Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gérer plusieurs comptes Macie avec AWS Organizations
<a name="accounts-mgmt-ao"></a>

Si vous avez l' AWS Organizations habitude de gérer plusieurs comptes de manière centralisée Comptes AWS, vous pouvez intégrer Amazon Macie à AWS Organizations, puis gérer Macie de manière centralisée pour les comptes de votre organisation. Avec cette configuration, un administrateur Macie désigné peut activer et gérer Macie pour jusqu'à 10 000 comptes. L'administrateur peut également accéder aux données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et découvrir des données sensibles dans les compartiments S3 détenus par les comptes. Pour plus de détails sur les tâches que l'administrateur peut effectuer, consultez[Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md).

AWS Organizations est un service mondial de gestion de comptes qui permet aux AWS administrateurs de consolider et de gérer de manière centralisée plusieurs comptes Comptes AWS. Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs Services AWS applications, notamment Macie et Amazon GuardDuty. AWS Security Hub CSPM Pour en savoir plus, consultez le [AWS Organizations guide de l'utilisateur](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Pour intégrer Macie à AWS Organizations, vous devez commencer par désigner un compte en tant que compte administrateur Macie délégué pour l'organisation. L'administrateur Macie active ensuite Macie pour les autres comptes de l'organisation, ajoute ces comptes en tant que comptes membres de Macie et configure les paramètres et les ressources Macie pour les comptes.

**Astuce**  
Si vous avez déjà associé un compte administrateur Macie à des comptes membres à l'aide d'invitations, vous pouvez désigner ce compte comme compte administrateur Macie délégué pour votre organisation dans. AWS Organizations Dans ce cas, tous les comptes de membres actuellement associés restent membres et vous pouvez profiter pleinement des avantages de la gestion des comptes en utilisant AWS Organizations. Pour de plus amples informations, veuillez consulter [Transition depuis une organisation basée sur les invitations](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations).

Les rubriques de cette section expliquent comment intégrer Macie à Macie AWS Organizations et comment administrer et gérer Macie pour les comptes d'une organisation.

**Topics**
+ [Considérations et recommandations](accounts-mgmt-ao-notes.md)
+ [Intégration et configuration d'une organisation](accounts-mgmt-ao-integrate.md)
+ [Révision des comptes de l'organisation](accounts-mgmt-ao-review.md)
+ [Gérer les comptes des membres](accounts-mgmt-ao-administer.md)
+ [Modifier le compte administrateur](accounts-mgmt-ao-admin-change.md)
+ [Désactivation de l'intégration avec AWS Organizations](accounts-mgmt-ao-disable.md)

# Considérations relatives à l'utilisation de Macie avec AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

Avant d'intégrer Amazon Macie à Macie AWS Organizations et de configurer votre organisation dans Macie, tenez compte des exigences et recommandations suivantes. Assurez-vous également de bien comprendre la [relation entre les comptes administrateur et membre de Macie](accounts-mgmt-relationships.md).

**Topics**
+ [Désignation d'un compte administrateur](#accounts-mgmt-ao-notes-admin-designate)
+ [Modification ou suppression de la désignation du compte administrateur](#accounts-mgmt-ao-notes-admin-remove)
+ [Ajouter et supprimer des comptes de membres](#accounts-mgmt-ao-notes-members-manage)
+ [Transition depuis une organisation basée sur les invitations](#accounts-mgmt-ao-notes-transition-invitations)

## Désignation d'un compte administrateur Macie
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

Lorsque vous déterminez quel compte doit être le compte administrateur Macie délégué de votre organisation, gardez les points suivants à l'esprit :
+ Une organisation ne peut avoir qu'un seul compte administrateur Macie délégué.
+ Un compte ne peut pas être un compte administrateur Macie et un compte membre à la fois.
+ Seul le compte AWS Organizations de gestion d'une organisation peut désigner le compte administrateur Macie délégué pour l'organisation. Seul le compte de gestion peut ultérieurement modifier ou supprimer cette désignation.
+ Le compte AWS Organizations de gestion d'une organisation peut également être le compte administrateur Macie délégué de l'organisation. Toutefois, nous ne recommandons pas cette configuration sur la base des meilleures pratiques de AWS sécurité et du principe du moindre privilège. Les utilisateurs qui ont accès au compte de gestion à des fins de facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder à Macie pour des raisons de sécurité des informations.

  Si vous préférez cette configuration, vous devez activer Macie pour le compte de gestion de l'organisation dans au moins un compte Région AWS avant de le désigner comme compte administrateur Macie délégué. Sinon, le compte ne sera pas en mesure d'accéder aux paramètres et aux ressources Macie pour les comptes des membres et de les gérer.
+ Contrairement AWS Organizationsà Macie est un service régional. Cela signifie que la désignation d'un compte administrateur Macie est une désignation régionale. Cela signifie également que les associations entre les comptes administrateur et membre de Macie sont régionales. Par exemple, si le compte de gestion désigne un compte administrateur Macie dans la région USA Est (Virginie du Nord), l'administrateur Macie peut gérer Macie pour les comptes des membres uniquement dans cette région.

  Pour gérer de manière centralisée plusieurs comptes Macie Régions AWS, le compte de gestion doit se connecter à chaque région dans laquelle l'organisation utilise actuellement ou utilisera Macie, puis désigner le compte administrateur Macie dans chacune de ces régions. L'administrateur Macie peut ensuite configurer l'organisation dans chacune de ces régions. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS*
+ Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si votre organisation utilise Macie dans plusieurs régions, le compte administrateur Macie désigné doit être le même dans toutes ces régions. Toutefois, le compte de gestion de votre organisation doit désigner le compte administrateur séparément dans chaque région.
+ Un compte ne peut être le compte d'administrateur Macie délégué que pour une seule organisation à la fois. Si vous gérez plusieurs organisations dans AWS Organizations, vous devez désigner un compte administrateur Macie différent pour chaque organisation. Cela est dû à une AWS Organizations exigence : un compte ne peut être membre que d'une seule organisation à la fois.

Si l'administrateur Macie Compte AWS est suspendu, isolé ou fermé, tous les comptes de membre Macie associés sont automatiquement supprimés en tant que comptes de membre Macie, mais Macie continue d'être activé pour ces comptes. Si la [découverte automatique des données sensibles](discovery-asdd.md) a été activée pour un ou plusieurs comptes membres, elle est désactivée pour les comptes. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique des comptes. Pour rétablir l'accès à ces données, les mesures suivantes doivent être prises dans les 30 jours :

1. Celui de l'administrateur Macie Compte AWS est restauré.

1. Le compte AWS Organizations de gestion désigne à nouveau le compte en tant que compte administrateur Macie.

1. L'administrateur Macie configure l'organisation et active à nouveau la découverte automatique des comptes appropriés.

Au bout de 30 jours, Macie supprime définitivement les données qu'elle a précédemment produites et directement fournies tout en effectuant une découverte automatique pour les comptes concernés.

## Modifier ou supprimer la désignation d'un compte administrateur Macie
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

Seul le compte AWS Organizations de gestion d'une organisation peut modifier ou supprimer la désignation d'un compte administrateur Macie délégué pour l'organisation.

Si le compte de gestion modifie ou supprime la désignation :
+ Tous les comptes de membre associés sont supprimés en tant que comptes de membres Macie, mais Macie continue d'être activé pour les comptes. Les comptes deviennent des comptes Macie autonomes. Pour suspendre ou arrêter d'utiliser Macie, l'utilisateur d'un compte membre doit suspendre (suspendre) ou désactiver (arrêter) Macie pour le compte.
+ La découverte automatique des données sensibles est désactivée pour chaque compte pour lequel elle a été activée. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de chaque compte. Pour rétablir l'accès à ces données, le compte de gestion doit à nouveau désigner le même compte administrateur Macie dans les 30 jours. En outre, l'administrateur Macie doit reconfigurer l'organisation et réactiver la découverte automatique pour chaque compte dans un délai de 30 jours. Après 30 jours, les données expirent et Macie les supprime définitivement.

