Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gérer plusieurs comptes Macie en tant qu'organisation
<a name="macie-accounts"></a>

Si votre AWS environnement comporte plusieurs comptes, vous pouvez associer les comptes Amazon Macie à votre environnement et les gérer de manière centralisée en tant qu'organisation dans Macie. Grâce à cette configuration, un administrateur Macie désigné peut évaluer et surveiller le niveau de sécurité global du parc de données Amazon Simple Storage Service (Amazon S3) de votre entreprise, et découvrir des données sensibles dans les compartiments S3 de votre entreprise. L'administrateur peut également effectuer diverses tâches de gestion et d'administration des comptes à grande échelle, telles que le suivi des coûts d'utilisation estimés et l'évaluation des quotas de compte.

Dans Macie, une organisation se compose d'un compte administrateur Macie désigné et d'un ou plusieurs comptes de membres associés. Vous pouvez associer les comptes de deux manières : en intégrant Macie à Macie AWS Organizations ou en envoyant et en acceptant des invitations d'adhésion dans Macie. Nous vous recommandons d'intégrer Macie à AWS Organizations.

AWS Organizations est un service mondial de gestion de comptes qui permet aux AWS administrateurs de consolider et de gérer de manière centralisée plusieurs comptes Comptes AWS. Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs Services AWS applications, notamment Macie et Amazon GuardDuty. AWS Security Hub CSPM Pour en savoir plus, consultez le [AWS Organizations guide de l'utilisateur](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Si vous préférez gérer de manière centralisée plusieurs comptes Macie sans les utiliser AWS Organizations, vous pouvez plutôt utiliser des invitations d'adhésion. Si vous envoyez une invitation et qu'elle est acceptée par un autre compte, votre compte devient le compte administrateur Macie de cet autre compte. Si vous recevez et acceptez une invitation, votre compte devient un compte membre Macie et le compte administrateur Macie peut accéder à certains paramètres, données et ressources de votre compte Macie et les gérer.

**Topics**
+ [Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md)
+ [Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md)
+ [Gérer plusieurs comptes Macie sur invitation](accounts-mgmt-invitations.md)

# Relations entre l'administrateur Macie et le compte membre
<a name="accounts-mgmt-relationships"></a>

Si vous gérez de manière centralisée plusieurs comptes Amazon Macie en tant qu'organisation, l'administrateur Macie a accès aux données d'inventaire Amazon Simple Storage Service (Amazon S3), aux conclusions des politiques, ainsi qu'à certains paramètres et ressources Macie pour les comptes membres associés. L'administrateur peut également activer la découverte automatique des données sensibles et exécuter des tâches de découverte de données sensibles pour détecter les données sensibles dans les compartiments S3 détenus par les comptes membres. Support pour des tâches spécifiques varie selon qu'un compte administrateur Macie est associé à un compte membre via AWS Organizations ou sur invitation.

Le tableau suivant fournit des détails sur la relation entre les comptes administrateur et membre de Macie. Il indique les autorisations par défaut pour chaque type de compte. Pour restreindre davantage l'accès aux fonctionnalités et aux opérations de Macie, vous pouvez utiliser des politiques personnalisées [Gestion des identités et des accès AWS (IAM).](security-iam.md)

Dans le tableau :
+ **Self** indique que le compte ne peut effectuer la tâche pour aucun compte associé.
+ **Tout** indique que le compte peut effectuer la tâche pour un compte associé individuel.
+ **Tout** indique que le compte peut exécuter la tâche et que celle-ci s'applique à tous les comptes associés.

Un tiret (—) indique que le compte ne peut pas effectuer la tâche.


| 
| 
| **Tâche** | **À travers AWS Organizations** | **Sur invitation** | 
| --- |--- |--- |
| **Administrateur** | **Membre** | **Administrateur** | **Membre** | 
| --- |--- |--- |--- |
| Activation de Macie | N’importe lequel | – | Auto-utilisateur | Self | 
| Consulter l'inventaire des comptes de l'organisation [1](#accounts-mgmt-relationships-note-inventory) | Tous | – | Tous | – | 
| Ajouter un compte membre | N’importe lequel | – | N’importe lequel | – | 
| Consultez les statistiques et les métadonnées des compartiments S3 | Tous | Self | Tous | Self | 
| Affichage des résultats de la stratégie | Tous | Self | Tous | Self | 
| Supprimer (archiver) les résultats des politiques [2](#accounts-mgmt-relationships-note-suppress-policy) | Tous | – | Tous | – | 
| Publier les conclusions des politiques [3](#accounts-mgmt-relationships-note-publish-policy) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Configuration d'un référentiel pour les résultats de découverte de données sensibles [4](#accounts-mgmt-relationships-note-sddr) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Création et utilisation de listes d'autorisation | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Création et utilisation d'identifiants de données personnalisés | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Configuration des paramètres de découverte automatique des données sensibles | Tous | – | Tous | – | 
| Activer ou désactiver la découverte automatique des données sensibles | N’importe lequel | – | N’importe lequel | – | 
| Passez en revue les statistiques, les données et les résultats de découverte automatique de données sensibles [5](#accounts-mgmt-relationships-note-asdd-sdfs) | Tous | Self | Tous | Self | 
| Création et exécution de tâches de découverte de données sensibles [6](#accounts-mgmt-relationships-note-jobs) | N’importe lequel | Self | N’importe lequel | Self | 
| Consultez les détails des tâches de découverte de données sensibles [7](#accounts-mgmt-relationships-note-job-details) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Examiner les résultats relatifs aux données sensibles [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Supprimer (archiver) les résultats de données sensibles [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Publier les résultats relatifs aux données sensibles [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Configurer Macie pour récupérer des échantillons de données sensibles pour les résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Récupérez des échantillons de données sensibles pour les résultats [9](#accounts-mgmt-relationships-note-sdsamples) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Configuration des destinations de publication pour les résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Définir la fréquence de publication des résultats | Tous | Self | Tous | Self | 
| Créez des exemples de résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Vérifiez les quotas de compte et les coûts d'utilisation estimés | Tous | Self | Tous | Self | 
| [Suspendez Macie 10](#accounts-mgmt-relationships-note-suspend) | N’importe lequel | – | N’importe lequel | Self | 
| [Désactiver Macie 11](#accounts-mgmt-relationships-note-disable) | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Self | 
| Supprimer (dissocier) un compte membre | N’importe lequel | – | N’importe lequel | – | 
| Dissocier d'un compte administrateur | – | – | – | Self | 
| Supprimer une association avec un autre compte [12](#accounts-mgmt-relationships-note-delete) | N’importe lequel | – | N’importe lequel | Self | 

