Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung mehrerer Macie-Konten mit AWS Organizations
<a name="accounts-mgmt-ao"></a>

Wenn Sie AWS Organizations früher mehrere Konten zentral verwalten AWS-Konten, können Sie Amazon Macie in Ihre AWS Organizations Organisation integrieren und dann Macie für Konten zentral verwalten. Mit dieser Konfiguration kann ein designierter Macie-Administrator Macie für bis zu 10.000 Konten aktivieren und verwalten. Der Administrator kann auch auf die Inventardaten von Amazon Simple Storage Service (Amazon S3) zugreifen und sensible Daten in S3-Buckets ermitteln, die den Konten gehören. Einzelheiten zu den Aufgaben, die der Administrator ausführen kann, finden Sie unter[Beziehungen zwischen Macie-Administrator und Mitgliedskonto](accounts-mgmt-relationships.md).

AWS Organizations ist ein globaler Kontoverwaltungsdienst, der es AWS Administratoren ermöglicht, mehrere Konten zu konsolidieren und zentral zu verwalten AWS-Konten. Er bietet Funktionen zur Kontoverwaltung und konsolidierten Fakturierung, die auf die Erfüllung von Haushalts-, Sicherheits- und Compliance-Anforderungen zugeschnitten sind. Es wird ohne zusätzliche Kosten angeboten und lässt sich in mehrere integrieren AWS-Services, darunter Macie AWS Security Hub CSPM, und Amazon GuardDuty. Weitere Informationen finden Sie im [AWS Organizations -Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Um Macie zu integrieren AWS Organizations, müssen Sie zunächst ein Konto als delegiertes Macie-Administratorkonto für die Organisation festlegen. Der Macie-Administrator aktiviert Macie dann für andere Konten in der Organisation, fügt diese Konten als Macie-Mitgliedskonten hinzu und konfiguriert die Macie-Einstellungen und Ressourcen für die Konten.

**Tipp**  
Wenn Sie mithilfe von Einladungen bereits ein Macie-Administratorkonto mit Mitgliedskonten verknüpft haben, können Sie dieses Konto in als delegiertes Macie-Administratorkonto für Ihre Organisation festlegen. AWS Organizations Wenn Sie dies tun, bleiben alle derzeit verknüpften Mitgliedskonten Mitglieder, und Sie können die Vorteile der Kontoverwaltung in vollem Umfang nutzen, indem Sie AWS Organizations Weitere Informationen finden Sie unter [Umstellung von einer Organisation, die auf Einladungen basiert](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations).

In den Themen dieses Abschnitts wird erklärt, wie Sie Macie for Accounts in einer AWS Organizations Organisation integrieren und wie Sie Macie for Accounts in einer Organisation verwalten und verwalten können.

**Topics**
+ [Überlegungen und Empfehlungen](accounts-mgmt-ao-notes.md)
+ [Integration und Konfiguration einer Organisation](accounts-mgmt-ao-integrate.md)
+ [Überprüfung der Konten einer Organisation](accounts-mgmt-ao-review.md)
+ [Verwaltung von Mitgliedskonten](accounts-mgmt-ao-administer.md)
+ [Das Administratorkonto ändern](accounts-mgmt-ao-admin-change.md)
+ [Deaktivierung der Integration mit AWS Organizations](accounts-mgmt-ao-disable.md)

# Überlegungen zur Verwendung von Macie mit AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

Bevor Sie Amazon Macie in Macie integrieren AWS Organizations und Ihre Organisation in Macie konfigurieren, sollten Sie die folgenden Anforderungen und Empfehlungen berücksichtigen. Stellen Sie außerdem sicher, dass Sie die [Beziehung zwischen Macie-Administrator- und](accounts-mgmt-relationships.md) Mitgliedskonten verstehen.

**Topics**
+ [Benennen eines Administratorkontos](#accounts-mgmt-ao-notes-admin-designate)
+ [Änderung oder Entfernung der Bezeichnung des Administratorkontos](#accounts-mgmt-ao-notes-admin-remove)
+ [Mitgliedskonten hinzufügen und entfernen](#accounts-mgmt-ao-notes-members-manage)
+ [Übergang von einer Organisation, die auf Einladungen basiert](#accounts-mgmt-ao-notes-transition-invitations)

## Benennen eines Macie-Administratorkontos
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

Beachten Sie bei der Entscheidung, welches Konto das delegierte Macie-Administratorkonto für Ihre Organisation sein soll, Folgendes:
+ Eine Organisation kann nur über ein delegiertes Macie-Administratorkonto verfügen.
+ Ein Konto kann nicht gleichzeitig Macie-Administrator und Mitgliedskonto sein.
+ Nur das AWS Organizations Verwaltungskonto für eine Organisation kann das delegierte Macie-Administratorkonto für die Organisation festlegen. Nur das Verwaltungskonto kann diese Bezeichnung später ändern oder entfernen.
+ Das AWS Organizations Verwaltungskonto für eine Organisation kann auch das delegierte Macie-Administratorkonto für die Organisation sein. Wir empfehlen jedoch nicht, diese Konfiguration auf der Grundlage bewährter AWS Sicherheitsverfahren und des Prinzips der geringsten Rechte zu verwenden. Benutzer, die zu Abrechnungszwecken Zugriff auf das Verwaltungskonto haben, unterscheiden sich wahrscheinlich von Benutzern, die aus Gründen der Informationssicherheit Zugriff auf Macie benötigen.

  Wenn Sie diese Konfiguration bevorzugen, müssen Sie Macie für das Verwaltungskonto der Organisation in mindestens einem aktivieren, AWS-Region bevor Sie das Konto als delegiertes Macie-Administratorkonto festlegen. Andernfalls kann das Konto nicht auf Macie-Einstellungen und Ressourcen für Mitgliedskonten zugreifen und diese verwalten.
+ Im AWS Organizations Gegensatz dazu ist Macie ein regionaler Dienst. Dies bedeutet, dass die Bezeichnung eines Macie-Administratorkontos eine regionale Bezeichnung ist. Dies bedeutet auch, dass die Verknüpfungen zwischen Macie-Administrator- und Mitgliedskonten regional sind. Wenn das Verwaltungskonto beispielsweise ein Macie-Administratorkonto in der Region USA Ost (Nord-Virginia) festlegt, kann der Macie-Administrator Macie nur für Mitgliedskonten in dieser Region verwalten.

  Um Macie-Konten in mehreren Regionen zentral zu verwalten AWS-Regionen, muss sich das Verwaltungskonto in jeder Region anmelden, in der die Organisation Macie derzeit verwendet oder verwenden wird, und dann das Macie-Administratorkonto für jede dieser Regionen festlegen. Der Macie-Administrator kann dann die Organisation in jeder dieser Regionen konfigurieren. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz*
+ Ein Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Wenn Ihre Organisation Macie in mehreren Regionen verwendet, muss das angegebene Macie-Administratorkonto in all diesen Regionen identisch sein. Das Verwaltungskonto Ihrer Organisation muss das Administratorkonto jedoch in jeder Region separat angeben.
+ Ein Konto kann das delegierte Macie-Administratorkonto für jeweils nur eine Organisation sein. Wenn Sie mehrere Organisationen in verwalten AWS Organizations, müssen Sie für jede Organisation ein anderes Macie-Administratorkonto einrichten. Dies ist auf eine AWS Organizations Anforderung zurückzuführen: Ein Konto kann jeweils nur Mitglied einer Organisation sein.

Wenn das Konto des Macie-Administrators gesperrt, isoliert oder geschlossen AWS-Konto wird, werden alle zugehörigen Macie-Mitgliedskonten automatisch als Macie-Mitgliedskonten entfernt, Macie bleibt jedoch weiterhin für die Konten aktiviert. Wenn die [automatische Erkennung sensibler Daten](discovery-asdd.md) für ein oder mehrere Mitgliedskonten aktiviert wurde, ist sie für die Konten deaktiviert. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung der Konten erstellt und direkt bereitgestellt hat. Um den Zugriff auf diese Daten wiederherzustellen, muss innerhalb von 30 Tagen Folgendes geschehen:

1. Die des Macie-Administrators AWS-Konto ist wiederhergestellt.

1. Das AWS Organizations Verwaltungskonto weist das Konto wieder als Macie-Administratorkonto aus.

1. Der Macie-Administrator konfiguriert die Organisation und aktiviert wieder die automatische Erkennung der entsprechenden Konten.

Nach 30 Tagen löscht Macie Daten, die es zuvor erstellt und direkt bereitgestellt hat, dauerhaft und führt gleichzeitig eine automatische Erkennung der entsprechenden Konten durch.

## Änderung oder Entfernung der Bezeichnung eines Macie-Administratorkontos
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

Nur das AWS Organizations Verwaltungskonto für eine Organisation kann die Bezeichnung eines delegierten Macie-Administratorkontos für die Organisation ändern oder entfernen.

Wenn das Verwaltungskonto die Bezeichnung ändert oder entfernt:
+ Alle zugehörigen Mitgliedskonten werden als Macie-Mitgliedskonten entfernt, Macie ist jedoch weiterhin für die Konten aktiviert. Die Konten werden zu eigenständigen Macie-Konten. Um die Nutzung von Macie zu pausieren oder zu beenden, muss ein Nutzer eines Mitgliedskontos Macie für das Konto sperren (pausieren) oder deaktivieren (beenden).
+ Die automatische Erkennung sensibler Daten ist für jedes Konto, für das sie aktiviert wurde, deaktiviert. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung für jedes Konto erstellt und direkt bereitgestellt hat. Um den Zugriff auf diese Daten wiederherzustellen, muss das Verwaltungskonto innerhalb von 30 Tagen erneut dasselbe Macie-Administratorkonto angeben. Darüber hinaus muss der Macie-Administrator die Organisation erneut konfigurieren und die automatische Erkennung für jedes Konto innerhalb von 30 Tagen erneut aktivieren. Nach 30 Tagen laufen die Daten ab und Macie löscht sie dauerhaft.