## Ajouter et supprimer des comptes de membres Macie
<a name="accounts-mgmt-ao-notes-members-manage"></a>

Lorsque vous ajoutez, supprimez ou gérez des comptes de membres pour votre organisation, gardez les points suivants à l'esprit :
+ Un compte administrateur Macie ne peut pas être associé à plus de 10 000 comptes de membres Macie par compte. Région AWS Si votre organisation dépasse ce quota, l'administrateur Macie ne pourra pas ajouter de comptes membres tant qu'il n'aura pas supprimé le nombre nécessaire de comptes membres existants dans la région. Lorsqu'une organisation atteint ce quota, nous en informons l'administrateur Macie en créant un AWS Health événement pour son compte. Nous envoyons également un e-mail à l'adresse associée à leur compte.

  Si vous êtes l'administrateur Macie d'une organisation, vous pouvez déterminer le nombre de comptes de membres actuellement associés à votre compte en utilisant la page **Comptes** de la console Amazon Macie ou en utilisant [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Pour de plus amples informations, veuillez consulter [Révision des comptes Macie d'une organisation](accounts-mgmt-ao-review.md).
+ Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Cela signifie qu'un compte ne peut pas accepter une invitation Macie provenant d'un autre compte s'il est déjà associé au compte administrateur Macie d'une organisation dans. AWS Organizations

  De même, si un compte a déjà accepté une invitation, l'administrateur Macie d'une organisation ne AWS Organizations peut pas ajouter le compte en tant que compte membre Macie. Le compte doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations.
+ Pour ajouter le compte AWS Organizations de gestion en tant que compte membre Macie, un utilisateur du compte de gestion doit d'abord activer Macie pour le compte. L'administrateur Macie n'est pas autorisé à activer Macie pour le compte de gestion.
+ Si l'administrateur Macie supprime le compte d'un membre Macie :
  + Macie continue d'être activé pour le compte. Le compte devient un compte Macie autonome. Pour suspendre ou arrêter d'utiliser Macie, un utilisateur du compte doit suspendre (pause) ou désactiver (arrêter) Macie pour le compte.
  + La découverte automatique des données sensibles est désactivée pour le compte, si elle a été activée. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.
+ Un compte membre ne peut pas être dissocié de son compte administrateur Macie. Seul l'administrateur de Macie peut supprimer un compte en tant que compte de membre de Macie.

## Transition depuis une organisation basée sur les invitations
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

Si vous avez déjà associé un compte administrateur Macie à des comptes de membres en utilisant des invitations d'adhésion Macie, nous vous recommandons de désigner ce compte comme compte administrateur Macie délégué pour votre organisation dans. AWS Organizations Cela simplifie la transition depuis une organisation basée sur les invitations.

Dans ce cas, tous les comptes de membres actuellement associés restent membres. Si un compte membre fait partie de votre organisation dans AWS Organizations, l'association du compte passe automatiquement de **By invitation** à **Via AWS Organizations** in Macie. Si le compte d'un membre ne fait pas partie de votre organisation dans AWS Organizations, l'association du compte continue **d'être sur invitation**. Dans les deux cas, les comptes continuent d'être associés au compte administrateur Macie délégué en tant que comptes de membre. En ce qui concerne la découverte de données sensibles, cela signifie également que les comptes peuvent continuer à accéder aux données statistiques et autres données produites et fournies directement par Macie tout en effectuant une découverte automatique des données sensibles pour les comptes. En outre, si l'administrateur Macie a configuré des tâches de découverte de données sensibles pour analyser les données des comptes, les exécutions de tâches suivantes continueront d'inclure les ressources détenues par les comptes.

Nous recommandons cette approche car un compte ne peut pas être associé à plusieurs comptes d'administrateur Macie à la fois. Si vous désignez un autre compte comme compte administrateur Macie pour votre organisation dans AWS Organizations, l'administrateur désigné ne pourra pas gérer les comptes déjà associés à un autre compte administrateur Macie sur invitation. Chaque compte membre doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations. L'administrateur Macie de votre organisation AWS Organizations peut ensuite ajouter le compte en tant que compte membre Macie et commencer à gérer le compte.

Après avoir intégré Macie à Macie AWS Organizations et configuré votre organisation dans Macie, vous pouvez éventuellement désigner un compte administrateur Macie différent pour l'organisation. Vous pouvez également continuer à utiliser des invitations pour associer et gérer des comptes de membres qui ne font pas partie de votre organisation AWS Organizations.

# Intégration et configuration d'une organisation dans Macie
<a name="accounts-mgmt-ao-integrate"></a>

Pour commencer à utiliser Amazon Macie avec AWS Organizations, le compte de AWS Organizations gestion de l'organisation désigne un compte en tant que compte administrateur Macie délégué pour l'organisation. Cela permet à Macie de devenir un service de confiance dans AWS Organizations. Il active également Macie en cours Région AWS pour le compte administrateur désigné, et il permet au compte administrateur désigné d'activer et de gérer Macie pour les autres comptes de l'organisation dans cette région. Pour plus d'informations sur la manière dont ces autorisations sont accordées, voir [Utilisation AWS Organizations avec d'autres personnes Services AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) dans le *Guide de AWS Organizations l'utilisateur*.

L'administrateur délégué de Macie configure ensuite l'organisation dans Macie, principalement en ajoutant les comptes de l'organisation en tant que comptes de membres de Macie dans la région. L'administrateur peut ensuite accéder à certains paramètres, données et ressources Macie pour ces comptes dans cette région. Ils peuvent également effectuer une découverte automatique des données sensibles et exécuter des tâches de découverte de données sensibles pour détecter les données sensibles dans les compartiments Amazon Simple Storage Service (Amazon S3) détenus par les comptes.

Cette rubrique explique comment désigner un administrateur Macie délégué pour une organisation et comment ajouter les comptes de l'organisation en tant que comptes de membres Macie. Avant d'effectuer ces tâches, assurez-vous de bien comprendre la [relation entre les comptes administrateur et membre de Macie](accounts-mgmt-relationships.md). Il est également conseillé de passer en revue les [considérations et les recommandations](accounts-mgmt-ao-notes.md) relatives à l'utilisation de Macie avec AWS Organizations.

**Topics**
+ [Étape 1 : Vérifier vos autorisations](#accounts-mgmt-ao-admin-designate-permissions)
+ [Étape 2 : Désigner le compte administrateur Macie délégué](#accounts-mgmt-ao-admin-designate)
+ [Étape 3 : activer et ajouter automatiquement de nouveaux comptes d'organisation](#accounts-mgmt-ao-members-autoenable)
+ [Étape 4 : activer et ajouter des comptes d'organisation existants](#accounts-mgmt-ao-members-add-existing)

Pour intégrer et configurer l'organisation dans plusieurs régions, le compte AWS Organizations de gestion et l'administrateur Macie délégué répètent ces étapes dans chaque région supplémentaire.

## Étape 1 : Vérifier vos autorisations
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

Avant de désigner le compte administrateur Macie délégué pour votre organisation, vérifiez que vous (en tant qu'utilisateur du compte de AWS Organizations gestion) êtes autorisé à effectuer l'action Macie suivante : `macie2:EnableOrganizationAdminAccount` Cette action vous permet de désigner le compte administrateur Macie délégué pour votre organisation à l'aide de Macie.

Vérifiez également que vous êtes autorisé à effectuer les AWS Organizations actions suivantes :
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

Ces actions vous permettent de : récupérer des informations sur votre organisation ; intégrer Macie à AWS Organizations ; récupérer des informations à propos desquelles Services AWS vous avez intégré AWS Organizations ; et désigner un compte administrateur Macie délégué pour votre organisation.