1. <a name="accounts-mgmt-relationships-note-inventory"></a>L'administrateur d'une organisation AWS Organizations peut consulter tous les comptes de l'organisation, y compris les comptes pour lesquels Macie n'est pas activé. L'administrateur d'une organisation basée sur des invitations ne peut consulter que les comptes qu'il ajoute à son inventaire.

1. <a name="accounts-mgmt-relationships-note-suppress-policy"></a>Seul un administrateur peut supprimer les résultats des politiques. Si un administrateur crée une règle de suppression, Macie l'applique aux conclusions des politiques pour tous les comptes de l'organisation, sauf si la règle est configurée pour exclure des comptes spécifiques. Si un membre crée une règle de suppression, Macie ne l'applique pas aux conclusions de politique relatives au compte du membre.

1. <a name="accounts-mgmt-relationships-note-publish-policy"></a>Seul le compte propriétaire d'une ressource affectée peut publier les conclusions des politiques relatives à la ressource AWS Security Hub CSPM. Les comptes administrateur et membre publient automatiquement sur Amazon les conclusions des politiques relatives à une ressource affectée EventBridge.

1. <a name="accounts-mgmt-relationships-note-sddr"></a>Si un administrateur active la découverte automatique des données sensibles ou configure une tâche pour analyser des objets dans des compartiments S3 détenus par un compte membre, Macie stocke les résultats de la découverte de données sensibles dans le référentiel du compte administrateur.

1. <a name="accounts-mgmt-relationships-note-asdd-sdfs"></a>Seul un administrateur peut accéder aux résultats relatifs aux données sensibles produits par la découverte automatique des données sensibles. Un administrateur et un membre peuvent examiner d'autres types de données produites par la découverte automatique de données sensibles pour le compte du membre.

1. <a name="accounts-mgmt-relationships-note-jobs"></a>Un membre peut configurer une tâche pour analyser des objets uniquement dans les compartiments S3 détenus par son compte. Un administrateur peut configurer une tâche pour analyser des objets dans des compartiments appartenant à son compte ou à un compte membre. Pour plus d'informations sur la manière dont les quotas sont appliqués et les coûts calculés pour les tâches impliquant plusieurs comptes, consultez. [Comprendre les coûts d'utilisation estimés](account-mgmt-costs-calculations.md)

1. <a name="accounts-mgmt-relationships-note-job-details"></a>Seul le compte qui crée une tâche peut accéder aux détails de la tâche. Cela inclut les détails relatifs aux tâches dans l'inventaire des compartiments S3.

1. <a name="accounts-mgmt-relationships-note-jobs-sdfs"></a>Seul le compte qui crée une tâche peut accéder aux données sensibles issues de la tâche, les supprimer ou les publier. Seul un administrateur peut accéder aux données sensibles issues de la découverte automatique des données sensibles, les supprimer ou les publier.

1. <a name="accounts-mgmt-relationships-note-sdsamples"></a>Si une découverte de données sensibles s'applique à un objet S3 détenu par un compte membre, l'administrateur peut être en mesure de récupérer des échantillons de données sensibles signalées par la découverte. Cela dépend de la source de la recherche, ainsi que des paramètres de configuration et des ressources du compte administrateur et du compte membre. Pour plus d'informations, consultez [la section Options de configuration pour récupérer des échantillons de données sensibles](findings-retrieve-sd-options.md).

1. <a name="accounts-mgmt-relationships-note-suspend"></a>Pour qu'un administrateur puisse suspendre Macie pour son propre compte, il doit d'abord dissocier son compte de tous les comptes des membres.

1. <a name="accounts-mgmt-relationships-note-disable"></a>Pour qu'un administrateur puisse désactiver Macie pour son propre compte, il doit d'abord dissocier son compte de tous les comptes des membres, puis supprimer les associations entre son compte et tous ces comptes. L'administrateur d'une organisation AWS Organizations peut le faire en utilisant le compte de gestion de l'organisation pour désigner un autre compte en tant que compte administrateur.

   Pour qu'un membre d'une AWS Organizations organisation puisse désactiver Macie, l'administrateur doit d'abord dissocier le compte du membre de son compte administrateur. Dans une organisation basée sur une invitation, le membre peut dissocier son compte de son compte administrateur, puis désactiver Macie.

1. <a name="accounts-mgmt-relationships-note-delete"></a>L'administrateur d'une organisation AWS Organizations peut supprimer une association avec un compte membre après avoir dissocié le compte de son compte administrateur. Le compte continue d'apparaître dans l'inventaire des comptes de l'administrateur, mais son statut indique qu'il ne s'agit pas d'un compte de membre. Dans une organisation basée sur une invitation, un administrateur et un membre peuvent supprimer une association avec un autre compte après avoir dissocié leur compte de l'autre compte. L'autre compte cesse alors d'apparaître dans l'inventaire de son compte.