## Hinzufügen und Entfernen von Macie-Mitgliedskonten
<a name="accounts-mgmt-ao-notes-members-manage"></a>

Beachten Sie beim Hinzufügen, Entfernen und anderweitigen Verwalten von Mitgliedskonten für Ihre Organisation Folgendes:
+ Ein Macie-Administratorkonto kann jeweils nicht mehr als 10.000 Macie-Mitgliedskonten zugeordnet werden. AWS-Region Wenn Ihre Organisation dieses Kontingent überschreitet, kann der Macie-Administrator erst dann Mitgliedskonten hinzufügen, wenn er die erforderliche Anzahl vorhandener Mitgliedskonten in der Region entfernt hat. Wenn eine Organisation dieses Kontingent erreicht, benachrichtigen wir den Macie-Administrator, indem wir ein AWS Health Ereignis für sein Konto erstellen. Wir senden auch E-Mails an die Adresse, die mit ihrem Konto verknüpft ist.

  Wenn Sie der Macie-Administrator einer Organisation sind, können Sie mithilfe der Kontoseite in der Amazon Macie-Konsole oder mithilfe der Amazon Macie Macie-API feststellen, wie viele **Mitgliedskonten** derzeit mit Ihrem Konto verknüpft sind. [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) Weitere Informationen finden Sie unter [Macie-Konten für eine Organisation überprüfen](accounts-mgmt-ao-review.md).
+ Ein Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Das bedeutet, dass ein Konto keine Macie-Einladung von einem anderen Konto annehmen kann, wenn es bereits mit dem Macie-Administratorkonto für eine Organisation in verknüpft ist. AWS Organizations

  Ebenso AWS Organizations kann der Macie-Administrator einer Organisation das Konto nicht als Macie-Mitgliedskonto hinzufügen, wenn ein Konto bereits eine Einladung angenommen hat. Das Konto muss zuerst von seinem aktuellen Administratorkonto getrennt werden, das auf Einladung basiert.
+ Um das AWS Organizations Verwaltungskonto als Macie-Mitgliedskonto hinzuzufügen, muss ein Benutzer des Verwaltungskontos zuerst Macie für das Konto aktivieren. Der Macie-Administrator darf Macie nicht für das Verwaltungskonto aktivieren.
+ Wenn der Macie-Administrator ein Macie-Mitgliedskonto entfernt:
  + Macie ist weiterhin für das Konto aktiviert. Das Konto wird zu einem eigenständigen Macie-Konto. Um die Nutzung von Macie zu pausieren oder zu beenden, muss ein Nutzer des Accounts Macie für das Konto sperren (pausieren) oder deaktivieren (beenden).
  + Die automatische Erkennung sensibler Daten ist für das Konto deaktiviert, sofern sie aktiviert wurde. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung des Kontos erstellt und direkt bereitgestellt hat.
+ Ein Mitgliedskonto kann nicht von seinem Macie-Administratorkonto getrennt werden. Nur der Macie-Administrator kann ein Konto als Macie-Mitgliedskonto entfernen.

## Umstellung von einer Organisation, die auf Einladungen basiert
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

Wenn Sie mithilfe von Macie-Mitgliedschaftseinladungen bereits ein Macie-Administratorkonto mit Mitgliedskonten verknüpft haben, empfehlen wir Ihnen, dieses Konto als delegiertes Macie-Administratorkonto für Ihre Organisation in festzulegen. AWS Organizations Dies vereinfacht den Übergang von einer Organisation, die auf Einladungen basiert.

Wenn Sie dies tun, bleiben alle derzeit verknüpften Mitgliedskonten weiterhin Mitglieder. Wenn ein Mitgliedskonto Teil Ihrer Organisation ist AWS Organizations, ändert sich die Zuordnung des Kontos automatisch **von Auf Einladung** zu **Via AWS Organizations** in Macie. Wenn ein Mitgliedskonto nicht Teil Ihrer Organisation ist AWS Organizations, gilt die Zuordnung des Kontos weiterhin als Auf **Einladung**. In beiden Fällen werden die Konten weiterhin dem delegierten Macie-Administratorkonto als Mitgliedskonten zugeordnet. Für die Erkennung sensibler Daten bedeutet dies auch, dass die Konten weiterhin auf statistische und andere Daten zugreifen können, die Macie erstellt und direkt bereitgestellt hat, während gleichzeitig die automatische Erkennung sensibler Daten für die Konten durchgeführt wird. Wenn der Macie-Administrator außerdem Aufträge zur Erkennung sensibler Daten konfiguriert hat, um Daten für die Konten zu analysieren, werden nachfolgende Auftragsausführungen weiterhin Ressourcen umfassen, die den Konten gehören.

Wir empfehlen diesen Ansatz, da ein Konto nicht mit mehr als einem Macie-Administratorkonto gleichzeitig verknüpft werden kann. Wenn Sie in ein anderes Konto als Macie-Administratorkonto für Ihre Organisation festlegen AWS Organizations, kann der angegebene Administrator Konten, die bereits mit einem anderen Macie-Administratorkonto verknüpft sind, nicht per Einladung verwalten. Jedes Mitgliedskonto muss zunächst von seinem aktuellen Administratorkonto getrennt werden, das auf Einladung basiert. Der Macie-Administrator für Ihre Organisation in AWS Organizations kann das Konto dann als Macie-Mitgliedskonto hinzufügen und mit der Verwaltung des Kontos beginnen.

Nachdem Sie Macie in Macie integriert AWS Organizations und Ihre Organisation dort konfiguriert haben, können Sie optional ein anderes Macie-Administratorkonto für die Organisation festlegen. Sie können auch weiterhin Einladungen verwenden, um Mitgliedskonten zuzuordnen und zu verwalten, die nicht Teil Ihrer Organisation sind. AWS Organizations

# Integration und Konfiguration einer Organisation in Macie
<a name="accounts-mgmt-ao-integrate"></a>

Um mit der Nutzung von Amazon Macie zu beginnen AWS Organizations, bestimmt das AWS Organizations Verwaltungskonto für die Organisation ein Konto als delegiertes Macie-Administratorkonto für die Organisation. Dadurch wird Macie als vertrauenswürdiger Service in aktiviert. AWS Organizations Es aktiviert Macie auch im aktuellen Konto AWS-Region für das angegebene Administratorkonto, und es ermöglicht dem designierten Administratorkonto, Macie für andere Konten in der Organisation in dieser Region zu aktivieren und zu verwalten. Informationen dazu, wie diese Berechtigungen gewährt werden, finden Sie AWS-Services im *AWS Organizations Benutzerhandbuch* [unter AWS Organizations Zusammen mit anderen Benutzern verwenden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Der delegierte Macie-Administrator konfiguriert dann die Organisation in Macie, hauptsächlich indem er die Konten der Organisation als Macie-Mitgliedskonten in der Region hinzufügt. Der Administrator kann dann auf bestimmte Macie-Einstellungen, Daten und Ressourcen für diese Konten in dieser Region zugreifen. Sie können auch die automatische Erkennung sensibler Daten durchführen und Aufgaben zur Erkennung sensibler Daten ausführen, um sensible Daten in Amazon Simple Storage Service (Amazon S3) -Buckets zu erkennen, die den Konten gehören.

In diesem Thema wird erklärt, wie Sie einen delegierten Macie-Administrator für eine Organisation benennen und die Konten der Organisation als Macie-Mitgliedskonten hinzufügen. Bevor Sie diese Aufgaben ausführen, sollten Sie sicherstellen, dass Sie die [Beziehung zwischen Macie-Administrator](accounts-mgmt-relationships.md) - und Mitgliedskonten verstehen. Es ist auch eine gute Idee, die [Überlegungen und Empfehlungen](accounts-mgmt-ao-notes.md) zur Verwendung von Macie mit zu lesen. AWS Organizations

**Topics**
+ [Schritt 1: Überprüfen Sie Ihre Berechtigungen](#accounts-mgmt-ao-admin-designate-permissions)
+ [Schritt 2: Bestimmen Sie das delegierte Macie-Administratorkonto](#accounts-mgmt-ao-admin-designate)
+ [Schritt 3: Automatisches Aktivieren und Hinzufügen neuer Organisationskonten](#accounts-mgmt-ao-members-autoenable)
+ [Schritt 4: Aktivieren und fügen Sie bestehende Organisationskonten hinzu](#accounts-mgmt-ao-members-add-existing)

Um die Organisation in mehreren Regionen zu integrieren und zu konfigurieren, wiederholen das AWS Organizations Verwaltungskonto und der delegierte Macie-Administrator diese Schritte in jeder weiteren Region.

## Schritt 1: Überprüfen Sie Ihre Berechtigungen
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

Bevor Sie das delegierte Macie-Administratorkonto für Ihre Organisation festlegen, stellen Sie sicher, dass Sie (als Benutzer des AWS Organizations Verwaltungskontos) die folgende Macie-Aktion ausführen dürfen:. `macie2:EnableOrganizationAdminAccount` Mit dieser Aktion können Sie mithilfe von Macie das delegierte Macie-Administratorkonto für Ihre Organisation festlegen.

Stellen Sie außerdem sicher, dass Sie die folgenden Aktionen ausführen dürfen: AWS Organizations 
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

Mit diesen Aktionen können Sie: Informationen über Ihre Organisation abrufen, Macie in Ihr Unternehmen integrieren AWS Organizations, Informationen darüber abrufen, in welche AWS-Services Sie sich integriert haben AWS Organizations, und ein delegiertes Macie-Administratorkonto für Ihre Organisation festlegen.

Um diese Berechtigungen zu gewähren, fügen Sie die folgende Erklärung in eine AWS Identity and Access Management (IAM-) Richtlinie für Ihr Konto ein:

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

Wenn Sie Ihr AWS Organizations Verwaltungskonto als delegiertes Macie-Administratorkonto für die Organisation festlegen möchten, benötigt Ihr Konto außerdem die Erlaubnis, die folgende IAM-Aktion auszuführen:. `CreateServiceLinkedRole` Mit dieser Aktion können Sie Macie für das Verwaltungskonto aktivieren. Aufgrund bewährter AWS Sicherheitsverfahren und des Prinzips der geringsten Rechte empfehlen wir Ihnen jedoch, dies nicht zu tun.