Pour accorder ces autorisations, incluez la déclaration suivante dans une politique Gestion des identités et des accès AWS (IAM) pour votre compte :

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

Si vous souhaitez désigner votre compte AWS Organizations de gestion comme compte administrateur Macie délégué pour l'organisation, votre compte doit également être autorisé à effectuer l'action IAM suivante :. `CreateServiceLinkedRole` Cette action vous permet d'activer Macie pour le compte de gestion. Toutefois, conformément aux meilleures pratiques en matière de AWS sécurité et au principe du moindre privilège, nous vous déconseillons de le faire.

Si vous décidez d'accorder cette autorisation, ajoutez la déclaration suivante à la politique IAM de votre compte AWS Organizations de gestion :

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

Dans le relevé, remplacez-le *111122223333* par le numéro de compte du compte de gestion.

Si vous souhaitez administrer Macie dans le cadre d'un opt-in Région AWS (région désactivée par défaut), mettez également à jour la valeur du principal de service Macie dans l'`Resource`élément et la condition. `iam:AWSServiceName` La valeur doit spécifier le code de région pour la région. *Par exemple, pour administrer Macie dans la région du Moyen-Orient (Bahreïn), dont le code de région est me-south-1, procédez comme suit :*
+ Dans l'`Resource`élément, remplacez

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  avec

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  Where *111122223333* indique l'identifiant du compte de gestion et *me-south-1* le code de région de la région.
+ Dans la `iam:AWSServiceName` condition, remplacez `macie.amazonaws.com` par`macie.me-south-1.amazonaws.com`, où *me-south-1* indique le code de région pour la région.

Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS* Pour déterminer si une région est une région optionnelle, consultez la section [Activer ou désactiver Régions AWS dans votre compte dans](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) le *guide de l'Gestion de compte AWS utilisateur*.

## Étape 2 : Désigner le compte administrateur Macie délégué pour l'organisation
<a name="accounts-mgmt-ao-admin-designate"></a>

Après avoir vérifié vos autorisations, vous (en tant qu'utilisateur du compte de AWS Organizations gestion) pouvez désigner le compte administrateur Macie délégué pour votre organisation.

**Pour désigner le compte administrateur Macie délégué pour une organisation**  
Pour désigner le compte administrateur Macie délégué pour votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Seul un utilisateur du compte AWS Organizations de gestion peut effectuer cette tâche.

------
#### [ Console ]

Procédez comme suit pour désigner le compte administrateur Macie délégué à l'aide de la console Amazon Macie.

**Pour désigner le compte administrateur Macie délégué**

1. Connectez-vous à l' AWS Management Console aide de votre compte AWS Organizations de gestion.

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez désigner le compte d'administrateur Macie délégué pour votre organisation.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Procédez de l'une des manières suivantes, selon que Macie est activé ou non pour votre compte de gestion dans la région actuelle :
   + Si Macie n'est pas activé, choisissez **Commencer** sur la page d'accueil.
   + Si Macie est activé, choisissez **Paramètres** dans le volet de navigation.

1. Sous **Administrateur délégué**, entrez l'identifiant de compte à 12 chiffres pour le compte Compte AWS que vous souhaitez désigner comme compte administrateur Macie.

1. Choisisssez **Delegate** (Déléguer).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez intégrer votre organisation à Macie. Vous devez désigner le même compte administrateur Macie dans chacune de ces régions.

------
#### [ API ]

Pour désigner le compte administrateur Macie délégué par programmation, utilisez le [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)fonctionnement de l'API Amazon Macie. Pour désigner le compte dans plusieurs régions, soumettez la désignation de chaque région dans laquelle vous souhaitez intégrer votre organisation à Macie. Vous devez désigner le même compte administrateur Macie dans chacune de ces régions.

Lorsque vous soumettez la désignation, utilisez le `adminAccountId` paramètre requis pour spécifier l'identifiant de compte à 12 chiffres Compte AWS à désigner comme compte administrateur Macie pour l'organisation. Assurez-vous également de spécifier la région à laquelle la désignation s'applique.

Pour désigner le compte administrateur Macie à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)commande. Pour le `admin-account-id` paramètre, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner. Utilisez le `region` paramètre pour spécifier la région à laquelle la désignation s'applique. Par exemple :

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

Où se *us-east-1* trouve la région à laquelle s'applique la désignation (région de l'est des États-Unis (Virginie du Nord)) et quel *111122223333* est le numéro de compte du compte à désigner ?

------

Après avoir désigné le compte administrateur Macie pour votre organisation, l'administrateur Macie peut commencer à configurer l'organisation dans Macie.

## Étape 3 : activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie
<a name="accounts-mgmt-ao-members-autoenable"></a>

Par défaut, Macie n'est pas automatiquement activé pour les nouveaux comptes lorsque ceux-ci sont ajoutés à votre organisation dans AWS Organizations. De plus, les comptes ne sont pas automatiquement ajoutés en tant que comptes membres de Macie. Les comptes apparaissent dans l'inventaire des comptes de l'administrateur Macie. Cependant, Macie n'est pas nécessairement activé pour les comptes et l'administrateur Macie ne peut pas nécessairement accéder aux paramètres, aux données et aux ressources de Macie pour les comptes.

Si vous êtes l'administrateur Macie délégué de l'organisation, vous pouvez modifier ce paramètre de configuration. Vous pouvez activer l'activation automatique pour votre organisation. Dans ce cas, Macie est automatiquement activé pour les nouveaux comptes lorsque ceux-ci sont ajoutés à votre organisation dans AWS Organizations. De plus, les comptes sont automatiquement associés à votre compte administrateur Macie en tant que comptes membres. L'activation de ce paramètre n'affecte pas les comptes existants de votre organisation. Pour activer et gérer Macie pour les comptes existants, vous devez ajouter manuellement les comptes en tant que comptes membres Macie. L'[étape suivante](#accounts-mgmt-ao-members-add-existing) explique comment procéder.

**Note**  
Si vous activez l'activation automatique, notez l'exception suivante. Si un nouveau compte est déjà associé à un autre compte administrateur Macie, Macie n'ajoute pas automatiquement le compte en tant que compte membre de votre organisation. Le compte doit être dissocié de son compte administrateur Macie actuel avant de pouvoir faire partie de votre organisation dans Macie. Vous pouvez ensuite ajouter le compte manuellement. Pour identifier les comptes dans lesquels c'est le cas, vous pouvez [consulter l'inventaire des comptes](accounts-mgmt-ao-review.md) de votre organisation.

**Pour activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie**  
Pour activer et ajouter automatiquement de nouveaux comptes en tant que comptes membres Macie, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Seul l'administrateur Macie délégué de l'organisation peut effectuer cette tâche.

------
#### [ Console ]

Pour effectuer cette tâche à l'aide de la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante : `organizations:ListAccounts` Cette action vous permet de récupérer et d'afficher des informations sur les comptes de votre organisation. Si vous disposez de ces autorisations, suivez ces étapes pour activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie.

**Pour activer et ajouter automatiquement de nouveaux comptes d'organisation**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer et ajouter automatiquement de nouveaux comptes en tant que comptes membres Macie.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

1. Sur la page **Comptes**, dans la section **Nouveaux comptes**, choisissez **Modifier**.

1. Dans la boîte de dialogue **Modifier les paramètres pour les nouveaux comptes**, sélectionnez **Activer Macie**.

   Pour activer également la découverte automatique des données sensibles pour les nouveaux comptes membres, sélectionnez **Activer la découverte automatique des données sensibles**. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md).

1. Choisissez **Enregistrer**.

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez configurer votre organisation dans Macie.

Pour modifier ultérieurement ces paramètres, répétez les étapes précédentes et décochez la case correspondant à chaque paramètre.

------
#### [ API ]

Pour activer et ajouter automatiquement de nouveaux comptes membres Macie par programmation, utilisez l'API [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html)Amazon Macie. Lorsque vous soumettez votre demande, définissez la valeur du `autoEnable` paramètre sur`true`. (La valeur par défaut est `false`.) Assurez-vous également de spécifier la région à laquelle s'applique votre demande. Pour activer et ajouter automatiquement de nouveaux comptes dans des régions supplémentaires, soumettez la demande pour chaque région supplémentaire.

