶詳細目錄中的帳戶狀態會變更為「已暫停 (已暫停)」。

在您要暫停帳戶 Macie 的每個其他區域中,重複上述步驟。

API

要以編程方式暫停成員帳戶的 Macie,請使用 Amazon Macie API 的UpdateMemberSession操作。當您提交請求時,請使用id參數來指定您要暫停 Macie AWS 帳戶 的 12 位數帳戶 ID。對於status參數,請指定PAUSED為 Macie 帳戶的新狀態。同時指定要套用要求的「區域」。要在其他區域暫停 Macie,請在每個額外的區域中提交您的請求。

要檢索會員帳戶的帳戶 ID,您可以使用 Amazon Macie API 的ListMembers操作。如果您這麼做,請考慮在要求中加入onlyAssociated參數來篩選結果。如果您將此參數的值設定為true,Macie 會傳回一個members陣列,其中僅提供目前為您管理員帳戶之成員帳戶的帳戶的詳細資訊。

若要使用暫停成員帳戶的 Macie AWS CLI,請執行命update-member-session令。使用region參數可指定要在其中暫停 Macie 的「區域」,並使用id參數指定帳戶的帳戶 ID,以便暫停 Macie。針對 status 參數,請指定 PAUSED。例如:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

其中 us-east-1 是要暫停 Macie (美國東部 (維吉尼亞北部) 區域) 的區域,123456789012 是要暫停 Macie 之帳戶的帳戶識別碼,而且是該帳戶的新狀態 Macie。PAUSED

如果您的要求成功,Macie 會傳回空白回應,而指定帳戶的狀態會Paused在您的帳戶清單中變更為。

從以邀請為基礎的組織中移除 Amazon Macie 成員帳戶

身為 Macie 管理員,您可以從組織中移除成員帳戶。您可以通過取消與 Macie 管理員帳戶的帳戶關聯來完成此操作。

如果您移除成員帳戶,Macie 會繼續啟用該帳戶,且該帳戶會繼續顯示在您的帳戶清單中。但是,該帳戶將成為獨立的 Macie 帳戶。當您移除帳戶時,Macie 不會通知帳戶擁有者。因此,請考慮連絡帳戶擁有者,以確保他們開始管理其帳戶的設定和資源。

當您移除成員帳戶時,您將無法存取該帳戶的所有 Macie 設定、資源和資料。這包括帳戶擁有之 S3 儲存貯體的政策發現項目和中繼資料。此外,您無法再使用 Macie 探索帳戶擁有的 S3 儲存貯體中的敏感資料。如果您已建立敏感資料探索工作來執行此操作,則工作會略過帳戶擁有的值區。如果您為帳戶啟用了自動化敏感資料探索功能,您和帳戶在執行帳戶的自動化探索時,無法存取 Macie 產生並直接提供的統計資料、庫存資料和其他資訊。

移除成員帳戶後,您隨後可以透過傳送新的邀請至該帳戶,將其再次新增至您的組織。如果帳戶接受新邀請,且您在 30 天內為帳戶啟用自動化敏感資料探索功能,您也會重新取得對 Macie 先前產生並直接提供的資料和資訊的存取權,同時為該帳戶執行自動探索。

如果您移除了會員帳號,但不打算再次新增該帳戶,您可以將其從您的帳戶清單中完全移除。如要瞭解如何作業,請參閱刪除與其他帳戶的關聯

若要從以邀請為基礎的組織中移除成員帳戶

若要從組織中移除成員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API。

Console

請依照下列步驟使用 Amazon Macie 主控台移除會員帳戶。

移除成員帳戶

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要移除成員帳戶的地區。

  3. 在導覽窗格中,選擇帳戶。[戶] 頁面隨即開啟,並顯示目前與您帳戶相關聯的帳戶表格。

  4. 在「戶」表中,選取您要移除之帳戶的核取方塊。

  5. 在 [動作] 功能表上,選擇 [取消帳號關聯]。

  6. 確認您要移除選取的帳戶作為成員帳戶。

確認您的選擇後,帳戶詳細目錄中的帳戶狀態會變更為「已移除 (已取消關聯)」。

在您要移除成員帳戶的其他每個區域中,重複上述步驟。

API

若要以程式設計方式移除成員帳戶,請使用 Amazon Macie API 的DisassociateMember操作。當您提交要求時,請使用id參數來指定要移除之成員帳戶的 12 位數 AWS 帳戶 ID。同時指定要套用要求的「區域」。若要移除其他區域中的帳戶,請在每個額外的區域中提交您的要求。