Wenn Sie sich entscheiden, diese Berechtigung zu erteilen, fügen Sie der IAM-Richtlinie für Ihr AWS Organizations Verwaltungskonto die folgende Erklärung hinzu:

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

Ersetzen Sie den Kontoauszug *111122223333* durch die Konto-ID für das Verwaltungskonto.

Wenn Sie Macie in einem Opt-In verwalten möchten AWS-Region (Region, die standardmäßig deaktiviert ist), aktualisieren Sie auch den Wert für den Macie-Service Principal im `Resource` Element und in der Bedingung. `iam:AWSServiceName` Der Wert muss den Regionalcode für die Region angeben. Gehen Sie beispielsweise wie folgt vor, um Macie in der Region Naher Osten (Bahrain) mit dem Regionalcode *me-south-1* zu verwalten:
+ Ersetzen Sie im Element `Resource`

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  mit

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  Where *111122223333* gibt die Konto-ID für das Verwaltungskonto und den Regionalcode für die Region *me-south-1* an.
+ Ersetzen Sie in der `iam:AWSServiceName` Bedingung durch`macie.me-south-1.amazonaws.com`, `macie.amazonaws.com` wobei der *me-south-1* Regionalcode für die Region angegeben ist.

Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, sowie den jeweiligen Regionalcode finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz* *Informationen darüber, ob es sich bei einer Region um eine Opt-in-Region handelt, finden Sie im Benutzerhandbuch unter [Aktivieren oder Deaktivieren AWS-Regionen in Ihrem Konto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).AWS -Kontenverwaltung *

## Schritt 2: Bestimmen Sie das delegierte Macie-Administratorkonto für die Organisation
<a name="accounts-mgmt-ao-admin-designate"></a>

Nachdem Sie Ihre Berechtigungen überprüft haben, können Sie (als Benutzer des AWS Organizations Verwaltungskontos) das delegierte Macie-Administratorkonto für Ihre Organisation festlegen.

**Um das delegierte Macie-Administratorkonto für eine Organisation festzulegen**  
Um das delegierte Macie-Administratorkonto für Ihre Organisation festzulegen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Nur ein Benutzer des AWS Organizations Verwaltungskontos kann diese Aufgabe ausführen.

------
#### [ Console ]

Gehen Sie wie folgt vor, um das delegierte Macie-Administratorkonto mithilfe der Amazon Macie Macie-Konsole festzulegen.

**Um das delegierte Macie-Administratorkonto zu bestimmen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem AWS Organizations Verwaltungskonto bei an.

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, für die Sie das delegierte Macie-Administratorkonto für Ihre Organisation einrichten möchten.

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Führen Sie je nachdem, ob Macie für Ihr Verwaltungskonto in der aktuellen Region aktiviert ist, einen der folgenden Schritte aus:
   + Wenn Macie nicht aktiviert ist, wählen Sie auf der Willkommensseite die Option **Erste Schritte** aus.
   + Wenn Macie aktiviert ist, wählen Sie im Navigationsbereich **Einstellungen** aus.

1. Geben Sie unter **Delegierter Administrator** die 12-stellige Konto-ID für das Konto ein AWS-Konto , das Sie als Macie-Administratorkonto festlegen möchten.

1. Wählen Sie **Delegieren**.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie Ihre Organisation in Macie integrieren möchten. Sie müssen in jeder dieser Regionen dasselbe Macie-Administratorkonto angeben.

------
#### [ API ]

Verwenden Sie den [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)Betrieb der Amazon Macie-API, um das delegierte Macie-Administratorkonto programmgesteuert festzulegen. Um das Konto in mehreren Regionen zuzuweisen, reichen Sie die Bezeichnung für jede Region ein, in der Sie Ihre Organisation mit Macie integrieren möchten. Sie müssen in jeder dieser Regionen dasselbe Macie-Administratorkonto angeben.

Wenn Sie die Bezeichnung einreichen, verwenden Sie den erforderlichen `adminAccountId` Parameter, um die 12-stellige Konto-ID anzugeben, die als Macie-Administratorkonto für die Organisation bestimmt werden AWS-Konto soll. Stellen Sie außerdem sicher, dass Sie die Region angeben, für die die Benennung gilt.

Führen Sie den Befehl aus, um das Macie-Administratorkonto mithilfe von [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) festzulegen. [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) Geben Sie für den `admin-account-id` Parameter die 12-stellige Konto-ID an, die AWS-Konto Sie angeben möchten. Verwenden Sie den `region` Parameter, um die Region anzugeben, für die die Bezeichnung gilt. Beispiel:

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

Dabei *us-east-1* handelt es sich um die Region, für die die Bezeichnung gilt (Region USA Ost (Nord-Virginia)), und dabei *111122223333* handelt es sich um die Konto-ID für das Konto, das angegeben werden soll.

------

Nachdem Sie das Macie-Administratorkonto für Ihre Organisation festgelegt haben, kann der Macie-Administrator mit der Konfiguration der Organisation in Macie beginnen.

## Schritt 3: Automatisches Aktivieren und Hinzufügen neuer Organisationskonten als Macie-Mitgliedskonten
<a name="accounts-mgmt-ao-members-autoenable"></a>

Standardmäßig ist Macie nicht automatisch für neue Konten aktiviert, wenn die Konten zu Ihrer Organisation in AWS Organizations hinzugefügt werden. Darüber hinaus werden die Konten nicht automatisch als Macie-Mitgliedskonten hinzugefügt. Die Konten werden im Kontoinventar des Macie-Administrators angezeigt. Macie ist jedoch nicht unbedingt für die Konten aktiviert, und der Macie-Administrator kann nicht unbedingt auf die Macie-Einstellungen, Daten und Ressourcen für die Konten zugreifen.

Wenn Sie der delegierte Macie-Administrator für die Organisation sind, können Sie diese Konfigurationseinstellung ändern. Sie können die automatische Aktivierung für Ihre Organisation aktivieren. Wenn Sie dies tun, wird Macie automatisch für neue Konten aktiviert, wenn die Konten Ihrer Organisation in hinzugefügt werden. AWS Organizations Darüber hinaus werden die Konten automatisch als Mitgliedskonten mit Ihrem Macie-Administratorkonto verknüpft. Das Aktivieren dieser Einstellung hat keine Auswirkungen auf bestehende Konten in Ihrer Organisation. Um Macie für bestehende Konten zu aktivieren und zu verwalten, müssen Sie die Konten manuell als Macie-Mitgliedskonten hinzufügen. Im [nächsten Schritt](#accounts-mgmt-ao-members-add-existing) wird erklärt, wie das geht.

**Anmerkung**  
Beachten Sie die folgende Ausnahme, wenn Sie die automatische Aktivierung aktivieren. Wenn ein neues Konto bereits mit einem anderen Macie-Administratorkonto verknüpft ist, fügt Macie das Konto nicht automatisch als Mitgliedskonto in Ihrer Organisation hinzu. Das Konto muss von seinem aktuellen Macie-Administratorkonto getrennt werden, bevor es Teil Ihrer Organisation in Macie werden kann. Sie können das Konto dann manuell hinzufügen. Um Konten zu identifizieren, bei denen dies der Fall ist, können Sie [den Kontobestand für Ihre Organisation überprüfen](accounts-mgmt-ao-review.md).

**Um automatisch neue Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen**  
Um automatisch neue Konten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Nur der delegierte Macie-Administrator für die Organisation kann diese Aufgabe ausführen.

------
#### [ Console ]

Um diese Aufgabe mithilfe der Konsole ausführen zu können, müssen Sie berechtigt sein, die folgende AWS Organizations Aktion auszuführen:. `organizations:ListAccounts` Mit dieser Aktion können Sie Informationen zu den Konten in Ihrer Organisation abrufen und anzeigen. Wenn Sie über diese Berechtigungen verfügen, gehen Sie wie folgt vor, um automatisch neue Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen.

**Um automatisch neue Organisationskonten zu aktivieren und hinzuzufügen**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie automatisch neue Konten als Macie-Mitgliedskonten aktivieren und hinzufügen möchten.

1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.

1. **Wählen Sie auf der Seite **Konten** im Abschnitt **Neue Konten die Option Bearbeiten** aus.**

1. Wählen **Sie im Dialogfeld „Einstellungen für neue Konten bearbeiten**“ die Option „**Macie aktivieren**“ aus.

   Um die automatische Erkennung vertraulicher Daten auch für neue Mitgliedskonten zu aktivieren, wählen Sie **Automatische Erkennung vertraulicher Daten aktivieren** aus. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter [Durchführung einer automatisierten Erkennung sensibler Daten](discovery-asdd.md).

1. Wählen Sie **Save (Speichern)** aus.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie Ihre Organisation in Macie konfigurieren möchten.

Um diese Einstellungen anschließend zu ändern, wiederholen Sie die vorherigen Schritte und deaktivieren Sie das Kontrollkästchen für jede Einstellung.

------
#### [ API ]

Verwenden Sie die Amazon Macie-API, um automatisch programmgesteuert neue Macie-Mitgliedskonten zu aktivieren und hinzuzufügen. [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html) Wenn Sie Ihre Anfrage einreichen, setzen Sie den Wert für den Parameter auf. `autoEnable` `true` (Der Standardwert ist `false`.) Stellen Sie außerdem sicher, dass Sie die Region angeben, für die sich Ihre Anfrage bezieht. Um automatisch neue Konten in weiteren Regionen zu aktivieren und hinzuzufügen, reichen Sie die Anfrage für jede weitere Region ein.

Wenn Sie AWS CLI zum Senden der Anfrage verwenden, führen Sie den [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)Befehl aus und geben Sie den `auto-enable` Parameter an, um neue Konten automatisch zu aktivieren und hinzuzufügen. Beispiel:

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

Wo *us-east-1* ist die Region, in der automatisch neue Konten aktiviert und hinzugefügt werden sollen, die Region USA Ost (Nord-Virginia).

Um diese Einstellung später zu ändern und das automatische Aktivieren und Hinzufügen neuer Konten zu beenden, führen Sie denselben Befehl erneut aus und verwenden Sie den `no-auto-enable` Parameter anstelle des `auto-enable` Parameters in jeder zutreffenden Region.