Si vous utilisez le AWS CLI pour envoyer la demande, exécutez la [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)commande et spécifiez le `auto-enable` paramètre pour activer et ajouter de nouveaux comptes automatiquement. Par exemple :

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

Où se *us-east-1* trouve la région dans laquelle il est possible d'activer et d'ajouter automatiquement de nouveaux comptes, la région USA Est (Virginie du Nord).

Pour modifier ultérieurement ce paramètre et arrêter d'activer et d'ajouter automatiquement de nouveaux comptes, réexécutez la même commande et utilisez le `no-auto-enable` paramètre, au lieu du `auto-enable` paramètre, dans chaque région applicable.

Vous pouvez également activer la découverte automatique des données sensibles pour les nouveaux comptes membres. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md). Pour activer automatiquement cette fonctionnalité pour les comptes des membres, utilisez l'[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)opération ou, si vous utilisez le AWS CLI, exécutez la [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)commande.

------

## Étape 4 : activer et ajouter des comptes d'organisation existants en tant que comptes membres Macie
<a name="accounts-mgmt-ao-members-add-existing"></a>

Lorsque vous intégrez Macie à Macie AWS Organizations, Macie n'est pas automatiquement activé pour tous les comptes existants de votre organisation. De plus, les comptes ne sont pas automatiquement associés au compte administrateur Macie délégué en tant que comptes de membre Macie. Par conséquent, la dernière étape de l'intégration et de la configuration de votre organisation dans Macie consiste à ajouter des comptes d'organisation existants en tant que comptes membres de Macie. Lorsque vous ajoutez un compte existant en tant que compte membre Macie, Macie est automatiquement activé pour le compte et vous (en tant qu'administrateur Macie délégué) avez accès à certains paramètres, données et ressources Macie du compte.

Notez que vous ne pouvez pas ajouter un compte actuellement associé à un autre compte administrateur Macie. Pour ajouter le compte, contactez le propriétaire du compte pour dissocier d'abord le compte de son compte administrateur actuel. De plus, vous ne pouvez pas ajouter de compte existant si Macie est actuellement suspendu pour ce compte. Le titulaire du compte doit d'abord réactiver Macie pour le compte. Enfin, si vous souhaitez ajouter le compte de AWS Organizations gestion en tant que compte membre, un utilisateur de ce compte doit d'abord activer Macie pour le compte.

**Pour activer et ajouter des comptes d'organisation existants en tant que comptes membres de Macie**  
Pour activer et ajouter des comptes d'organisation existants en tant que comptes membres de Macie, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Seul l'administrateur Macie délégué de l'organisation peut effectuer cette tâche.

------
#### [ Console ]

Pour effectuer cette tâche à l'aide de la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante : `organizations:ListAccounts` Cette action vous permet de récupérer et d'afficher des informations sur les comptes de votre organisation. Si vous disposez de ces autorisations, suivez ces étapes pour activer et ajouter des comptes existants en tant que comptes membres Macie.

**Pour activer et ajouter des comptes d'organisation existants**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer et ajouter des comptes existants en tant que comptes membres Macie.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte Macie.

   Si un compte fait partie de votre organisation dans AWS Organizations, son **type** est **Via AWS Organizations**. Si un compte est déjà un compte membre de Macie, son **statut** est **Activé** **ou Suspendu (suspendu)**.

1. Dans le tableau **des comptes existants**, cochez la case correspondant à chaque compte que vous souhaitez ajouter en tant que compte membre Macie.

1. Dans le menu **Actions**, choisissez **Ajouter un membre**.

1. Confirmez que vous souhaitez ajouter les comptes sélectionnés en tant que comptes membres.

Une fois que vous avez confirmé l'ajout des comptes sélectionnés, le statut des comptes passe à **Activation en cours**, puis à **Activé**. Après avoir ajouté un compte membre, vous pouvez également activer la découverte automatique des données sensibles pour le compte : dans le tableau **Comptes existants**, cochez la case correspondant à chaque compte pour laquelle l'activer, puis choisissez **Activer la découverte automatique des données sensibles** dans le menu **Actions**. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez configurer votre organisation dans Macie.

------
#### [ API ]

Pour activer et ajouter par programmation un ou plusieurs comptes existants en tant que comptes membres Macie, utilisez le [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chacun Compte AWS à activer et à ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour activer et ajouter des comptes existants dans d'autres régions, soumettez la demande pour chaque région supplémentaire.

Pour récupérer l'identifiant de compte et l'adresse e-mail d'un Compte AWS utilisateur à activer et à ajouter, vous pouvez éventuellement utiliser le [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Cette opération fournit des détails sur les comptes associés à votre compte Macie, y compris les comptes qui ne sont pas des comptes de membres de Macie. Si la valeur de la `relationshipStatus` propriété d'un compte n'est pas `Enabled` ou `Paused` si le compte n'est pas un compte de membre Macie.

Pour activer et ajouter un ou plusieurs comptes existants à l'aide de AWS CLI, exécutez la commande [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez activer et ajouter les comptes. Utilisez les `account` paramètres pour spécifier l'ID de compte et l'adresse e-mail de chacun Compte AWS à ajouter. Par exemple :

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

Où se *us-east-1* trouve la région dans laquelle activer et ajouter le compte en tant que compte membre Macie (la région USA Est (Virginie du Nord)), et les `account` paramètres spécifient l'ID du compte (*123456789012*) et l'adresse e-mail (*janedoe@example.com*) du compte.

Si votre demande aboutit, le statut (`relationshipStatus`) du compte spécifié est reporté `Enabled` à l'inventaire de votre compte.

Pour activer également la découverte automatique des données sensibles pour un ou plusieurs comptes, utilisez l'[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)opération ou, si vous utilisez le AWS CLI, exécutez la commande [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md).

------

# Révision des comptes Macie d'une organisation
<a name="accounts-mgmt-ao-review"></a>

Une fois qu'une AWS Organizations organisation est [intégrée et configurée](accounts-mgmt-ao-integrate.md) dans Amazon Macie, l'administrateur Macie délégué peut accéder à un inventaire des comptes de l'organisation dans Macie. En tant qu'administrateur Macie d'une organisation, vous pouvez utiliser cet inventaire pour consulter les statistiques et les détails des comptes Macie de votre organisation dans un. Région AWS Vous pouvez également l'utiliser pour [effectuer certaines tâches de gestion](accounts-mgmt-ao-administer.md) des comptes.

**Pour consulter les comptes Macie d'une organisation**  
Pour consulter les comptes de votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Si vous préférez utiliser la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante : `organizations:ListAccounts` Cette action vous permet de récupérer et d'afficher des informations sur les comptes qui font partie de votre organisation dans AWS Organizations.

------
#### [ Console ]

Suivez ces étapes pour consulter les comptes Macie de votre organisation à l'aide de la console Amazon Macie.

**Pour consulter les comptes de votre organisation**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez consulter les comptes de votre organisation.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

La page **Comptes** s'ouvre et affiche des statistiques agrégées ainsi qu'un tableau des comptes actuellement Région AWS associés à votre compte Macie.

En haut de la page **Comptes**, vous trouverez les statistiques agrégées suivantes.

**Via AWS Organizations**  
**Active** indique le nombre total de comptes associés à votre compte par le biais de comptes membres Macie de votre organisation AWS Organizations et qui sont actuellement membres de Macie. Macie est activé pour ces comptes et vous êtes l'administrateur Macie des comptes.  
**All** indique le nombre total de comptes associés à votre compte via AWS Organizations. Cela inclut les comptes qui ne sont pas actuellement des comptes membres de Macie. Cela inclut également les comptes de membres pour lesquels Macie est actuellement suspendu.