# Gérer plusieurs comptes Macie avec AWS Organizations
<a name="accounts-mgmt-ao"></a>

Si vous avez l' AWS Organizations habitude de gérer plusieurs comptes de manière centralisée Comptes AWS, vous pouvez intégrer Amazon Macie à AWS Organizations, puis gérer Macie de manière centralisée pour les comptes de votre organisation. Avec cette configuration, un administrateur Macie désigné peut activer et gérer Macie pour jusqu'à 10 000 comptes. L'administrateur peut également accéder aux données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et découvrir des données sensibles dans les compartiments S3 détenus par les comptes. Pour plus de détails sur les tâches que l'administrateur peut effectuer, consultez[Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md).

AWS Organizations est un service mondial de gestion de comptes qui permet aux AWS administrateurs de consolider et de gérer de manière centralisée plusieurs comptes Comptes AWS. Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs Services AWS applications, notamment Macie et Amazon GuardDuty. AWS Security Hub CSPM Pour en savoir plus, consultez le [AWS Organizations guide de l'utilisateur](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Pour intégrer Macie à AWS Organizations, vous devez commencer par désigner un compte en tant que compte administrateur Macie délégué pour l'organisation. L'administrateur Macie active ensuite Macie pour les autres comptes de l'organisation, ajoute ces comptes en tant que comptes membres de Macie et configure les paramètres et les ressources Macie pour les comptes.

**Astuce**  
Si vous avez déjà associé un compte administrateur Macie à des comptes membres à l'aide d'invitations, vous pouvez désigner ce compte comme compte administrateur Macie délégué pour votre organisation dans. AWS Organizations Dans ce cas, tous les comptes de membres actuellement associés restent membres et vous pouvez profiter pleinement des avantages de la gestion des comptes en utilisant AWS Organizations. Pour de plus amples informations, veuillez consulter [Transition depuis une organisation basée sur les invitations](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations).

Les rubriques de cette section expliquent comment intégrer Macie à Macie AWS Organizations et comment administrer et gérer Macie pour les comptes d'une organisation.

**Topics**
+ [Considérations et recommandations](accounts-mgmt-ao-notes.md)
+ [Intégration et configuration d'une organisation](accounts-mgmt-ao-integrate.md)
+ [Révision des comptes de l'organisation](accounts-mgmt-ao-review.md)
+ [Gérer les comptes des membres](accounts-mgmt-ao-administer.md)
+ [Modifier le compte administrateur](accounts-mgmt-ao-admin-change.md)
+ [Désactivation de l'intégration avec AWS Organizations](accounts-mgmt-ao-disable.md)

# Considérations relatives à l'utilisation de Macie avec AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

Avant d'intégrer Amazon Macie à Macie AWS Organizations et de configurer votre organisation dans Macie, tenez compte des exigences et recommandations suivantes. Assurez-vous également de bien comprendre la [relation entre les comptes administrateur et membre de Macie](accounts-mgmt-relationships.md).

**Topics**
+ [Désignation d'un compte administrateur](#accounts-mgmt-ao-notes-admin-designate)
+ [Modification ou suppression de la désignation du compte administrateur](#accounts-mgmt-ao-notes-admin-remove)
+ [Ajouter et supprimer des comptes de membres](#accounts-mgmt-ao-notes-members-manage)
+ [Transition depuis une organisation basée sur les invitations](#accounts-mgmt-ao-notes-transition-invitations)

## Désignation d'un compte administrateur Macie
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

Lorsque vous déterminez quel compte doit être le compte administrateur Macie délégué de votre organisation, gardez les points suivants à l'esprit :
+ Une organisation ne peut avoir qu'un seul compte administrateur Macie délégué.
+ Un compte ne peut pas être un compte administrateur Macie et un compte membre à la fois.
+ Seul le compte AWS Organizations de gestion d'une organisation peut désigner le compte administrateur Macie délégué pour l'organisation. Seul le compte de gestion peut ultérieurement modifier ou supprimer cette désignation.
+ Le compte AWS Organizations de gestion d'une organisation peut également être le compte administrateur Macie délégué de l'organisation. Toutefois, nous ne recommandons pas cette configuration sur la base des meilleures pratiques de AWS sécurité et du principe du moindre privilège. Les utilisateurs qui ont accès au compte de gestion à des fins de facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder à Macie pour des raisons de sécurité des informations.

  Si vous préférez cette configuration, vous devez activer Macie pour le compte de gestion de l'organisation dans au moins un compte Région AWS avant de le désigner comme compte administrateur Macie délégué. Sinon, le compte ne sera pas en mesure d'accéder aux paramètres et aux ressources Macie pour les comptes des membres et de les gérer.
+ Contrairement AWS Organizationsà Macie est un service régional. Cela signifie que la désignation d'un compte administrateur Macie est une désignation régionale. Cela signifie également que les associations entre les comptes administrateur et membre de Macie sont régionales. Par exemple, si le compte de gestion désigne un compte administrateur Macie dans la région USA Est (Virginie du Nord), l'administrateur Macie peut gérer Macie pour les comptes des membres uniquement dans cette région.

  Pour gérer de manière centralisée plusieurs comptes Macie Régions AWS, le compte de gestion doit se connecter à chaque région dans laquelle l'organisation utilise actuellement ou utilisera Macie, puis désigner le compte administrateur Macie dans chacune de ces régions. L'administrateur Macie peut ensuite configurer l'organisation dans chacune de ces régions. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS*
+ Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si votre organisation utilise Macie dans plusieurs régions, le compte administrateur Macie désigné doit être le même dans toutes ces régions. Toutefois, le compte de gestion de votre organisation doit désigner le compte administrateur séparément dans chaque région.
+ Un compte ne peut être le compte d'administrateur Macie délégué que pour une seule organisation à la fois. Si vous gérez plusieurs organisations dans AWS Organizations, vous devez désigner un compte administrateur Macie différent pour chaque organisation. Cela est dû à une AWS Organizations exigence : un compte ne peut être membre que d'une seule organisation à la fois.