若要擷取要移除之帳戶的帳戶識別碼,您可以使用 Amazon Macie API 的ListMembers操作。如果您這麼做,請考慮在要求中加入onlyAssociated參數來篩選結果。如果您將此參數的值設定為true,Macie 會傳回一個members陣列,其中僅提供目前為您帳戶成員帳戶之帳戶的帳戶的詳細資訊。

若要使用移除成員帳戶 AWS CLI,請執行取消關聯成員命令。使用region參數可指定要在其中移除帳戶的「區域」。使用id參數可指定要移除之帳戶的帳戶 ID。例如:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

其中 us-east-1 是要移除帳戶的區域 (美國東部 (維吉尼亞北部) 區域),而 123456789012 是要移除帳戶的帳戶識別碼。

如果您的要求成功,Macie 會傳回空白回應,而指定帳戶的狀態會Removed在您的帳戶清單中變更為。

刪除與其他帳戶的關聯

將帳戶新增至帳戶詳細目錄後,您可以刪除帳戶與其他帳戶之間的關聯。您可以為庫存中的任何帳戶執行此操作,除了:

  • 屬於您組織中的一部分的帳戶 AWS Organizations。這種類型的關聯是通過 AWS Organizations 不 Macie 來控制的。

  • 接受加入組織的 Macie 成員資格邀請的成員帳戶。在這種情況下,您必須先移除成員帳戶,才能刪除關聯。

當您刪除關聯時,Macie 會從您的帳戶庫存中移除該帳戶。如果您想要隨後還原關聯性,則必須再次新增該帳戶,就好像它是一個全新的帳戶一樣。

若要刪除與其他帳號的關聯

要刪除您的帳戶和其他帳戶之間的關聯,您可以使用 Amazon Macie 控制台或 Amazon Macie API。

Console

若要使用 Amazon Macie 主控台刪除與其他帳戶的關聯,請按照下列步驟操作。

刪除關聯

  1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的選取 AWS 區域 器,選取您要刪除關聯的「區域」。

  3. 在導覽窗格中,選擇帳戶。[戶] 頁面隨即開啟,並顯示目前與您帳戶相關聯的帳戶表格。

  4. 在「戶」表中,選取您要刪除其關聯之帳戶的核取方塊。

  5. 操作功能表上,選擇刪除

  6. 確認您要刪除選取的關聯。

在您要刪除關聯的每個其他「區域」中重複上述步驟。

API

若要以程式設計方式刪除與其他帳戶的關聯,請使用 Amazon Macie API 的DeleteMember操作。當您提交請求時,請使用id參數來指定要刪除與之關聯的 12 位數帳戶 ID。 AWS 帳戶 同時指定要套用要求的「區域」。若要刪除其他區域中的關聯,請在每個額外的區域中提交您的請求。

若要擷取帳戶的帳戶識別碼,您可以使用 Amazon Macie API 的ListMembers操作。如果這樣做,請在請求中包含onlyAssociated參數,並將參數的值設定為false。如果操作成功,Macie 會返回一個members陣列,其中提供與您的帳戶相關聯的所有帳戶的詳細信息,包括當前不是成員帳戶的帳戶。

若要使用刪除與其他帳戶的關聯 AWS CLI,請執行刪除成員命令。使用region參數可指定要刪除關聯的「區域」,並使用id參數指定帳戶的帳戶 ID。例如:

C:\> aws macie2 delete-member --region us-east-1 --id 123456789012

其中 us-east-1 是要刪除與其他帳戶 (美國東部 (維吉尼亞北部) 區域關聯的區域,而 1234567890 12 是帳戶的帳戶識別碼。

如果您的要求成功,Macie 會傳回空白回應,而您的帳戶與其他帳戶之間的關聯也會遭到刪除。先前關聯的帳戶會從您的帳戶清單中移除。