Sie können die automatische Erkennung sensibler Daten auch für neue Mitgliedskonten aktivieren. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter [Durchführung einer automatisierten Erkennung sensibler Daten](discovery-asdd.md). Um diese Funktion automatisch für Mitgliedskonten zu aktivieren, verwenden Sie den [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den Befehl aus. [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)

------

## Schritt 4: Aktivieren und fügen Sie vorhandene Organisationskonten als Macie-Mitgliedskonten hinzu
<a name="accounts-mgmt-ao-members-add-existing"></a>

Wenn Sie Macie mit integrieren AWS Organizations, wird Macie nicht automatisch für alle vorhandenen Konten in Ihrer Organisation aktiviert. Darüber hinaus werden die Konten nicht automatisch als Macie-Mitgliedskonten mit dem delegierten Macie-Administratorkonto verknüpft. Daher besteht der letzte Schritt bei der Integration und Konfiguration Ihrer Organisation in Macie darin, bestehende Organisationskonten als Macie-Mitgliedskonten hinzuzufügen. Wenn Sie ein vorhandenes Konto als Macie-Mitgliedskonto hinzufügen, wird Macie automatisch für das Konto aktiviert und Sie (als delegierter Macie-Administrator) erhalten Zugriff auf bestimmte Macie-Einstellungen, Daten und Ressourcen für das Konto.

Beachten Sie, dass Sie kein Konto hinzufügen können, das derzeit mit einem anderen Macie-Administratorkonto verknüpft ist. Um das Konto hinzuzufügen, arbeiten Sie mit dem Kontoinhaber zusammen, um das Konto zunächst von seinem aktuellen Administratorkonto zu trennen. Außerdem können Sie kein vorhandenes Konto hinzufügen, wenn Macie derzeit für das Konto gesperrt ist. Der Kontoinhaber muss Macie zunächst für das Konto erneut aktivieren. Wenn Sie das AWS Organizations Verwaltungskonto als Mitgliedskonto hinzufügen möchten, muss ein Benutzer dieses Kontos schließlich zuerst Macie für das Konto aktivieren.

**Um bestehende Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen**  
Um bestehende Organisationskonten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Nur der delegierte Macie-Administrator für die Organisation kann diese Aufgabe ausführen.

------
#### [ Console ]

Um diese Aufgabe mithilfe der Konsole ausführen zu können, müssen Sie berechtigt sein, die folgende AWS Organizations Aktion auszuführen:. `organizations:ListAccounts` Mit dieser Aktion können Sie Informationen zu den Konten in Ihrer Organisation abrufen und anzeigen. Wenn Sie über diese Berechtigungen verfügen, gehen Sie wie folgt vor, um bestehende Konten als Macie-Mitgliedskonten zu aktivieren und hinzuzufügen.

**Um bestehende Organisationskonten zu aktivieren und hinzuzufügen**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie bestehende Konten aktivieren und als Macie-Mitgliedskonten hinzufügen möchten.

1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus. Die Seite **Konten** wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Macie-Konto verknüpft sind.

   Wenn ein Konto Teil Ihrer Organisation in ist AWS Organizations, lautet sein **Typ** **Via AWS Organizations**. Wenn ein Konto bereits ein Macie-Mitgliedskonto ist, lautet sein **Status** **Aktiviert** oder **Pausiert (**gesperrt).

1. Aktivieren Sie in der Tabelle **Bestehende Konten** das Kontrollkästchen für jedes Konto, das Sie als Macie-Mitgliedskonto hinzufügen möchten.

1. Wählen Sie im Menü **Aktionen** die Option **Mitglied hinzufügen** aus.

1. Bestätigen Sie, dass Sie die ausgewählten Konten als Mitgliedskonten hinzufügen möchten.

Nachdem Sie das Hinzufügen der ausgewählten Konten bestätigt haben, ändert sich der Status der Konten in **Aktiviert in Bearbeitung** und dann in **Aktiviert**. Nachdem Sie ein Mitgliedskonto hinzugefügt haben, können Sie auch die automatische Erkennung sensibler Daten für das Konto aktivieren: Aktivieren Sie in der Tabelle **Bestehende Konten** das Kontrollkästchen für jedes Konto, für das es aktiviert werden soll, und wählen Sie dann im Menü **Aktionen** die Option **Automatische Erkennung vertraulicher Daten aktivieren** aus. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter [Durchführung einer automatisierten Erkennung sensibler Daten](discovery-asdd.md).

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in der Sie Ihre Organisation in Macie konfigurieren möchten.

------
#### [ API ]

Verwenden Sie die Amazon Macie Macie-API, um ein oder mehrere bestehende Konten programmgesteuert als Macie-Mitgliedskonten [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)zu aktivieren und hinzuzufügen. Wenn Sie Ihre Anfrage einreichen, verwenden Sie die unterstützten Parameter, um die 12-stellige Konto-ID und E-Mail-Adresse für jedes AWS-Konto zu aktivierende und hinzuzufügende Konto anzugeben. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um bestehende Konten in weiteren Regionen zu aktivieren und hinzuzufügen, reichen Sie die Anfrage für jede weitere Region ein.

Um die Konto-ID und E-Mail-Adresse eines abzurufen und AWS-Konto zu aktivieren und hinzuzufügen, können Sie optional den [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)Betrieb der Amazon Macie Macie-API verwenden. Dieser Vorgang liefert Details zu den Konten, die mit Ihrem Macie-Konto verknüpft sind, einschließlich Konten, die keine Macie-Mitgliedskonten sind. Wenn der Wert für die `relationshipStatus` Eigenschaft eines Kontos nicht `Enabled` oder ist`Paused`, handelt es sich bei dem Konto nicht um ein Macie-Mitgliedskonto.

Um ein oder mehrere bestehende Konten mit dem zu aktivieren und hinzuzufügen AWS CLI, führen Sie den Befehl [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) aus. Verwenden Sie den `region` Parameter, um die Region anzugeben, in der die Konten aktiviert und hinzugefügt werden sollen. Verwenden Sie die `account` Parameter, um die Konto-ID und die E-Mail-Adresse für jedes AWS-Konto hinzuzufügende Konto anzugeben. Beispiel:

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

Wo *us-east-1* ist die Region, in der das Konto aktiviert und als Macie-Mitgliedskonto hinzugefügt werden soll (Region USA Ost (Nord-Virginia)), und die `account` Parameter geben die Konto-ID (*123456789012*) und die E-Mail-Adresse (*janedoe@example.com*) für das Konto an.

Wenn Ihre Anfrage erfolgreich ist, ändert sich der Status (`relationshipStatus`) des angegebenen Kontos `Enabled` in Ihrem Kontobestand.

Um auch die automatische Erkennung sensibler Daten für eines oder mehrere der Konten zu aktivieren, verwenden Sie den [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den Befehl [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) aus. Wenn Sie diese Funktion für ein Konto aktivieren, wählt Macie kontinuierlich Beispielobjekte aus den S3-Buckets des Kontos aus und analysiert die Objekte, um festzustellen, ob sie vertrauliche Daten enthalten. Weitere Informationen finden Sie unter [Durchführung einer automatisierten Erkennung sensibler Daten](discovery-asdd.md).

------

# Macie-Konten für eine Organisation überprüfen
<a name="accounts-mgmt-ao-review"></a>

Nachdem eine AWS Organizations Organisation in Amazon Macie [integriert und konfiguriert wurde](accounts-mgmt-ao-integrate.md), kann der delegierte Macie-Administrator auf ein Inventar der Konten der Organisation in Macie zugreifen. Als Macie-Administrator für eine Organisation können Sie dieses Inventar verwenden, um Statistiken und Details für die Macie-Konten Ihrer Organisation in einem zu überprüfen. AWS-Region Sie können es auch verwenden, um [bestimmte Verwaltungsaufgaben für die Konten auszuführen](accounts-mgmt-ao-administer.md).

**Um die Macie-Konten für eine Organisation zu überprüfen**  
Um die Konten für Ihre Organisation zu überprüfen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Wenn Sie lieber die Konsole verwenden möchten, müssen Sie die folgende AWS Organizations Aktion ausführen dürfen:. `organizations:ListAccounts` Mit dieser Aktion können Sie Informationen zu Konten, die Teil Ihrer Organisation sind, in abrufen und anzeigen AWS Organizations.

------
#### [ Console ]

Gehen Sie wie folgt vor, um die Macie-Konten Ihrer Organisation mithilfe der Amazon Macie Macie-Konsole zu überprüfen.

**Um die Konten Ihrer Organisation zu überprüfen**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie die Konten Ihrer Organisation überprüfen möchten.

1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.

Die Seite **Konten** wird geöffnet. Dort werden aggregierte Statistiken und eine Tabelle der Konten angezeigt, die derzeit mit Ihrem Macie-Konto verknüpft sind. AWS-Region

Oben auf der **Kontoseite** finden Sie die folgenden aggregierten Statistiken.

**Über AWS Organizations**  
**Active** meldet die Gesamtzahl der Konten, die mit Ihrem Konto verknüpft sind AWS Organizations und derzeit Macie-Mitgliedskonten in Ihrer Organisation sind. Macie ist für diese Konten aktiviert und Sie sind der Macie-Administrator der Konten.  
**All** meldet die Gesamtzahl der Konten, die mit Ihrem Konto verknüpft sind. AWS Organizations Dies schließt Konten ein, die derzeit keine Macie-Mitgliedskonten sind. Dazu gehören auch Mitgliedskonten, für die Macie derzeit gesperrt ist.

**Auf Einladung**  
**Aktiv** meldet die Gesamtzahl der Konten, die auf Einladung von Macie mit Ihrem Konto verknüpft sind und derzeit Macie-Mitgliedskonten in Ihrer Organisation sind. Diese Konten sind nicht mit Ihrem Konto verknüpft. AWS Organizations Macie ist für die Konten aktiviert und Sie sind der Macie-Administrator der Konten, weil sie eine Einladung zur Macie-Mitgliedschaft von Ihnen akzeptiert haben.  
**Alle** meldet die Gesamtzahl der Konten, die auf Einladung von Macie mit Ihrem Konto verknüpft sind, einschließlich Konten, die nicht auf eine Einladung von Ihnen geantwortet haben.