Si l'administrateur Macie Compte AWS est suspendu, isolé ou fermé, tous les comptes de membre Macie associés sont automatiquement supprimés en tant que comptes de membre Macie, mais Macie continue d'être activé pour ces comptes. Si la [découverte automatique des données sensibles](discovery-asdd.md) a été activée pour un ou plusieurs comptes membres, elle est désactivée pour les comptes. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique des comptes. Pour rétablir l'accès à ces données, les mesures suivantes doivent être prises dans les 30 jours :

1. Celui de l'administrateur Macie Compte AWS est restauré.

1. Le compte AWS Organizations de gestion désigne à nouveau le compte en tant que compte administrateur Macie.

1. L'administrateur Macie configure l'organisation et active à nouveau la découverte automatique des comptes appropriés.

Au bout de 30 jours, Macie supprime définitivement les données qu'elle a précédemment produites et directement fournies tout en effectuant une découverte automatique pour les comptes concernés.

## Modifier ou supprimer la désignation d'un compte administrateur Macie
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

Seul le compte AWS Organizations de gestion d'une organisation peut modifier ou supprimer la désignation d'un compte administrateur Macie délégué pour l'organisation.

Si le compte de gestion modifie ou supprime la désignation :
+ Tous les comptes de membre associés sont supprimés en tant que comptes de membres Macie, mais Macie continue d'être activé pour les comptes. Les comptes deviennent des comptes Macie autonomes. Pour suspendre ou arrêter d'utiliser Macie, l'utilisateur d'un compte membre doit suspendre (suspendre) ou désactiver (arrêter) Macie pour le compte.
+ La découverte automatique des données sensibles est désactivée pour chaque compte pour lequel elle a été activée. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de chaque compte. Pour rétablir l'accès à ces données, le compte de gestion doit à nouveau désigner le même compte administrateur Macie dans les 30 jours. En outre, l'administrateur Macie doit reconfigurer l'organisation et réactiver la découverte automatique pour chaque compte dans un délai de 30 jours. Après 30 jours, les données expirent et Macie les supprime définitivement.

## Ajouter et supprimer des comptes de membres Macie
<a name="accounts-mgmt-ao-notes-members-manage"></a>

Lorsque vous ajoutez, supprimez ou gérez des comptes de membres pour votre organisation, gardez les points suivants à l'esprit :
+ Un compte administrateur Macie ne peut pas être associé à plus de 10 000 comptes de membres Macie par compte. Région AWS Si votre organisation dépasse ce quota, l'administrateur Macie ne pourra pas ajouter de comptes membres tant qu'il n'aura pas supprimé le nombre nécessaire de comptes membres existants dans la région. Lorsqu'une organisation atteint ce quota, nous en informons l'administrateur Macie en créant un AWS Health événement pour son compte. Nous envoyons également un e-mail à l'adresse associée à leur compte.

  Si vous êtes l'administrateur Macie d'une organisation, vous pouvez déterminer le nombre de comptes de membres actuellement associés à votre compte en utilisant la page **Comptes** de la console Amazon Macie ou en utilisant [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Pour de plus amples informations, veuillez consulter [Révision des comptes Macie d'une organisation](accounts-mgmt-ao-review.md).
+ Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Cela signifie qu'un compte ne peut pas accepter une invitation Macie provenant d'un autre compte s'il est déjà associé au compte administrateur Macie d'une organisation dans. AWS Organizations

  De même, si un compte a déjà accepté une invitation, l'administrateur Macie d'une organisation ne AWS Organizations peut pas ajouter le compte en tant que compte membre Macie. Le compte doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations.
+ Pour ajouter le compte AWS Organizations de gestion en tant que compte membre Macie, un utilisateur du compte de gestion doit d'abord activer Macie pour le compte. L'administrateur Macie n'est pas autorisé à activer Macie pour le compte de gestion.
+ Si l'administrateur Macie supprime le compte d'un membre Macie :
  + Macie continue d'être activé pour le compte. Le compte devient un compte Macie autonome. Pour suspendre ou arrêter d'utiliser Macie, un utilisateur du compte doit suspendre (pause) ou désactiver (arrêter) Macie pour le compte.
  + La découverte automatique des données sensibles est désactivée pour le compte, si elle a été activée. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.
+ Un compte membre ne peut pas être dissocié de son compte administrateur Macie. Seul l'administrateur de Macie peut supprimer un compte en tant que compte de membre de Macie.

## Transition depuis une organisation basée sur les invitations
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

Si vous avez déjà associé un compte administrateur Macie à des comptes de membres en utilisant des invitations d'adhésion Macie, nous vous recommandons de désigner ce compte comme compte administrateur Macie délégué pour votre organisation dans. AWS Organizations Cela simplifie la transition depuis une organisation basée sur les invitations.

Dans ce cas, tous les comptes de membres actuellement associés restent membres. Si un compte membre fait partie de votre organisation dans AWS Organizations, l'association du compte passe automatiquement de **By invitation** à **Via AWS Organizations** in Macie. Si le compte d'un membre ne fait pas partie de votre organisation dans AWS Organizations, l'association du compte continue **d'être sur invitation**. Dans les deux cas, les comptes continuent d'être associés au compte administrateur Macie délégué en tant que comptes de membre. En ce qui concerne la découverte de données sensibles, cela signifie également que les comptes peuvent continuer à accéder aux données statistiques et autres données produites et fournies directement par Macie tout en effectuant une découverte automatique des données sensibles pour les comptes. En outre, si l'administrateur Macie a configuré des tâches de découverte de données sensibles pour analyser les données des comptes, les exécutions de tâches suivantes continueront d'inclure les ressources détenues par les comptes.