**Sur invitation**  
**Active** indique le nombre total de comptes associés à votre compte sur invitation de Macie et qui sont actuellement des comptes membres Macie de votre organisation. Ces comptes ne sont pas associés à votre compte par le biais de AWS Organizations. Macie est activé pour les comptes et vous êtes l'administrateur Macie des comptes car ils ont accepté une invitation d'adhésion à Macie de votre part.  
**All** indique le nombre total de comptes associés à votre compte par invitation Macie, y compris les comptes qui n'ont pas répondu à une invitation de votre part.

**Actif/Tout**  
**Active** indique le nombre total de comptes pour lesquels Macie est actuellement activé dans votre organisation, y compris le vôtre. Vous êtes l'administrateur Macie de ces comptes via AWS Organizations ou sur invitation de Macie.  
**All** indique le nombre total de comptes associés à votre compte, via AWS Organizations ou sur invitation de Macie, plus votre propre compte. Cela inclut les comptes qui font partie de votre organisation AWS Organizations et qui ne sont pas actuellement des comptes membres de Macie. Cela inclut également tous les comptes qui n'ont pas répondu à une invitation d'adhésion à Macie de votre part.

Dans le tableau, vous trouverez des informations sur chaque compte de la région actuelle. Le tableau inclut tous les comptes associés à votre compte Macie via AWS Organizations ou par invitation Macie.

**ID de compte**  
L'identifiant du compte et l'adresse e-mail du Compte AWS.

**Nom**  
Le nom du compte pour Compte AWS. Cette valeur est généralement **N/A** pour votre propre compte et pour tous les comptes associés à votre compte sur invitation de Macie.

**Type**  
Comment le compte est associé à votre compte, via AWS Organizations ou sur invitation de Macie. Pour votre propre compte, cette valeur est **Compte courant**.

**Statut**  
État de la relation entre votre compte et le compte. Pour un compte dans une AWS Organizations organisation (**Type** is **Via AWS Organizations**), les valeurs possibles sont les suivantes :  
+ **Compte suspendu** — Le compte Compte AWS est suspendu.
+ **Activé** — Le compte est un compte de membre Macie. Macie est activé pour le compte et vous êtes l'administrateur Macie du compte.
+ **Activation en cours** — Macie traite une demande d'activation et d'ajout du compte en tant que compte membre Macie.
+ **Non membre** : le compte fait partie de votre organisation, AWS Organizations mais il ne s'agit pas d'un compte de membre Macie.
+ **Suspendu (suspendu)** — Le compte est un compte de membre de Macie, mais Macie est actuellement suspendu pour le compte.
+ **Région désactivée** — Le compte fait partie de votre organisation AWS Organizations mais la région actuelle est désactivée pour le Compte AWS.
+ **Supprimé (dissocié)** — Le compte était auparavant un compte de membre Macie, mais il a ensuite été supprimé en tant que compte de membre. Vous avez dissocié le compte de votre compte administrateur Macie. Macie continue d'être activé pour le compte.

**Dernière mise à jour du statut**  
Lorsque vous ou le compte associé avez récemment effectué une action qui a eu une incidence sur la relation entre vos comptes.

**Découverte automatisée des données sensibles**  
Si la découverte automatique des données sensibles est actuellement activée ou désactivée pour le compte.

Pour trier le tableau en fonction d'un champ spécifique, choisissez l'en-tête de colonne du champ. Pour modifier l'ordre de tri, choisissez à nouveau l'en-tête de colonne. Pour filtrer le tableau, placez votre curseur dans la zone de filtre, puis ajoutez une condition de filtre pour un champ. Pour affiner davantage les résultats, ajoutez des conditions de filtre pour des champs supplémentaires.

------
#### [ API ]

Pour consulter les comptes de votre organisation par programmation, utilisez l'[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)API Amazon Macie et spécifiez la région à laquelle s'applique votre demande. Pour consulter les comptes dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Lorsque vous soumettez votre demande, utilisez le `onlyAssociated` paramètre pour spécifier les comptes à inclure dans la réponse. Par défaut, Macie renvoie des informations uniquement sur les comptes membres de Macie dans la région spécifiée via AWS Organizations ou sur invitation de Macie. Pour récupérer ces informations pour tous les comptes associés à votre compte Macie, y compris les comptes qui ne sont pas des comptes membres, incluez le `onlyAssociated` paramètre dans votre demande et définissez la valeur du paramètre sur`false`.

Pour consulter les comptes de votre organisation à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la commande [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html). Pour le `only-associated` paramètre, spécifiez si vous souhaitez inclure tous les comptes associés ou uniquement les comptes membres de Macie. Pour inclure uniquement les comptes des membres, omettez ce paramètre ou définissez la valeur du paramètre sur`true`. Pour inclure tous les comptes, définissez cette valeur sur`false`. Par exemple :

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

Où se *us-east-1* trouve la région à laquelle s'applique la demande, la région de l'Est des États-Unis (Virginie du Nord).

Si votre demande aboutit, Macie renvoie un `members` tableau. Le tableau contient un `member` objet pour chaque compte qui répond aux critères spécifiés dans la demande. Dans cet objet, le `relationshipStatus` champ indique l'état actuel de la relation entre votre compte et l'autre compte dans la région spécifiée. Pour un compte dans une AWS Organizations organisation, les valeurs possibles sont les suivantes :
+ `AccountSuspended`— Le Compte AWS est suspendu.
+ `Created`— Macie est en train de traiter une demande d'activation et d'ajout du compte en tant que compte membre Macie.
+ `Enabled`— Le compte est un compte de membre Macie. Macie est activé pour le compte et vous êtes l'administrateur Macie du compte.
+ `Paused`— Le compte est un compte de membre de Macie, mais Macie est actuellement suspendu (suspendu) pour le compte.
+ `RegionDisabled`— Le compte fait partie de votre organisation AWS Organizations , mais la région actuelle est désactivée pour le Compte AWS.
+ `Removed`— Le compte était auparavant un compte de membre Macie, mais il a ensuite été supprimé en tant que compte de membre. Vous avez dissocié le compte de votre compte administrateur Macie. Macie continue d'être activé pour le compte.

Pour plus d'informations sur les autres champs de l'`member`objet, consultez la section [Membres](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) du manuel *Amazon Macie API Reference*.

------

# Gérer les comptes des membres Macie pour une organisation
<a name="accounts-mgmt-ao-administer"></a>

Une fois qu'une AWS Organizations organisation est [intégrée et configurée](accounts-mgmt-ao-integrate.md) dans Amazon Macie, l'administrateur Macie délégué de l'organisation peut accéder à certains paramètres, données et ressources Macie pour les comptes des membres. En tant qu'administrateur Macie d'une organisation, vous pouvez utiliser Macie pour effectuer de manière centralisée certaines tâches de gestion et d'administration des comptes. Par exemple, vous pouvez effectuer les actions suivantes :
+ Ajoutez et supprimez des comptes en tant que comptes membres de Macie.
+ Gérez le statut de Macie pour les comptes individuels, par exemple en activant ou en suspendant Macie pour un compte.
+ Surveillez les quotas Macie et les coûts d'utilisation estimés pour les comptes individuels et pour l'organisation dans son ensemble.

Vous pouvez également consulter les données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et les conclusions relatives aux politiques relatives aux comptes membres de Macie. Et vous pouvez découvrir des données sensibles dans les compartiments S3 détenus par les comptes. Pour une liste détaillée des tâches que vous pouvez effectuer, consultez[Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md).

Par défaut, Macie vous donne une visibilité sur les données et les ressources pertinentes pour tous les comptes membres Macie de votre organisation. Vous pouvez également effectuer une analyse descendante pour examiner les données et les ressources des comptes individuels. Par exemple, si vous [utilisez le tableau de bord récapitulatif](monitoring-s3-dashboard.md) pour évaluer le niveau de sécurité de votre organisation sur Amazon S3, vous pouvez filtrer les données par compte. De même, si vous [surveillez les coûts d'utilisation estimés](account-mgmt-costs.md), vous pouvez accéder à la ventilation des coûts estimés pour les comptes de membres individuels.