**Aktiv/Alle**  
**Aktiv** meldet die Gesamtzahl der Konten, für die Macie derzeit in Ihrer Organisation aktiviert ist, einschließlich Ihres eigenen Kontos. Sie sind durch AWS Organizations oder auf Einladung von Macie der Macie-Administrator dieser Konten.  
**Alle** Berichte geben die Gesamtzahl der Konten an, die über AWS Organizations oder auf Einladung von Macie mit Ihrem Konto verknüpft sind, sowie Ihr eigenes Konto. Dazu gehören Konten, die Teil Ihrer Organisation sind AWS Organizations und derzeit keine Macie-Mitgliedskonten sind. Dazu gehören auch alle Konten, die nicht auf eine Einladung zur Macie-Mitgliedschaft von Ihnen geantwortet haben.

In der Tabelle finden Sie Details zu jedem Konto in der aktuellen Region. Die Tabelle enthält alle Konten, die über AWS Organizations oder auf Einladung von Macie mit Ihrem Macie-Konto verknüpft sind.

**Konto-ID**  
Die Konto-ID und E-Mail-Adresse für die. AWS-Konto

**Name**  
Der Kontoname für die AWS-Konto. Dieser Wert ist in der Regel **N/A** für Ihr eigenes Konto und alle Konten, die auf Einladung von Macie mit Ihrem Konto verknüpft sind.

**Typ**  
Wie das Konto über AWS Organizations oder auf Einladung von Macie mit Ihrem Konto verknüpft ist. Für Ihr eigenes Konto ist dieser Wert **Girokonto**.

**Status**  
Der Status der Beziehung zwischen Ihrem Konto und dem Konto. Für ein Konto in einer AWS Organizations Organisation (**Typ** ist **Via AWS Organizations**) sind folgende Werte möglich:  
+ **Konto gesperrt** — Das AWS-Konto ist gesperrt.
+ **Aktiviert** — Das Konto ist ein Macie-Mitgliedskonto. Macie ist für das Konto aktiviert und Sie sind der Macie-Administrator des Kontos.
+ **Aktivierung läuft** — Macie bearbeitet eine Anfrage zur Aktivierung und zum Hinzufügen des Kontos als Macie-Mitgliedskonto.
+ **Kein Mitglied** — Das Konto ist Teil Ihrer Organisation, AWS Organizations aber es ist kein Macie-Mitgliedskonto.
+ **Pausiert (gesperrt)** — Das Konto ist ein Macie-Mitgliedskonto, aber Macie ist derzeit für dieses Konto gesperrt.
+ **Region deaktiviert** — Das Konto ist Teil Ihrer Organisation in, AWS Organizations aber die aktuelle Region ist für deaktiviert. AWS-Konto
+ **Entfernt (getrennt) —** Das Konto war zuvor ein Macie-Mitgliedskonto, wurde aber später als Mitgliedskonto entfernt. Sie haben das Konto von Ihrem Macie-Administratorkonto getrennt. Macie ist weiterhin für das Konto aktiviert.

**Letzte Statusaktualisierung**  
Wann Sie oder das zugehörige Konto zuletzt eine Aktion ausgeführt haben, die sich auf die Beziehung zwischen Ihren Konten ausgewirkt hat.

**Automatisierte Erkennung sensibler Daten**  
Ob die automatische Erkennung sensibler Daten derzeit für das Konto aktiviert oder deaktiviert ist.

Um die Tabelle nach einem bestimmten Feld zu sortieren, wählen Sie die Spaltenüberschrift für das Feld aus. Um die Sortierreihenfolge zu ändern, wählen Sie erneut die Spaltenüberschrift aus. Um die Tabelle zu filtern, platzieren Sie den Cursor in das Filterfeld und fügen Sie dann eine Filterbedingung für ein Feld hinzu. Um die Ergebnisse weiter zu verfeinern, fügen Sie Filterbedingungen für weitere Felder hinzu.

------
#### [ API ]

Um die Konten Ihrer Organisation programmgesteuert zu überprüfen, verwenden Sie den [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)Betrieb der Amazon Macie Macie-API und geben Sie die Region an, für die Ihre Anfrage gilt. Um die Konten in weiteren Regionen zu überprüfen, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Wenn Sie Ihre Anfrage einreichen, verwenden Sie den `onlyAssociated` Parameter, um anzugeben, welche Konten in die Antwort aufgenommen werden sollen. Standardmäßig gibt Macie über AWS Organizations oder auf Einladung von Macie nur Details zu den Konten zurück, bei denen es sich um Macie-Mitgliedskonten in der angegebenen Region handelt. Um diese Details für alle Konten abzurufen, die mit Ihrem Macie-Konto verknüpft sind, einschließlich Konten, die keine Mitgliedskonten sind, nehmen Sie den `onlyAssociated` Parameter in Ihre Anfrage auf und setzen Sie den Wert des Parameters auf. `false`

Um die Konten Ihrer Organisation mithilfe von [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) zu überprüfen, führen Sie den Befehl [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) aus. Geben Sie für den `only-associated` Parameter an, ob alle zugehörigen Konten oder nur Macie-Mitgliedskonten eingeschlossen werden sollen. Um nur Mitgliedskonten einzubeziehen, lassen Sie diesen Parameter weg oder setzen Sie den Wert des Parameters auf. `true` Um alle Konten einzubeziehen, legen Sie diesen Wert auf `false` fest. Zum Beispiel:

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

Wo *us-east-1* ist die Region, für die sich die Anfrage bezieht, die Region USA Ost (Nord-Virginia).

Wenn Ihre Anfrage erfolgreich ist, gibt Macie ein `members` Array zurück. Das Array enthält ein `member` Objekt für jedes Konto, das die in der Anfrage angegebenen Kriterien erfüllt. In diesem Objekt gibt das `relationshipStatus` Feld den aktuellen Status der Beziehung zwischen Ihrem Konto und dem anderen Konto in der angegebenen Region an. Für ein Konto in einer AWS Organizations Organisation sind folgende Werte möglich:
+ `AccountSuspended`— Das AWS-Konto ist gesperrt.
+ `Created`— Macie bearbeitet eine Anfrage zur Aktivierung und zum Hinzufügen des Kontos als Macie-Mitgliedskonto.
+ `Enabled`— Das Konto ist ein Macie-Mitgliedskonto. Macie ist für das Konto aktiviert und Sie sind der Macie-Administrator des Kontos.
+ `Paused`— Das Konto ist ein Macie-Mitgliedskonto, aber Macie ist derzeit für das Konto gesperrt (pausiert).
+ `RegionDisabled`— Das Konto ist Teil Ihrer Organisation in, AWS Organizations aber die aktuelle Region ist für die deaktiviert. AWS-Konto
+ `Removed`— Das Konto war zuvor ein Macie-Mitgliedskonto, wurde aber später als Mitgliedskonto entfernt. Sie haben das Konto von Ihrem Macie-Administratorkonto getrennt. Macie ist weiterhin für das Konto aktiviert.

Informationen zu anderen Feldern im `member` Objekt finden Sie unter [Mitglieder](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) in der *Amazon Macie API-Referenz.*

------

# Macie-Mitgliedskonten für eine Organisation verwalten
<a name="accounts-mgmt-ao-administer"></a>

Nachdem eine AWS Organizations Organisation in Amazon Macie [integriert und konfiguriert wurde](accounts-mgmt-ao-integrate.md), kann der delegierte Macie-Administrator der Organisation auf bestimmte Macie-Einstellungen, Daten und Ressourcen für Mitgliedskonten zugreifen. Als Macie-Administrator für eine Organisation können Sie Macie verwenden, um bestimmte Kontoverwaltungs- und Verwaltungsaufgaben für die Konten zentral durchzuführen. Beispielsweise ist Folgendes möglich:
+ Konten als Macie-Mitgliedskonten hinzufügen und entfernen.
+ Den Status von Macie für einzelne Konten verwalten, z. B. Macie für ein Konto aktivieren oder sperren.
+ Überwachen Sie die Macie-Kontingente und die geschätzten Nutzungskosten für einzelne Konten und die gesamte Organisation.

Sie können sich auch die Inventardaten und Richtlinienergebnisse von Amazon Simple Storage Service (Amazon S3) für Macie-Mitgliedskonten ansehen. Und Sie können sensible Daten in S3-Buckets entdecken, die den Konten gehören. Eine ausführliche Liste der Aufgaben, die Sie ausführen können, finden Sie unter[Beziehungen zwischen Macie-Administrator und Mitgliedskonto](accounts-mgmt-relationships.md).

Standardmäßig bietet Ihnen Macie Einblick in relevante Daten und Ressourcen für alle Macie-Mitgliedskonten in Ihrer Organisation. Sie können sich auch die Daten und Ressourcen einzelner Konten genauer ansehen. Wenn Sie beispielsweise [das Übersichts-Dashboard verwenden](monitoring-s3-dashboard.md), um den Amazon S3-Sicherheitsstatus Ihres Unternehmens zu bewerten, können Sie die Daten nach Konto filtern. Wenn Sie die [geschätzten Nutzungskosten überwachen](account-mgmt-costs.md), können Sie auf ähnliche Weise auf Aufschlüsselungen der geschätzten Kosten für einzelne Mitgliedskonten zugreifen.

Zusätzlich zu den Aufgaben, die für Administrator- und Mitgliedskonten üblich sind, können Sie verschiedene Verwaltungsaufgaben für Ihre Organisation ausführen.

**Topics**
+ [Mitgliedskonten hinzufügen](#accounts-mgmt-ao-members-add)
+ [Macie für Mitgliedskonten sperren](#accounts-mgmt-ao-members-suspend)
+ [Mitgliedskonten entfernen](#accounts-mgmt-ao-members-remove)

Als Macie-Administrator einer Organisation können Sie diese Aufgaben mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API ausführen. Wenn Sie lieber die Konsole verwenden möchten, müssen Sie die folgende AWS Organizations Aktion ausführen dürfen:. `organizations:ListAccounts` Mit dieser Aktion können Sie Informationen zu Konten, die Teil Ihrer Organisation sind, in abrufen und anzeigen AWS Organizations.