Nous recommandons cette approche car un compte ne peut pas être associé à plusieurs comptes d'administrateur Macie à la fois. Si vous désignez un autre compte comme compte administrateur Macie pour votre organisation dans AWS Organizations, l'administrateur désigné ne pourra pas gérer les comptes déjà associés à un autre compte administrateur Macie sur invitation. Chaque compte membre doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations. L'administrateur Macie de votre organisation AWS Organizations peut ensuite ajouter le compte en tant que compte membre Macie et commencer à gérer le compte.

Après avoir intégré Macie à Macie AWS Organizations et configuré votre organisation dans Macie, vous pouvez éventuellement désigner un compte administrateur Macie différent pour l'organisation. Vous pouvez également continuer à utiliser des invitations pour associer et gérer des comptes de membres qui ne font pas partie de votre organisation AWS Organizations.

# Intégration et configuration d'une organisation dans Macie
<a name="accounts-mgmt-ao-integrate"></a>

Pour commencer à utiliser Amazon Macie avec AWS Organizations, le compte de AWS Organizations gestion de l'organisation désigne un compte en tant que compte administrateur Macie délégué pour l'organisation. Cela permet à Macie de devenir un service de confiance dans AWS Organizations. Il active également Macie en cours Région AWS pour le compte administrateur désigné, et il permet au compte administrateur désigné d'activer et de gérer Macie pour les autres comptes de l'organisation dans cette région. Pour plus d'informations sur la manière dont ces autorisations sont accordées, voir [Utilisation AWS Organizations avec d'autres personnes Services AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) dans le *Guide de AWS Organizations l'utilisateur*.

L'administrateur délégué de Macie configure ensuite l'organisation dans Macie, principalement en ajoutant les comptes de l'organisation en tant que comptes de membres de Macie dans la région. L'administrateur peut ensuite accéder à certains paramètres, données et ressources Macie pour ces comptes dans cette région. Ils peuvent également effectuer une découverte automatique des données sensibles et exécuter des tâches de découverte de données sensibles pour détecter les données sensibles dans les compartiments Amazon Simple Storage Service (Amazon S3) détenus par les comptes.

Cette rubrique explique comment désigner un administrateur Macie délégué pour une organisation et comment ajouter les comptes de l'organisation en tant que comptes de membres Macie. Avant d'effectuer ces tâches, assurez-vous de bien comprendre la [relation entre les comptes administrateur et membre de Macie](accounts-mgmt-relationships.md). Il est également conseillé de passer en revue les [considérations et les recommandations](accounts-mgmt-ao-notes.md) relatives à l'utilisation de Macie avec AWS Organizations.

**Topics**
+ [Étape 1 : Vérifier vos autorisations](#accounts-mgmt-ao-admin-designate-permissions)
+ [Étape 2 : Désigner le compte administrateur Macie délégué](#accounts-mgmt-ao-admin-designate)
+ [Étape 3 : activer et ajouter automatiquement de nouveaux comptes d'organisation](#accounts-mgmt-ao-members-autoenable)
+ [Étape 4 : activer et ajouter des comptes d'organisation existants](#accounts-mgmt-ao-members-add-existing)

Pour intégrer et configurer l'organisation dans plusieurs régions, le compte AWS Organizations de gestion et l'administrateur Macie délégué répètent ces étapes dans chaque région supplémentaire.

## Étape 1 : Vérifier vos autorisations
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

Avant de désigner le compte administrateur Macie délégué pour votre organisation, vérifiez que vous (en tant qu'utilisateur du compte de AWS Organizations gestion) êtes autorisé à effectuer l'action Macie suivante : `macie2:EnableOrganizationAdminAccount` Cette action vous permet de désigner le compte administrateur Macie délégué pour votre organisation à l'aide de Macie.

Vérifiez également que vous êtes autorisé à effectuer les AWS Organizations actions suivantes :
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

Ces actions vous permettent de : récupérer des informations sur votre organisation ; intégrer Macie à AWS Organizations ; récupérer des informations à propos desquelles Services AWS vous avez intégré AWS Organizations ; et désigner un compte administrateur Macie délégué pour votre organisation.

Pour accorder ces autorisations, incluez la déclaration suivante dans une politique Gestion des identités et des accès AWS (IAM) pour votre compte :

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

Si vous souhaitez désigner votre compte AWS Organizations de gestion comme compte administrateur Macie délégué pour l'organisation, votre compte doit également être autorisé à effectuer l'action IAM suivante :. `CreateServiceLinkedRole` Cette action vous permet d'activer Macie pour le compte de gestion. Toutefois, conformément aux meilleures pratiques en matière de AWS sécurité et au principe du moindre privilège, nous vous déconseillons de le faire.

Si vous décidez d'accorder cette autorisation, ajoutez la déclaration suivante à la politique IAM de votre compte AWS Organizations de gestion :

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

Dans le relevé, remplacez-le *111122223333* par le numéro de compte du compte de gestion.

Si vous souhaitez administrer Macie dans le cadre d'un opt-in Région AWS (région désactivée par défaut), mettez également à jour la valeur du principal de service Macie dans l'`Resource`élément et la condition. `iam:AWSServiceName` La valeur doit spécifier le code de région pour la région. *Par exemple, pour administrer Macie dans la région du Moyen-Orient (Bahreïn), dont le code de région est me-south-1, procédez comme suit :*
+ Dans l'`Resource`élément, remplacez

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  avec

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  Where *111122223333* indique l'identifiant du compte de gestion et *me-south-1* le code de région de la région.
+ Dans la `iam:AWSServiceName` condition, remplacez `macie.amazonaws.com` par`macie.me-south-1.amazonaws.com`, où *me-south-1* indique le code de région pour la région.

Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS* Pour déterminer si une région est une région optionnelle, consultez la section [Activer ou désactiver Régions AWS dans votre compte dans](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) le *guide de l'Gestion de compte AWS utilisateur*.