Outre les tâches communes aux comptes d'administrateur et de membre, vous pouvez effectuer diverses tâches administratives pour votre organisation.

**Topics**
+ [Ajouter des comptes de membres](#accounts-mgmt-ao-members-add)
+ [Suspension de Macie pour les comptes des membres](#accounts-mgmt-ao-members-suspend)
+ [Supprimer des comptes de membres](#accounts-mgmt-ao-members-remove)

En tant qu'administrateur Macie d'une organisation, vous pouvez effectuer ces tâches à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Si vous préférez utiliser la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante :`organizations:ListAccounts`. Cette action vous permet de récupérer et d'afficher des informations sur les comptes qui font partie de votre organisation dans AWS Organizations.

## Ajouter des comptes de membres Macie à une organisation
<a name="accounts-mgmt-ao-members-add"></a>

Dans certains cas, vous devrez peut-être ajouter manuellement un compte en tant que compte de membre Amazon Macie. C'est le cas des comptes que vous avez précédemment supprimés (dissociés) en tant que comptes membres. C'est également le cas si vous n'avez pas configuré Macie pour [activer et ajouter automatiquement de nouveaux comptes de membres](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable) lorsque des comptes sont ajoutés à votre organisation dans AWS Organizations.

Lorsque vous ajoutez un compte en tant que compte membre Macie :
+ Macie est actuellement activé pour le compte Région AWS, s'il n'est pas déjà activé dans la région.
+ Le compte est associé à votre compte administrateur Macie en tant que compte membre dans la région. Le compte membre ne reçoit aucune invitation ou autre notification indiquant que vous avez établi cette relation entre vos comptes.
+ La découverte automatique des données sensibles peut être activée pour le compte dans la région. Cela dépend des paramètres de configuration que vous avez spécifiés pour l'organisation. Pour de plus amples informations, veuillez consulter [Configuration de la découverte automatique des données sensibles](discovery-asdd-account-manage.md).

Notez que vous ne pouvez pas ajouter un compte déjà associé à un autre compte administrateur Macie. Le compte doit d'abord se dissocier de son compte administrateur actuel. De plus, vous ne pouvez pas ajouter le compte AWS Organizations de gestion en tant que compte membre à moins que Macie ne soit déjà activé pour le compte. Pour en savoir plus sur les exigences supplémentaires, voir[Considérations relatives à l'utilisation de Macie avec AWS Organizations](accounts-mgmt-ao-notes.md).

**Pour ajouter un compte de membre Macie à une organisation**  
Pour ajouter un ou plusieurs comptes de membre Macie à votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour ajouter un ou plusieurs comptes de membre Macie à l'aide de la console Amazon Macie.

**Pour ajouter un compte membre Macie**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter un compte membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte.

1. (Facultatif) Pour identifier plus facilement les comptes qui font partie de votre organisation AWS Organizations et qui ne sont pas des comptes membres de Macie, utilisez le champ de filtre situé au-dessus du tableau **des comptes existants** pour ajouter les conditions de filtre suivantes :
   + **Type = Organisation**
   + **Statut = Non membre**

   Pour afficher également les comptes que vous avez précédemment supprimés et que vous souhaitez ajouter en tant que comptes membres, ajoutez également une condition de filtre **Status = Removed**.

1. Dans le tableau **Comptes existants**, cochez la case correspondant à chaque compte que vous souhaitez ajouter en tant que compte membre.

1. Dans le menu **Actions**, choisissez **Ajouter un membre**.

1. Confirmez que vous souhaitez ajouter les comptes sélectionnés en tant que comptes membres.

Une fois que vous avez confirmé vos sélections, le statut des comptes sélectionnés passe à **Activation en cours**, puis à **Activé** dans l'inventaire de votre compte.

Pour ajouter un compte membre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour ajouter un ou plusieurs comptes de membre Macie par programmation, utilisez l'API [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)Amazon Macie.

Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chaque compte Compte AWS que vous souhaitez ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour ajouter un compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'ID de compte et l'adresse e-mail d'un compte à ajouter, vous pouvez corréler le résultat du [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)fonctionnement de l' AWS Organizations API et le [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Pour le **ListMembers** fonctionnement de l'API Macie, incluez le `onlyAssociated` paramètre dans votre demande et définissez la valeur du paramètre sur`false`. Si l'opération aboutit, Macie renvoie un `members` tableau qui fournit des détails sur tous les comptes associés à votre compte administrateur Macie dans la région spécifiée, y compris les comptes qui ne sont pas actuellement des comptes membres. Notez ce qui suit dans le tableau :
+ Si la valeur de la `relationshipStatus` propriété d'un compte n'est pas `Enabled` ou `Paused` si le compte est associé à votre compte mais qu'il ne s'agit pas d'un compte de membre Macie.
+ Si un compte n'est pas inclus dans le tableau mais est inclus dans le résultat du **ListAccounts** fonctionnement de l' AWS Organizations API, le compte fait partie de votre organisation AWS Organizations mais n'est pas associé à votre compte et n'est donc pas un compte membre de Macie.

Pour ajouter un compte membre à l'aide de AWS Command Line Interface (AWS CLI), exécutez la commande [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle ajouter le compte. Utilisez les `account` paramètres pour spécifier l'ID de compte et l'adresse e-mail de chaque compte à ajouter. Par exemple :

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

Où se *us-east-1* trouve la région dans laquelle ajouter le compte en tant que compte membre (région USA Est (Virginie du Nord)), et les `account` paramètres spécifient l'ID du compte (*123456789012*) et l'adresse e-mail (*janedoe@example.com*) du compte.

Si votre demande aboutit, le statut (`relationshipStatus`) du compte spécifié est reporté `Enabled` à l'inventaire de votre compte.

------

## Suspension de Macie pour les comptes des membres d'une organisation
<a name="accounts-mgmt-ao-members-suspend"></a>

En tant qu'administrateur Amazon Macie d'une organisation dans AWS Organizations, vous pouvez suspendre Macie pour un compte de membre de votre organisation. Dans ce cas, vous pouvez également réactiver Macie pour le compte ultérieurement.

Lorsque vous suspendez Macie pour un compte de membre :
+ Macie perd actuellement Région AWS l'accès aux données Amazon S3 du compte et cesse de les fournir.
+ Macie cesse d'effectuer toutes les activités liées au compte dans la Région. Cela inclut la surveillance des compartiments S3 à des fins de sécurité et de contrôle d'accès, la découverte automatique des données sensibles et l'exécution des tâches de découverte de données sensibles en cours.
+ Macie annule toutes les tâches de découverte de données sensibles créées par le compte dans la région. Une tâche ne peut pas être reprise ou redémarrée après son annulation. Si vous avez créé des tâches pour analyser les données détenues par le compte du membre, Macie n'annule pas vos tâches. Au lieu de cela, les tâches ignorent les ressources détenues par le compte.

Pendant sa suspension, Macie conserve l'identifiant de session, les paramètres et les ressources qu'il stocke ou gère pour le compte dans la région applicable. Macie conserve également certaines données relatives au compte dans la Région. Par exemple, les résultats du compte restent intacts et ne sont pas affectés pendant 90 jours au maximum. Si la découverte automatique des données sensibles a été activée pour le compte, les résultats existants restent également intacts et ne sont pas affectés pendant 30 jours au maximum. Votre organisation n'a pas à payer de frais Macie pour le compte dans cette région tant que Macie est suspendu pour le compte dans la région.

**Pour suspendre Macie pour un compte de membre dans une organisation**  
Pour suspendre Macie pour un compte membre d'une organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour suspendre Macie pour un compte de membre à l'aide de la console Amazon Macie.

**Pour suspendre Macie pour un compte de membre**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez suspendre Macie pour un compte de membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte.