## Hinzufügen von Macie-Mitgliedskonten zu einer Organisation
<a name="accounts-mgmt-ao-members-add"></a>

In einigen Fällen müssen Sie möglicherweise manuell ein Konto als Amazon Macie Macie-Mitgliedskonto hinzufügen. Dies ist bei Konten der Fall, die Sie zuvor als Mitgliedskonten entfernt (getrennt) haben. Dies ist auch der Fall, wenn Sie Macie nicht so konfiguriert haben, dass [neue Mitgliedskonten automatisch aktiviert und hinzugefügt](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable) werden, wenn Konten zu Ihrer Organisation in hinzugefügt werden. AWS Organizations

Wenn Sie ein Konto als Macie-Mitgliedskonto hinzufügen:
+ Macie ist derzeit für das Konto aktiviert AWS-Region, sofern es in der Region nicht bereits aktiviert ist.
+ Das Konto ist mit Ihrem Macie-Administratorkonto als Mitgliedskonto in der Region verknüpft. Das Mitgliedskonto erhält keine Einladung oder andere Benachrichtigung darüber, dass Sie diese Beziehung zwischen Ihren Konten hergestellt haben.
+ Die automatische Erkennung sensibler Daten ist möglicherweise für das Konto in der Region aktiviert. Dies hängt von den Konfigurationseinstellungen ab, die Sie für die Organisation angegeben haben. Weitere Informationen finden Sie unter [Konfiguration der automatisierten Erkennung sensibler Daten](discovery-asdd-account-manage.md).

Beachten Sie, dass Sie kein Konto hinzufügen können, das bereits mit einem anderen Macie-Administratorkonto verknüpft ist. Das Konto muss zuerst von seinem aktuellen Administratorkonto getrennt werden. Darüber hinaus können Sie das AWS Organizations Verwaltungskonto nicht als Mitgliedskonto hinzufügen, es sei denn, Macie ist bereits für das Konto aktiviert. Weitere Informationen zu zusätzlichen Anforderungen finden Sie unter[Überlegungen zur Verwendung von Macie mit AWS Organizations](accounts-mgmt-ao-notes.md).

**So fügen Sie einer Organisation ein Macie-Mitgliedskonto hinzu**  
Um Ihrer Organisation ein oder mehrere Macie-Mitgliedskonten hinzuzufügen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

------
#### [ Console ]

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie-Konsole ein oder mehrere Macie-Mitgliedskonten hinzuzufügen.

**Um ein Macie-Mitgliedskonto hinzuzufügen**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie ein Mitgliedskonto hinzufügen möchten.

1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus. Die Seite **Konten** wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

1. (Optional) Verwenden Sie das Filterfeld über der Tabelle **Bestehende Konten, um Konten, die Teil Ihrer Organisation sind AWS Organizations und keine Macie-Mitgliedskonten** sind, einfacher zu identifizieren, um die folgenden Filterbedingungen hinzuzufügen:
   + **Typ = Organisation**
   + **Status = Kein Mitglied**

   Um auch Konten anzuzeigen, die Sie zuvor entfernt haben und die Sie möglicherweise als Mitgliedskonten hinzufügen möchten, fügen Sie außerdem die Filterbedingung **Status = Entfernt** hinzu.

1. Aktivieren Sie in der Tabelle **Bestehende Konten** das Kontrollkästchen für jedes Konto, das Sie als Mitgliedskonto hinzufügen möchten.

1. Wählen Sie im Menü **Aktionen** die Option **Mitglied hinzufügen** aus.

1. Bestätigen Sie, dass Sie die ausgewählten Konten als Mitgliedskonten hinzufügen möchten.

Nachdem Sie Ihre Auswahl bestätigt haben, ändert sich der Status der ausgewählten Konten **in Ihrem Kontobestand auf Aktiviert** und anschließend auf **Aktiviert**.

Um ein Mitgliedskonto in weiteren Regionen hinzuzufügen, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

------
#### [ API ]

Um ein oder mehrere Macie-Mitgliedskonten programmgesteuert hinzuzufügen, verwenden Sie den [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)Betrieb der Amazon Macie Macie-API.

Wenn Sie Ihre Anfrage einreichen, verwenden Sie die unterstützten Parameter, um die 12-stellige Konto-ID und E-Mail-Adresse für jeden, den Sie hinzufügen möchten AWS-Konto , anzugeben. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um ein Konto in weiteren Regionen hinzuzufügen, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID und E-Mail-Adresse eines hinzuzufügenden Kontos abzurufen, können Sie die Ausgabe des API-Betriebs und des [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)Betriebs der Amazon Macie AWS Organizations Macie-API korrelieren. [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) Nehmen Sie für den **ListMembers** Betrieb der Macie-API den `onlyAssociated` Parameter in Ihre Anfrage auf und setzen Sie den Wert des Parameters auf. `false` Wenn der Vorgang erfolgreich ist, gibt Macie ein `members` Array zurück, das Details zu allen Konten enthält, die Ihrem Macie-Administratorkonto in der angegebenen Region zugeordnet sind, einschließlich Konten, die derzeit keine Mitgliedskonten sind. Beachten Sie Folgendes im Array:
+ Wenn der Wert für die `relationshipStatus` Eigenschaft eines Kontos nicht `Enabled` oder ist`Paused`, ist das Konto mit Ihrem Konto verknüpft, es handelt sich jedoch nicht um ein Macie-Mitgliedskonto.
+ Wenn ein Konto nicht im Array enthalten ist, aber in der Ausgabe des **ListAccounts** AWS Organizations API-Betriebs enthalten ist, ist das Konto Teil Ihrer Organisation, AWS Organizations aber es ist nicht mit Ihrem Konto verknüpft und ist daher kein Macie-Mitgliedskonto.

Um ein Mitgliedskonto mithilfe von AWS Command Line Interface (AWS CLI) hinzuzufügen, führen Sie den Befehl [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) aus. Verwenden Sie den `region` Parameter, um die Region anzugeben, in der das Konto hinzugefügt werden soll. Verwenden Sie die `account` Parameter, um die Konto-ID und die E-Mail-Adresse für jedes hinzuzufügende Konto anzugeben. Beispiel:

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

Wo *us-east-1* ist die Region, in der das Konto als Mitgliedskonto hinzugefügt werden soll (Region USA Ost (Nord-Virginia)), und die `account` Parameter geben die Konto-ID (*123456789012*) und die E-Mail-Adresse (*janedoe@example.com*) für das Konto an.

Wenn Ihre Anfrage erfolgreich ist, ändert sich der Status (`relationshipStatus`) des angegebenen Kontos `Enabled` in Ihrem Kontobestand.

------

## Macie für Mitgliedskonten in einer Organisation sperren
<a name="accounts-mgmt-ao-members-suspend"></a>

Als Amazon Macie-Administrator für eine Organisation in AWS Organizations können Sie Macie für ein Mitgliedskonto in Ihrer Organisation sperren. In diesem Fall können Sie Macie auch zu einem späteren Zeitpunkt wieder für das Konto aktivieren.

Wenn du Macie für ein Mitgliedskonto sperrst:
+ Macie verliert den Zugriff auf die aktuellen AWS-Region Amazon S3 S3-Daten des Kontos und stellt diese nicht mehr bereit.
+ Macie beendet die Ausführung aller Aktivitäten für das Konto in der Region. Dazu gehören die Überwachung von S3-Buckets im Hinblick auf Sicherheit und Zugriffskontrolle, die automatische Erkennung sensibler Daten und die Ausführung von Aufgaben zur Erkennung sensibler Daten, die derzeit ausgeführt werden.
+ Macie storniert alle Aufträge zur Erkennung sensibler Daten, die von dem Konto in der Region erstellt wurden. Ein Auftrag kann nicht wieder aufgenommen oder neu gestartet werden, nachdem er storniert wurde. Wenn Sie Jobs zur Analyse von Daten erstellt haben, die dem Mitgliedskonto gehören, storniert Macie Ihre Jobs nicht. Stattdessen werden bei den Jobs Ressourcen übersprungen, die dem Konto gehören.

Während der Sperrung behält Macie die Sitzungs-ID, die Einstellungen und die Ressourcen bei, die es für das Konto in der jeweiligen Region speichert oder verwaltet. Macie speichert auch bestimmte Daten für das Konto in der Region. Beispielsweise bleiben die Ergebnisse des Kontos erhalten und sind bis zu 90 Tage lang nicht betroffen. Wenn die automatische Erkennung sensibler Daten für das Konto aktiviert wurde, bleiben die vorhandenen Ergebnisse ebenfalls erhalten und sind bis zu 30 Tage lang nicht betroffen. Ihrem Unternehmen fallen keine Macie-Gebühren für das Konto in dieser Region an, während Macie für das Konto in der Region gesperrt ist.

**Um Macie für ein Mitgliedskonto in einer Organisation zu sperren**  
Um Macie für ein Mitgliedskonto in einer Organisation zu sperren, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

------
#### [ Console ]

Gehen Sie wie folgt vor, um Macie mithilfe der Amazon Macie Macie-Konsole für ein Mitgliedskonto zu sperren.

**Um Macie für ein Mitgliedskonto zu sperren**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Macie für ein Mitgliedskonto sperren möchten.

1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus. Die Seite „**Konten**“ wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

1. Wählen Sie in der Tabelle **Bestehende Konten** das Kontrollkästchen für das Konto aus, für das Sie Macie sperren möchten.

1. Wählen Sie im Menü **Aktionen** die Option **Macie sperren** aus.

1. Bestätigen Sie, dass Sie Macie für das Konto sperren möchten.

Nachdem du die Sperrung bestätigt hast, ändert sich der Status des Accounts in deinem Kontobestand auf **Pausiert (gesperrt)**. Um Macie für das Konto in weiteren Regionen zu sperren, wiederhole die vorherigen Schritte in jeder weiteren Region.

Um Macie später wieder für das Konto zu aktivieren, kehren Sie zur Seite **Konten auf der Konsole** zurück. **Markieren Sie das Kontrollkästchen für das Konto und wählen Sie dann im Menü Aktionen die Option **Macie aktivieren** aus.** Um Macie für das Konto in weiteren Regionen wieder zu aktivieren, wiederholen Sie diese Schritte in jeder weiteren Region.