## Étape 2 : Désigner le compte administrateur Macie délégué pour l'organisation
<a name="accounts-mgmt-ao-admin-designate"></a>

Après avoir vérifié vos autorisations, vous (en tant qu'utilisateur du compte de AWS Organizations gestion) pouvez désigner le compte administrateur Macie délégué pour votre organisation.

**Pour désigner le compte administrateur Macie délégué pour une organisation**  
Pour désigner le compte administrateur Macie délégué pour votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Seul un utilisateur du compte AWS Organizations de gestion peut effectuer cette tâche.

------
#### [ Console ]

Procédez comme suit pour désigner le compte administrateur Macie délégué à l'aide de la console Amazon Macie.

**Pour désigner le compte administrateur Macie délégué**

1. Connectez-vous à l' AWS Management Console aide de votre compte AWS Organizations de gestion.

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez désigner le compte d'administrateur Macie délégué pour votre organisation.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Procédez de l'une des manières suivantes, selon que Macie est activé ou non pour votre compte de gestion dans la région actuelle :
   + Si Macie n'est pas activé, choisissez **Commencer** sur la page d'accueil.
   + Si Macie est activé, choisissez **Paramètres** dans le volet de navigation.

1. Sous **Administrateur délégué**, entrez l'identifiant de compte à 12 chiffres pour le compte Compte AWS que vous souhaitez désigner comme compte administrateur Macie.

1. Choisisssez **Delegate** (Déléguer).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez intégrer votre organisation à Macie. Vous devez désigner le même compte administrateur Macie dans chacune de ces régions.

------
#### [ API ]

Pour désigner le compte administrateur Macie délégué par programmation, utilisez le [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)fonctionnement de l'API Amazon Macie. Pour désigner le compte dans plusieurs régions, soumettez la désignation de chaque région dans laquelle vous souhaitez intégrer votre organisation à Macie. Vous devez désigner le même compte administrateur Macie dans chacune de ces régions.

Lorsque vous soumettez la désignation, utilisez le `adminAccountId` paramètre requis pour spécifier l'identifiant de compte à 12 chiffres Compte AWS à désigner comme compte administrateur Macie pour l'organisation. Assurez-vous également de spécifier la région à laquelle la désignation s'applique.

Pour désigner le compte administrateur Macie à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)commande. Pour le `admin-account-id` paramètre, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner. Utilisez le `region` paramètre pour spécifier la région à laquelle la désignation s'applique. Par exemple :

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

Où se *us-east-1* trouve la région à laquelle s'applique la désignation (région de l'est des États-Unis (Virginie du Nord)) et quel *111122223333* est le numéro de compte du compte à désigner ?

------

Après avoir désigné le compte administrateur Macie pour votre organisation, l'administrateur Macie peut commencer à configurer l'organisation dans Macie.

## Étape 3 : activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie
<a name="accounts-mgmt-ao-members-autoenable"></a>

Par défaut, Macie n'est pas automatiquement activé pour les nouveaux comptes lorsque ceux-ci sont ajoutés à votre organisation dans AWS Organizations. De plus, les comptes ne sont pas automatiquement ajoutés en tant que comptes membres de Macie. Les comptes apparaissent dans l'inventaire des comptes de l'administrateur Macie. Cependant, Macie n'est pas nécessairement activé pour les comptes et l'administrateur Macie ne peut pas nécessairement accéder aux paramètres, aux données et aux ressources de Macie pour les comptes.

Si vous êtes l'administrateur Macie délégué de l'organisation, vous pouvez modifier ce paramètre de configuration. Vous pouvez activer l'activation automatique pour votre organisation. Dans ce cas, Macie est automatiquement activé pour les nouveaux comptes lorsque ceux-ci sont ajoutés à votre organisation dans AWS Organizations. De plus, les comptes sont automatiquement associés à votre compte administrateur Macie en tant que comptes membres. L'activation de ce paramètre n'affecte pas les comptes existants de votre organisation. Pour activer et gérer Macie pour les comptes existants, vous devez ajouter manuellement les comptes en tant que comptes membres Macie. L'[étape suivante](#accounts-mgmt-ao-members-add-existing) explique comment procéder.

**Note**  
Si vous activez l'activation automatique, notez l'exception suivante. Si un nouveau compte est déjà associé à un autre compte administrateur Macie, Macie n'ajoute pas automatiquement le compte en tant que compte membre de votre organisation. Le compte doit être dissocié de son compte administrateur Macie actuel avant de pouvoir faire partie de votre organisation dans Macie. Vous pouvez ensuite ajouter le compte manuellement. Pour identifier les comptes dans lesquels c'est le cas, vous pouvez [consulter l'inventaire des comptes](accounts-mgmt-ao-review.md) de votre organisation.

**Pour activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie**  
Pour activer et ajouter automatiquement de nouveaux comptes en tant que comptes membres Macie, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Seul l'administrateur Macie délégué de l'organisation peut effectuer cette tâche.

------
#### [ Console ]

Pour effectuer cette tâche à l'aide de la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante : `organizations:ListAccounts` Cette action vous permet de récupérer et d'afficher des informations sur les comptes de votre organisation. Si vous disposez de ces autorisations, suivez ces étapes pour activer et ajouter automatiquement de nouveaux comptes d'organisation en tant que comptes membres de Macie.

**Pour activer et ajouter automatiquement de nouveaux comptes d'organisation**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer et ajouter automatiquement de nouveaux comptes en tant que comptes membres Macie.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

1. Sur la page **Comptes**, dans la section **Nouveaux comptes**, choisissez **Modifier**.

1. Dans la boîte de dialogue **Modifier les paramètres pour les nouveaux comptes**, sélectionnez **Activer Macie**.

   Pour activer également la découverte automatique des données sensibles pour les nouveaux comptes membres, sélectionnez **Activer la découverte automatique des données sensibles**. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md).