1. Dans le tableau **des comptes existants**, cochez la case correspondant au compte pour lequel Macie doit être suspendu.

1. Dans le menu **Actions**, choisissez **Suspendre Macie**.

1. Confirmez que vous souhaitez suspendre Macie pour le compte.

Une fois que vous avez confirmé la suspension, le statut du compte passe à **Suspendu (suspendu)** dans l'inventaire de votre compte. Pour suspendre Macie pour le compte dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

Pour réactiver Macie ultérieurement pour le compte, revenez à la page **Comptes** de la console. Cochez la case correspondant au compte, puis sélectionnez **Activer Macie** dans le menu **Actions**. Pour réactiver Macie pour le compte dans d'autres régions, répétez ces étapes dans chaque région supplémentaire.

------
#### [ API ]

Pour suspendre Macie pour un compte membre par programmation, utilisez l'API [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)Amazon Macie. Vous pouvez également utiliser cette opération pour réactiver ultérieurement Macie pour le compte.

Lorsque vous soumettez votre demande, utilisez le `id` paramètre pour spécifier l'identifiant de compte à 12 chiffres pour Compte AWS lequel vous souhaitez suspendre Macie. Pour le paramètre `status`, spécifiez `PAUSED`. Spécifiez également la région à laquelle s'applique la demande. Pour suspendre Macie pour le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte, vous pouvez utiliser [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le `onlyAssociated` paramètre dans votre demande. Si vous définissez la valeur de ce paramètre sur`true`, Macie renvoie un `members` tableau qui fournit des détails uniquement sur les comptes actuellement membres.

Pour suspendre Macie pour un compte de membre à l'aide de AWS CLI, exécutez la [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)commande. Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez suspendre Macie pour le compte. Utilisez le `id` paramètre pour spécifier l'ID du compte. Pour le paramètre `status`, spécifiez `PAUSED`. Par exemple :

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

Où se *us-east-1* trouve la région dans laquelle Macie doit être suspendue (région des États-Unis de l'Est (Virginie du Nord)), quel *123456789012* est le numéro de compte pour lequel Macie doit être suspendu et quel `PAUSED` est le nouveau statut de Macie pour le compte ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté `Paused` dans l'inventaire de votre compte. Pour réactiver Macie ultérieurement pour le compte, réexécutez la **update-member-session** commande et spécifiez le `ENABLED` `status` paramètre.

------

## Supprimer les comptes des membres Macie d'une organisation
<a name="accounts-mgmt-ao-members-remove"></a>

Si vous ne souhaitez plus accéder aux paramètres, aux données et aux ressources d'Amazon Macie pour un compte de membre, vous pouvez supprimer le compte en tant que compte de membre Macie. Pour ce faire, dissociez le compte de votre compte administrateur Macie. Notez que vous êtes le seul à pouvoir le faire pour un compte membre. Un compte AWS Organizations membre ne peut pas être dissocié de son compte administrateur Macie.

Lorsque vous supprimez un compte de membre Macie, Macie reste activé pour le compte en cours. Région AWS Cependant, le compte est dissocié de votre compte administrateur Macie et devient un compte Macie autonome. Cela signifie que vous perdez l'accès à tous les paramètres, données et ressources Macie du compte, y compris les métadonnées et les conclusions des politiques relatives aux données Amazon S3 du compte. Cela signifie également que vous ne pouvez plus utiliser Macie pour découvrir des données sensibles dans les compartiments S3 détenus par le compte. Si vous avez déjà créé des tâches de découverte de données sensibles à cette fin, les tâches ignorent les compartiments détenus par le compte. Si vous avez activé la découverte automatique des données sensibles pour le compte, vous et le compte du membre perdez l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.

Une fois que vous avez supprimé un compte de membre Macie, celui-ci continue d'apparaître dans l'inventaire de votre compte. Macie n'informe pas le propriétaire du compte que vous avez supprimé le compte. Par conséquent, pensez à contacter le propriétaire du compte pour vous assurer qu'il commence à gérer les paramètres et les ressources de son compte.

Vous pourrez ajouter le compte à nouveau à votre organisation ultérieurement. Si vous le faites et que vous réactivez la découverte automatique des données sensibles pour le compte dans les 30 jours, vous retrouverez également l'accès aux données et informations que Macie avait précédemment produites et fournies directement lors de la découverte automatique du compte. En outre, les exécutions suivantes de vos tâches existantes recommencent à inclure les compartiments S3 du compte.

**Pour supprimer un compte de membre Macie d'une organisation**  
Pour supprimer un compte de membre Macie de votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour supprimer un compte de membre Macie à l'aide de la console Amazon Macie.

**Pour supprimer un compte de membre Macie**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez supprimer un compte de membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte.

1. Dans le tableau **Comptes existants**, cochez la case correspondant au compte que vous souhaitez supprimer en tant que compte membre.

1. Dans le menu **Actions**, choisissez **Dissocier le compte**.

1. Confirmez que vous souhaitez supprimer le compte sélectionné en tant que compte membre.

Une fois que vous avez confirmé votre sélection, le statut du compte passe à **Supprimé (dissocié)** dans l'inventaire de votre compte.

Pour supprimer le compte de membre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour supprimer un compte de membre Macie par programmation, utilisez l'API [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)Amazon Macie.

Lorsque vous soumettez votre demande, utilisez le `id` paramètre pour spécifier l' Compte AWS identifiant à 12 chiffres du compte membre à supprimer. Spécifiez également la région à laquelle s'applique la demande. Pour supprimer le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte membre à supprimer, vous pouvez utiliser [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le `onlyAssociated` paramètre dans votre demande. Si vous définissez la valeur de ce paramètre sur`true`, Macie renvoie un `members` tableau qui fournit des détails uniquement sur les comptes actuellement membres de Macie.

Pour supprimer un compte membre Macie à l'aide de AWS CLI, exécutez la commande [disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez supprimer le compte. Utilisez le `id` paramètre pour spécifier l'ID de compte du membre à supprimer. Par exemple :

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

Où se *us-east-1* trouve la région dans laquelle le compte doit être supprimé (région USA Est (Virginie du Nord)) et quel *123456789012* est l'identifiant du compte à supprimer ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté `Removed` dans l'inventaire de votre compte.

------

# Modifier le compte administrateur Macie d'une organisation
<a name="accounts-mgmt-ao-admin-change"></a>

Une fois qu'une AWS Organizations organisation est [intégrée et configurée](accounts-mgmt-ao-integrate.md) dans Amazon Macie, le compte de AWS Organizations gestion peut désigner un autre compte en tant que compte administrateur Macie délégué pour l'organisation. Le nouvel administrateur Macie peut alors reconfigurer l'organisation dans Macie.

En tant qu'utilisateur du compte de AWS Organizations gestion d'une organisation, vérifiez que vous répondez aux exigences d'autorisation suivantes avant de désigner un autre compte administrateur Macie pour votre organisation :
+ Vous devez disposer des [mêmes autorisations](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions) que celles requises pour désigner initialement un compte administrateur Macie pour votre organisation. Vous devez également être autorisé à effectuer l' AWS Organizations action suivante :`organizations:DeregisterDelegatedAdministrator`. Cette action supplémentaire vous permet de supprimer la désignation actuelle.
+ Si votre compte est actuellement un compte membre Macie, l'administrateur Macie actuel doit supprimer votre compte en tant que compte membre Macie. Sinon, vous ne serez pas autorisé à accéder aux opérations Macie pour désigner un autre compte administrateur. Une fois que vous avez désigné un nouveau compte administrateur, le nouvel administrateur Macie peut à nouveau ajouter votre compte en tant que compte membre Macie.

Si votre organisation utilise Macie à plusieurs reprises Régions AWS, assurez-vous également de modifier la désignation dans chaque région dans laquelle votre organisation utilise Macie. Le compte administrateur Macie délégué doit être le même dans toutes ces régions. Si vous gérez plusieurs organisations dans AWS Organizations, notez également qu'un compte ne peut être le compte d'administrateur Macie délégué que pour une seule organisation à la fois. Pour en savoir plus sur les exigences supplémentaires, voir[Considérations relatives à l'utilisation de Macie avec AWS Organizations](accounts-mgmt-ao-notes.md).