------
#### [ API ]

Um Macie für ein Mitgliedskonto programmgesteuert zu sperren, verwenden Sie den [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)Betrieb der Amazon Macie Macie-API. Sie können diesen Vorgang auch verwenden, um Macie später wieder für das Konto zu aktivieren.

Wenn Sie Ihre Anfrage einreichen, verwenden Sie den `id` Parameter, um die 12-stellige Konto-ID für das Konto anzugeben, für AWS-Konto das Sie Macie sperren möchten. Geben Sie für den Parameter `status` `PAUSED` an: Geben Sie außerdem die Region an, für die sich die Anfrage bezieht. Um Macie für das Konto in weiteren Regionen zu sperren, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID für das Konto abzurufen, können Sie den [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)Betrieb der Amazon Macie Macie-API verwenden. Wenn Sie dies tun, sollten Sie erwägen, die Ergebnisse zu filtern, indem Sie den `onlyAssociated` Parameter in Ihre Anfrage aufnehmen. Wenn Sie den Wert dieses Parameters auf setzen`true`, gibt Macie ein `members` Array zurück, das nur Details zu den Konten enthält, bei denen es sich derzeit um Mitgliedskonten handelt.

Um Macie mithilfe von für ein Mitgliedskonto zu sperren AWS CLI, führen Sie den [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)Befehl aus. Verwenden Sie den `region` Parameter, um die Region anzugeben, in der Macie für das Konto gesperrt werden soll. Verwenden Sie den `id` Parameter, um die Konto-ID für das Konto anzugeben. Geben Sie für den Parameter `status` `PAUSED` an: Beispiel:

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

Wo *us-east-1* ist die Region, in der Macie gesperrt werden soll (Region USA Ost (Nord-Virginia)), *123456789012* ist die Konto-ID für das Konto, für das Macie gesperrt werden soll, und `PAUSED` gibt den neuen Macie-Status für das Konto an.

Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere Antwort zurück und der Status des angegebenen Kontos ändert sich in Ihrem Kontobestand. `Paused` Um Macie später wieder für das Konto zu aktivieren, führen Sie den **update-member-session** Befehl erneut aus und geben Sie `ENABLED` den Parameter an. `status`

------

## Macie-Mitgliedskonten aus einer Organisation entfernen
<a name="accounts-mgmt-ao-members-remove"></a>

Wenn Sie nicht mehr auf die Einstellungen, Daten und Ressourcen von Amazon Macie für ein Mitgliedskonto zugreifen möchten, können Sie das Konto als Macie-Mitgliedskonto entfernen. Dazu trennen Sie das Konto von Ihrem Macie-Administratorkonto. Beachten Sie, dass nur Sie dies für ein Mitgliedskonto tun können. Ein AWS Organizations Mitgliedskonto kann nicht von seinem Macie-Administratorkonto getrennt werden.

Wenn Sie ein Macie-Mitgliedskonto entfernen, bleibt Macie für das aktuelle Konto aktiviert. AWS-Region Das Konto wird jedoch von Ihrem Macie-Administratorkonto getrennt und es wird zu einem eigenständigen Macie-Konto. Dies bedeutet, dass Sie den Zugriff auf alle Macie-Einstellungen, Daten und Ressourcen für das Konto verlieren, einschließlich Metadaten und Richtlinienergebnissen für die Amazon S3 S3-Daten des Kontos. Dies bedeutet auch, dass Sie Macie nicht mehr verwenden können, um sensible Daten in S3-Buckets zu ermitteln, die dem Konto gehören. Wenn Sie zu diesem Zweck bereits Aufträge zur Erkennung sensibler Daten erstellt haben, überspringen die Jobs Buckets, die dem Konto gehören. Wenn Sie die automatische Erkennung sensibler Daten für das Konto aktiviert haben, verlieren sowohl Sie als auch das Mitgliedskonto den Zugriff auf statistische Daten, Inventardaten und andere Informationen, die Macie während der automatischen Erkennung für das Konto erstellt und direkt bereitgestellt hat.

Nachdem Sie ein Macie-Mitgliedskonto entfernt haben, erscheint das Konto weiterhin in Ihrem Kontoinventar. Macie benachrichtigt den Kontoinhaber nicht darüber, dass Sie das Konto entfernt haben. Erwägen Sie daher, den Kontoinhaber zu kontaktieren, um sicherzustellen, dass er mit der Verwaltung der Einstellungen und Ressourcen für sein Konto beginnt.

Sie können das Konto zu einem späteren Zeitpunkt erneut zu Ihrer Organisation hinzufügen. Wenn Sie dies tun und die automatische Erkennung sensibler Daten für das Konto innerhalb von 30 Tagen wieder aktivieren, erhalten Sie auch wieder Zugriff auf Daten und Informationen, die Macie zuvor erstellt und direkt bereitgestellt hat, während die automatische Erkennung für das Konto durchgeführt wurde. Darüber hinaus beginnen nachfolgende Ausführungen Ihrer bestehenden Jobs, einschließlich der S3-Buckets des Kontos, erneut.

**Um ein Macie-Mitgliedskonto aus einer Organisation zu entfernen**  
Um ein Macie-Mitgliedskonto aus Ihrer Organisation zu entfernen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

------
#### [ Console ]

Gehen Sie wie folgt vor, um ein Macie-Mitgliedskonto mithilfe der Amazon Macie Macie-Konsole zu entfernen.

**Um ein Macie-Mitgliedskonto zu entfernen**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie ein Mitgliedskonto entfernen möchten.

1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus. Die Seite **Konten** wird geöffnet und zeigt eine Tabelle der Konten an, die mit Ihrem Konto verknüpft sind.

1. Aktivieren Sie in der Tabelle **Bestehende Konten** das Kontrollkästchen für das Konto, das Sie als Mitgliedskonto entfernen möchten.

1. Wählen Sie im Menü **Aktionen** die Option **Konto trennen aus**.

1. Bestätigen Sie, dass Sie das ausgewählte Konto als Mitgliedskonto entfernen möchten.

Nachdem Sie Ihre Auswahl bestätigt haben, ändert sich der Status des Kontos in Ihrem Kontobestand auf **Entfernt (getrennt)**.

Um das Mitgliedskonto in weiteren Regionen zu entfernen, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

------
#### [ API ]

Um ein Macie-Mitgliedskonto programmgesteuert zu entfernen, verwenden Sie den [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)Betrieb der Amazon Macie Macie-API.

Wenn Sie Ihre Anfrage einreichen, geben Sie mithilfe des `id` Parameters die 12-stellige AWS-Konto ID für das Mitgliedskonto an, das entfernt werden soll. Geben Sie auch die Region an, für die sich die Anfrage bezieht. Um das Konto in weiteren Regionen zu entfernen, reichen Sie Ihre Anfrage in jeder weiteren Region ein.

Um die Konto-ID für das zu entfernende Mitgliedskonto abzurufen, können Sie den [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)Betrieb der Amazon Macie Macie-API verwenden. Wenn Sie dies tun, sollten Sie erwägen, die Ergebnisse zu filtern, indem Sie den `onlyAssociated` Parameter in Ihre Anfrage aufnehmen. Wenn Sie den Wert dieses Parameters auf setzen`true`, gibt Macie ein `members` Array zurück, das nur Details zu den Konten enthält, bei denen es sich derzeit um Macie-Mitgliedskonten handelt.

[Um ein Macie-Mitgliedskonto mit dem zu entfernen AWS CLI, führen Sie den Befehl disassociate-member aus.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) Verwenden Sie den `region` Parameter, um die Region anzugeben, in der das Konto entfernt werden soll. Verwenden Sie den `id` Parameter, um die Konto-ID für das Mitgliedskonto anzugeben, das entfernt werden soll. Beispiel:

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

Wo *us-east-1* ist die Region, in der das Konto entfernt werden soll (Region USA Ost (Nord-Virginia)), und *123456789012* ist die Konto-ID für das Konto, das entfernt werden soll.

Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere Antwort zurück und der Status des angegebenen Kontos ändert sich `Removed` in Ihrem Kontobestand.

------

# Das Macie-Administratorkonto für eine Organisation ändern
<a name="accounts-mgmt-ao-admin-change"></a>

Nachdem eine AWS Organizations Organisation in Amazon Macie [integriert und konfiguriert wurde](accounts-mgmt-ao-integrate.md), kann das AWS Organizations Verwaltungskonto ein anderes Konto als delegiertes Macie-Administratorkonto für die Organisation festlegen. Der neue Macie-Administrator kann die Organisation dann erneut in Macie konfigurieren.

Stellen Sie als Benutzer des AWS Organizations Verwaltungskontos für eine Organisation sicher, dass Sie die folgenden Berechtigungsanforderungen erfüllen, bevor Sie ein anderes Macie-Administratorkonto für Ihre Organisation festlegen:
+ Sie müssen über [dieselben Berechtigungen verfügen, die ursprünglich für](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions) die Festlegung eines Macie-Administratorkontos für Ihre Organisation erforderlich waren. Sie müssen außerdem berechtigt sein, die folgende AWS Organizations Aktion auszuführen:. `organizations:DeregisterDelegatedAdministrator` Mit dieser zusätzlichen Aktion können Sie die aktuelle Bezeichnung entfernen.
+ Wenn es sich bei Ihrem Konto derzeit um ein Macie-Mitgliedskonto handelt, muss der aktuelle Macie-Administrator Ihr Konto als Macie-Mitgliedskonto entfernen. Andernfalls dürfen Sie nicht auf Macie-Operationen zugreifen, um ein anderes Administratorkonto festzulegen. Nachdem Sie ein neues Administratorkonto festgelegt haben, kann der neue Macie-Administrator Ihr Konto erneut als Macie-Mitgliedskonto hinzufügen.