1. Choisissez **Enregistrer**.

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez configurer votre organisation dans Macie.

Pour modifier ultérieurement ces paramètres, répétez les étapes précédentes et décochez la case correspondant à chaque paramètre.

------
#### [ API ]

Pour activer et ajouter automatiquement de nouveaux comptes membres Macie par programmation, utilisez l'API [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html)Amazon Macie. Lorsque vous soumettez votre demande, définissez la valeur du `autoEnable` paramètre sur`true`. (La valeur par défaut est `false`.) Assurez-vous également de spécifier la région à laquelle s'applique votre demande. Pour activer et ajouter automatiquement de nouveaux comptes dans des régions supplémentaires, soumettez la demande pour chaque région supplémentaire.

Si vous utilisez le AWS CLI pour envoyer la demande, exécutez la [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)commande et spécifiez le `auto-enable` paramètre pour activer et ajouter de nouveaux comptes automatiquement. Par exemple :

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

Où se *us-east-1* trouve la région dans laquelle il est possible d'activer et d'ajouter automatiquement de nouveaux comptes, la région USA Est (Virginie du Nord).

Pour modifier ultérieurement ce paramètre et arrêter d'activer et d'ajouter automatiquement de nouveaux comptes, réexécutez la même commande et utilisez le `no-auto-enable` paramètre, au lieu du `auto-enable` paramètre, dans chaque région applicable.

Vous pouvez également activer la découverte automatique des données sensibles pour les nouveaux comptes membres. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md). Pour activer automatiquement cette fonctionnalité pour les comptes des membres, utilisez l'[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)opération ou, si vous utilisez le AWS CLI, exécutez la [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)commande.

------

## Étape 4 : activer et ajouter des comptes d'organisation existants en tant que comptes membres Macie
<a name="accounts-mgmt-ao-members-add-existing"></a>

Lorsque vous intégrez Macie à Macie AWS Organizations, Macie n'est pas automatiquement activé pour tous les comptes existants de votre organisation. De plus, les comptes ne sont pas automatiquement associés au compte administrateur Macie délégué en tant que comptes de membre Macie. Par conséquent, la dernière étape de l'intégration et de la configuration de votre organisation dans Macie consiste à ajouter des comptes d'organisation existants en tant que comptes membres de Macie. Lorsque vous ajoutez un compte existant en tant que compte membre Macie, Macie est automatiquement activé pour le compte et vous (en tant qu'administrateur Macie délégué) avez accès à certains paramètres, données et ressources Macie du compte.

Notez que vous ne pouvez pas ajouter un compte actuellement associé à un autre compte administrateur Macie. Pour ajouter le compte, contactez le propriétaire du compte pour dissocier d'abord le compte de son compte administrateur actuel. De plus, vous ne pouvez pas ajouter de compte existant si Macie est actuellement suspendu pour ce compte. Le titulaire du compte doit d'abord réactiver Macie pour le compte. Enfin, si vous souhaitez ajouter le compte de AWS Organizations gestion en tant que compte membre, un utilisateur de ce compte doit d'abord activer Macie pour le compte.

**Pour activer et ajouter des comptes d'organisation existants en tant que comptes membres de Macie**  
Pour activer et ajouter des comptes d'organisation existants en tant que comptes membres de Macie, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Seul l'administrateur Macie délégué de l'organisation peut effectuer cette tâche.

------
#### [ Console ]

Pour effectuer cette tâche à l'aide de la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante : `organizations:ListAccounts` Cette action vous permet de récupérer et d'afficher des informations sur les comptes de votre organisation. Si vous disposez de ces autorisations, suivez ces étapes pour activer et ajouter des comptes existants en tant que comptes membres Macie.

**Pour activer et ajouter des comptes d'organisation existants**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer et ajouter des comptes existants en tant que comptes membres Macie.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte Macie.

   Si un compte fait partie de votre organisation dans AWS Organizations, son **type** est **Via AWS Organizations**. Si un compte est déjà un compte membre de Macie, son **statut** est **Activé** **ou Suspendu (suspendu)**.

1. Dans le tableau **des comptes existants**, cochez la case correspondant à chaque compte que vous souhaitez ajouter en tant que compte membre Macie.

1. Dans le menu **Actions**, choisissez **Ajouter un membre**.

1. Confirmez que vous souhaitez ajouter les comptes sélectionnés en tant que comptes membres.

Une fois que vous avez confirmé l'ajout des comptes sélectionnés, le statut des comptes passe à **Activation en cours**, puis à **Activé**. Après avoir ajouté un compte membre, vous pouvez également activer la découverte automatique des données sensibles pour le compte : dans le tableau **Comptes existants**, cochez la case correspondant à chaque compte pour laquelle l'activer, puis choisissez **Activer la découverte automatique des données sensibles** dans le menu **Actions**. Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous souhaitez configurer votre organisation dans Macie.

------
#### [ API ]

Pour activer et ajouter par programmation un ou plusieurs comptes existants en tant que comptes membres Macie, utilisez le [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chacun Compte AWS à activer et à ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour activer et ajouter des comptes existants dans d'autres régions, soumettez la demande pour chaque région supplémentaire.

Pour récupérer l'identifiant de compte et l'adresse e-mail d'un Compte AWS utilisateur à activer et à ajouter, vous pouvez éventuellement utiliser le [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Cette opération fournit des détails sur les comptes associés à votre compte Macie, y compris les comptes qui ne sont pas des comptes de membres de Macie. Si la valeur de la `relationshipStatus` propriété d'un compte n'est pas `Enabled` ou `Paused` si le compte n'est pas un compte de membre Macie.