**Note**  
Lorsque vous désignez un autre compte administrateur Macie pour votre organisation, vous désactivez également l'accès aux données statistiques existantes, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la [découverte automatique des données sensibles](discovery-asdd.md) pour les comptes de l'organisation. Le nouvel administrateur Macie ne peut pas accéder aux données existantes. Si vous modifiez la désignation et que le nouvel administrateur Macie active la découverte automatique des comptes, Macie génère et gère de nouvelles données lorsqu'il effectue la découverte automatique des comptes.

**Pour modifier la désignation d'un compte administrateur Macie**  
Pour désigner un compte administrateur Macie différent pour votre organisation, vous pouvez utiliser la console Amazon Macie ou une combinaison des deux. AWS Organizations APIs Seul un utilisateur du compte de AWS Organizations gestion peut modifier la désignation de son organisation.

------
#### [ Console ]

Procédez comme suit pour modifier la désignation à l'aide de la console Amazon Macie.

**Pour modifier la désignation**

1. Connectez-vous au en AWS Management Console utilisant votre compte AWS Organizations de gestion.

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez modifier la désignation.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Procédez de l'une des manières suivantes, selon que Macie est activé ou non pour votre compte de gestion dans la région actuelle :
   + Si Macie n'est pas activé, choisissez **Commencer** sur la page d'accueil.
   + Si Macie est activé, choisissez **Paramètres** dans le volet de navigation.

1. Sous **Administrateur délégué**, choisissez **Supprimer**. Pour modifier la désignation, vous devez d'abord supprimer la désignation actuelle.

1. Confirmez que vous souhaitez supprimer la désignation actuelle.

1. Sous **Administrateur délégué**, entrez l'identifiant de compte à 12 chiffres Compte AWS pour le désigner comme nouveau compte administrateur Macie pour l'organisation.

1. Choisisssez **Delegate** (Déléguer).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous avez intégré Macie. AWS Organizations

------
#### [ API ]

Pour modifier la désignation par programmation, vous devez utiliser deux opérations de l'API Amazon Macie et une opération de l'API. AWS Organizations En effet, vous devez supprimer la désignation actuelle à la fois dans Macie et AWS Organizations avant de soumettre la nouvelle désignation.

Pour supprimer la désignation actuelle :

1. Utilisez le [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)fonctionnement de l'API Macie. Pour le `adminAccountId` paramètre requis, spécifiez l'identifiant de compte à 12 chiffres pour Compte AWS le compte actuellement désigné comme le compte administrateur Macie de l'organisation.

1. Utilisez le [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)fonctionnement de l' AWS Organizations API. Pour le `AccountId` paramètre, spécifiez l'ID de compte à 12 chiffres du compte actuellement désigné comme compte administrateur Macie pour l'organisation. Cette valeur doit correspondre à l'identifiant de compte que vous avez spécifié dans la demande Macie précédente. Pour le `ServicePrincipal` paramètre, spécifiez le principal de service Macie (`macie.amazonaws.com`).

Après avoir supprimé la désignation actuelle, soumettez la nouvelle désignation en [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)utilisant l'API Macie. Pour le `adminAccountId` paramètre requis, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner comme nouveau compte administrateur Macie pour l'organisation.

Pour modifier la désignation à l'aide de AWS Command Line Interface (AWS CLI), exécutez la [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html)commande de l'API Macie et la [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html)commande de l' AWS Organizations API. Ces commandes suppriment la désignation actuelle dans Macie et AWS Organizations, respectivement. Pour les `account-id` paramètres `admin-account-id` et, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à supprimer en tant que compte administrateur Macie actuel. Utilisez le `region` paramètre pour spécifier la région à laquelle s'applique la suppression. Par exemple :

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

Où :
+ *us-east-1*est la région à laquelle s'applique la suppression, la région de l'est des États-Unis (Virginie du Nord).
+ *111122223333*est l'identifiant du compte à supprimer en tant que compte administrateur Macie.
+ `macie.amazonaws.com`est le directeur du service Macie.

Après avoir supprimé la désignation actuelle, soumettez la nouvelle désignation en exécutant la [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)commande de l'API Macie. Pour le `admin-account-id` paramètre, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner comme nouveau compte administrateur Macie pour l'organisation. Utilisez le `region` paramètre pour spécifier la région à laquelle la désignation s'applique. Par exemple :

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

Où se *us-east-1* trouve la région à laquelle s'applique la désignation (la région des États-Unis de l'Est (Virginie du Nord)) et *444455556666* l'identifiant du compte à désigner comme nouveau compte administrateur Macie.

------

# Désactivation de l'intégration de Macie avec AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

Une fois qu'une AWS Organizations organisation est intégrée à Amazon Macie, le compte AWS Organizations de gestion peut ensuite désactiver l'intégration. En tant qu'utilisateur du compte de AWS Organizations gestion, vous pouvez le faire en désactivant l'accès aux services sécurisés pour Macie in. AWS Organizations

Lorsque vous désactivez l'accès aux services sécurisés pour Macie, les événements suivants se produisent :
+ Macie perd son statut de service de confiance en AWS Organizations.
+ Le compte administrateur Macie de l'organisation perd l'accès à tous les paramètres, données et ressources Macie pour tous les comptes de membres Macie. Régions AWS
+ Tous les comptes des membres Macie deviennent des comptes Macie autonomes. Si Macie a été activé pour un compte membre dans une ou plusieurs régions, Macie continue d'être activé pour le compte dans ces régions. Toutefois, le compte n'est plus associé à un compte administrateur Macie dans aucune région. En outre, le compte perd l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de données sensibles pour le compte.

Pour plus d'informations sur les conséquences de la désactivation de l'accès aux services sécurisés, consultez la section [Utilisation AWS Organizations avec d'autres](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) personnes Services AWS dans le *Guide de l'AWS Organizations utilisateur*. 

**Pour désactiver l'accès sécurisé aux services pour Macie**  
Pour désactiver l'accès aux services sécurisés, vous pouvez utiliser la AWS Organizations console ou l' AWS Organizations API. Seul un utilisateur du compte de AWS Organizations gestion peut désactiver l'accès aux services sécurisés pour Macie. Pour plus de détails sur les autorisations dont vous avez besoin, consultez la section [Autorisations requises pour désactiver l'accès sécurisé](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) dans le *Guide de AWS Organizations l'utilisateur*.

Avant de désactiver l'accès aux services sécurisés, contactez éventuellement l'administrateur Macie délégué de votre organisation afin de suspendre ou de désactiver Macie pour les comptes des membres et de nettoyer les ressources Macie pour les comptes.

------
#### [ Console ]

Pour désactiver l'accès aux services sécurisés à l'aide de la AWS Organizations console, procédez comme suit.

**Pour désactiver l'accès au service approuvé**

1. Connectez-vous à l' AWS Management Console aide de votre compte AWS Organizations de gestion.

1. Ouvrez la AWS Organizations console à l'adresse [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Dans le panneau de navigation, choisissez **Services**.

1. Dans **Services intégrés**, sélectionnez **Amazon Macie**.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Confirmez que vous souhaitez désactiver l'accès sécurisé.

------
#### [ API ]

Pour désactiver l'accès aux services sécurisés par programmation, utilisez l'opération [Désactiver l'AWSServiceaccès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de l' AWS Organizations API. Pour le `ServicePrincipal` paramètre, spécifiez le principal de service Macie (`macie.amazonaws.com`).

Pour désactiver l'accès aux services sécurisés à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)commande de l' AWS Organizations API. Pour le `service-principal` paramètre, spécifiez le principal de service Macie (`macie.amazonaws.com`). Par exemple :

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------