Wenn Ihre Organisation Macie in mehreren Fällen verwendet, stellen Sie außerdem sicher AWS-Regionen, dass Sie die Bezeichnung in jeder Region ändern, in der Ihre Organisation Macie verwendet. Das delegierte Macie-Administratorkonto muss in all diesen Regionen identisch sein. Wenn Sie mehrere Organisationen in verwalten AWS Organizations, beachten Sie außerdem, dass ein Konto das delegierte Macie-Administratorkonto für jeweils nur eine Organisation sein kann. Weitere Informationen zu zusätzlichen Anforderungen finden Sie unter. [Überlegungen zur Verwendung von Macie mit AWS Organizations](accounts-mgmt-ao-notes.md)

**Anmerkung**  
Wenn Sie ein anderes Macie-Administratorkonto für Ihre Organisation angeben, deaktivieren Sie auch den Zugriff auf vorhandene statistische Daten, Inventardaten und andere Informationen, die Macie erstellt und direkt bereitgestellt hat, während die [automatische Erkennung sensibler Daten](discovery-asdd.md) für Konten in der Organisation durchgeführt wurde. Der neue Macie-Administrator kann nicht auf die vorhandenen Daten zugreifen. Wenn Sie die Bezeichnung ändern und der neue Macie-Administrator die automatische Erkennung der Konten aktiviert, generiert und verwaltet Macie bei der automatischen Erkennung der Konten neue Daten.

**Um die Bezeichnung eines Macie-Administratorkontos zu ändern**  
Um ein anderes Macie-Administratorkonto für Ihre Organisation festzulegen, können Sie die Amazon Macie-Konsole oder eine Kombination aus Amazon Macie und verwenden. AWS Organizations APIs Nur ein Benutzer des AWS Organizations Verwaltungskontos kann die Bezeichnung für seine Organisation ändern.

------
#### [ Console ]

Gehen Sie wie folgt vor, um die Bezeichnung mithilfe der Amazon Macie Macie-Konsole zu ändern.

**Um die Bezeichnung zu ändern**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem AWS Organizations Verwaltungskonto bei der an.

1. Wählen Sie mithilfe der AWS-Region Auswahltaste in der oberen rechten Ecke der Seite die Region aus, in der Sie die Bezeichnung ändern möchten.

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Führen Sie je nachdem, ob Macie für Ihr Verwaltungskonto in der aktuellen Region aktiviert ist, einen der folgenden Schritte aus:
   + Wenn Macie nicht aktiviert ist, wählen Sie auf der Willkommensseite die Option **Erste Schritte** aus.
   + Wenn Macie aktiviert ist, wählen Sie im Navigationsbereich **Einstellungen** aus.

1. **Wählen Sie unter **Delegierter Administrator** die Option Entfernen aus.** Um die Bezeichnung zu ändern, müssen Sie zuerst die aktuelle Bezeichnung entfernen.

1. Bestätigen Sie, dass Sie die aktuelle Bezeichnung entfernen möchten.

1. Geben Sie unter **Delegierter Administrator** die 12-stellige Konto-ID ein, die als neues Macie-Administratorkonto für die Organisation bezeichnet werden AWS-Konto soll.

1. Wählen Sie **Delegieren**.

Wiederholen Sie die vorherigen Schritte in jeder weiteren Region, in die Sie Macie integriert haben. AWS Organizations

------
#### [ API ]

Um die Bezeichnung programmgesteuert zu ändern, verwenden Sie zwei Operationen der Amazon Macie Macie-API und eine Operation der API. AWS Organizations Dies liegt daran, dass Sie die aktuelle Bezeichnung sowohl in Macie als auch AWS Organizations vor dem Einreichen der neuen Bezeichnung entfernen müssen.

Um die aktuelle Bezeichnung zu entfernen:

1. Verwenden Sie den [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)Betrieb der Macie-API. Geben Sie für den erforderlichen `adminAccountId` Parameter die 12-stellige Konto-ID für das Konto an AWS-Konto , das derzeit als Macie-Administratorkonto für die Organisation festgelegt ist.

1. Verwenden Sie den [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)Betrieb der AWS Organizations API. Geben Sie für den `AccountId` Parameter die 12-stellige Konto-ID für das Konto an, das derzeit als Macie-Administratorkonto für die Organisation festgelegt ist. Dieser Wert sollte mit der Konto-ID übereinstimmen, die Sie in der vorherigen Macie-Anfrage angegeben haben. Geben Sie für den `ServicePrincipal` Parameter den Macie-Dienstprinzipal () `macie.amazonaws.com` an.

Nachdem Sie die aktuelle Bezeichnung entfernt haben, reichen Sie die neue Bezeichnung mithilfe der [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)Macie-API ein. Geben Sie für den erforderlichen `adminAccountId` Parameter die 12-stellige Konto-ID an, die als neues Macie-Administratorkonto für die Organisation bezeichnet werden AWS-Konto soll.

Um die Bezeichnung mithilfe von AWS Command Line Interface (AWS CLI) zu ändern, führen Sie den [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html)Befehl der Macie-API und den [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html)Befehl der API aus. AWS Organizations Diese Befehle entfernen jeweils die aktuelle Bezeichnung in Macie und AWS Organizations. Geben Sie für die `account-id` Parameter `admin-account-id` und die 12-stellige Konto-ID an, die als aktuelles Macie-Administratorkonto entfernt werden AWS-Konto soll. Verwenden Sie den `region` Parameter, um die Region anzugeben, für die das Entfernen gilt. Beispiel:

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

Wobei Folgendes gilt:
+ *us-east-1*ist die Region, für die die Entfernung gilt, die Region USA Ost (Nord-Virginia).
+ *111122223333*ist die Konto-ID für das Konto, das als Macie-Administratorkonto entfernt werden soll.
+ `macie.amazonaws.com`ist der Macie-Service Principal.

Nachdem Sie die aktuelle Bezeichnung entfernt haben, reichen Sie die neue Bezeichnung ein, indem Sie den [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)Befehl der Macie-API ausführen. Geben Sie für den `admin-account-id` Parameter die 12-stellige Konto-ID an, die als neues Macie-Administratorkonto für die Organisation bezeichnet werden AWS-Konto soll. Verwenden Sie den `region` Parameter, um die Region anzugeben, für die die Bezeichnung gilt. Beispiel:

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

Wo *us-east-1* ist die Region, für die die Bezeichnung gilt (Region USA Ost (Nord-Virginia)), und dabei *444455556666* handelt es sich um die Konto-ID für das Konto, das als neues Macie-Administratorkonto festgelegt werden soll.

------

# Deaktivierung der Macie-Integration mit AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

Nachdem eine AWS Organizations Organisation in Amazon Macie integriert wurde, kann das AWS Organizations Verwaltungskonto die Integration anschließend deaktivieren. Als Benutzer des AWS Organizations Verwaltungskontos können Sie dies tun, indem Sie den vertrauenswürdigen Servicezugriff für Macie in deaktivieren. AWS Organizations

Wenn Sie den vertrauenswürdigen Dienstzugriff für Macie deaktivieren, passiert Folgendes:
+ Macie verliert seinen Status als vertrauenswürdiger Dienst in. AWS Organizations
+ Das Macie-Administratorkonto der Organisation verliert den Zugriff auf alle Macie-Einstellungen, -Daten und -Ressourcen für alle Macie-Mitgliedskonten insgesamt. AWS-Regionen
+ Alle Macie-Mitgliedskonten werden zu eigenständigen Macie-Konten. Wenn Macie für ein Mitgliedskonto in einer oder mehreren Regionen aktiviert wurde, ist Macie weiterhin für das Konto in diesen Regionen aktiviert. Das Konto ist jedoch in keiner Region mehr mit einem Macie-Administratorkonto verknüpft. Darüber hinaus verliert das Konto den Zugriff auf statistische Daten, Inventardaten und andere Informationen, die Macie bei der automatisierten Erkennung sensibler Daten für das Konto erstellt und direkt bereitgestellt hat.

Weitere Informationen zu den Folgen der Deaktivierung des Zugriffs auf vertrauenswürdige Dienste finden Sie AWS-Services im *AWS Organizations Benutzerhandbuch* unter [Zusammen AWS Organizations mit anderen verwenden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html). 

**So deaktivieren Sie den vertrauenswürdigen Dienstzugriff für Macie**  
Um den Zugriff auf vertrauenswürdige Dienste zu deaktivieren, können Sie die AWS Organizations Konsole oder die AWS Organizations API verwenden. Nur ein Benutzer des AWS Organizations Verwaltungskontos kann den vertrauenswürdigen Dienstzugriff für Macie deaktivieren. Einzelheiten zu den Berechtigungen, die Sie benötigen, finden Sie im *AWS Organizations Benutzerhandbuch* unter [Erforderliche Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms).

Bevor Sie den Zugriff auf vertrauenswürdige Dienste deaktivieren, sollten Sie optional mit dem delegierten Macie-Administrator für Ihr Unternehmen zusammenarbeiten, um Macie für Mitgliedskonten zu sperren oder zu deaktivieren und die Macie-Ressourcen für die Konten zu bereinigen.

------
#### [ Console ]

Gehen Sie wie folgt vor, um den Zugriff auf vertrauenswürdige Dienste mithilfe der AWS Organizations Konsole zu deaktivieren.

**So deaktivieren Sie einen vertrauenswürdigen Servicezugriff**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem AWS Organizations Verwaltungskonto bei der an.

1. Öffnen Sie die AWS Organizations Konsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Wählen Sie im Navigationsbereich **Services**.

1. Wählen Sie unter **Integrierte Dienste** **Amazon Macie** aus.

1. Wählen Sie **Vertrauenswürdigen Zugriff deaktivieren**.

1. Bestätigen Sie, dass Sie den vertrauenswürdigen Zugriff deaktivieren möchten.

------
#### [ API ]

Um den vertrauenswürdigen Dienstzugriff programmgesteuert zu [deaktivieren, verwenden Sie den Vorgang Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) der AWS Organizations API. Geben Sie für den `ServicePrincipal` Parameter den Macie-Dienstprinzipal () an. `macie.amazonaws.com`

Um den vertrauenswürdigen Dienstzugriff mithilfe von [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) zu deaktivieren, führen Sie den [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)Befehl der AWS Organizations API aus. Geben Sie für den `service-principal` Parameter den Macie-Dienstprinzipal (`macie.amazonaws.com`) an. Zum Beispiel:

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------