Pour activer et ajouter un ou plusieurs comptes existants à l'aide de AWS CLI, exécutez la commande [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez activer et ajouter les comptes. Utilisez les `account` paramètres pour spécifier l'ID de compte et l'adresse e-mail de chacun Compte AWS à ajouter. Par exemple :

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

Où se *us-east-1* trouve la région dans laquelle activer et ajouter le compte en tant que compte membre Macie (la région USA Est (Virginie du Nord)), et les `account` paramètres spécifient l'ID du compte (*123456789012*) et l'adresse e-mail (*janedoe@example.com*) du compte.

Si votre demande aboutit, le statut (`relationshipStatus`) du compte spécifié est reporté `Enabled` à l'inventaire de votre compte.

Pour activer également la découverte automatique des données sensibles pour un ou plusieurs comptes, utilisez l'[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)opération ou, si vous utilisez le AWS CLI, exécutez la commande [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Si vous activez cette fonctionnalité pour un compte, Macie sélectionne en permanence des échantillons d'objets dans les compartiments S3 du compte et analyse les objets pour déterminer s'ils contiennent des données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md).

------

# Révision des comptes Macie d'une organisation
<a name="accounts-mgmt-ao-review"></a>

Une fois qu'une AWS Organizations organisation est [intégrée et configurée](accounts-mgmt-ao-integrate.md) dans Amazon Macie, l'administrateur Macie délégué peut accéder à un inventaire des comptes de l'organisation dans Macie. En tant qu'administrateur Macie d'une organisation, vous pouvez utiliser cet inventaire pour consulter les statistiques et les détails des comptes Macie de votre organisation dans un. Région AWS Vous pouvez également l'utiliser pour [effectuer certaines tâches de gestion](accounts-mgmt-ao-administer.md) des comptes.

**Pour consulter les comptes Macie d'une organisation**  
Pour consulter les comptes de votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Si vous préférez utiliser la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante : `organizations:ListAccounts` Cette action vous permet de récupérer et d'afficher des informations sur les comptes qui font partie de votre organisation dans AWS Organizations.

------
#### [ Console ]

Suivez ces étapes pour consulter les comptes Macie de votre organisation à l'aide de la console Amazon Macie.

**Pour consulter les comptes de votre organisation**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez consulter les comptes de votre organisation.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

La page **Comptes** s'ouvre et affiche des statistiques agrégées ainsi qu'un tableau des comptes actuellement Région AWS associés à votre compte Macie.

En haut de la page **Comptes**, vous trouverez les statistiques agrégées suivantes.

**Via AWS Organizations**  
**Active** indique le nombre total de comptes associés à votre compte par le biais de comptes membres Macie de votre organisation AWS Organizations et qui sont actuellement membres de Macie. Macie est activé pour ces comptes et vous êtes l'administrateur Macie des comptes.  
**All** indique le nombre total de comptes associés à votre compte via AWS Organizations. Cela inclut les comptes qui ne sont pas actuellement des comptes membres de Macie. Cela inclut également les comptes de membres pour lesquels Macie est actuellement suspendu.

**Sur invitation**  
**Active** indique le nombre total de comptes associés à votre compte sur invitation de Macie et qui sont actuellement des comptes membres Macie de votre organisation. Ces comptes ne sont pas associés à votre compte par le biais de AWS Organizations. Macie est activé pour les comptes et vous êtes l'administrateur Macie des comptes car ils ont accepté une invitation d'adhésion à Macie de votre part.  
**All** indique le nombre total de comptes associés à votre compte par invitation Macie, y compris les comptes qui n'ont pas répondu à une invitation de votre part.

**Actif/Tout**  
**Active** indique le nombre total de comptes pour lesquels Macie est actuellement activé dans votre organisation, y compris le vôtre. Vous êtes l'administrateur Macie de ces comptes via AWS Organizations ou sur invitation de Macie.  
**All** indique le nombre total de comptes associés à votre compte, via AWS Organizations ou sur invitation de Macie, plus votre propre compte. Cela inclut les comptes qui font partie de votre organisation AWS Organizations et qui ne sont pas actuellement des comptes membres de Macie. Cela inclut également tous les comptes qui n'ont pas répondu à une invitation d'adhésion à Macie de votre part.

Dans le tableau, vous trouverez des informations sur chaque compte de la région actuelle. Le tableau inclut tous les comptes associés à votre compte Macie via AWS Organizations ou par invitation Macie.

**ID de compte**  
L'identifiant du compte et l'adresse e-mail du Compte AWS.

**Nom**  
Le nom du compte pour Compte AWS. Cette valeur est généralement **N/A** pour votre propre compte et pour tous les comptes associés à votre compte sur invitation de Macie.

**Type**  
Comment le compte est associé à votre compte, via AWS Organizations ou sur invitation de Macie. Pour votre propre compte, cette valeur est **Compte courant**.

**Statut**  
État de la relation entre votre compte et le compte. Pour un compte dans une AWS Organizations organisation (**Type** is **Via AWS Organizations**), les valeurs possibles sont les suivantes :  
+ **Compte suspendu** — Le compte Compte AWS est suspendu.
+ **Activé** — Le compte est un compte de membre Macie. Macie est activé pour le compte et vous êtes l'administrateur Macie du compte.
+ **Activation en cours** — Macie traite une demande d'activation et d'ajout du compte en tant que compte membre Macie.
+ **Non membre** : le compte fait partie de votre organisation, AWS Organizations mais il ne s'agit pas d'un compte de membre Macie.
+ **Suspendu (suspendu)** — Le compte est un compte de membre de Macie, mais Macie est actuellement suspendu pour le compte.
+ **Région désactivée** — Le compte fait partie de votre organisation AWS Organizations mais la région actuelle est désactivée pour le Compte AWS.
+ **Supprimé (dissocié)** — Le compte était auparavant un compte de membre Macie, mais il a ensuite été supprimé en tant que compte de membre. Vous avez dissocié le compte de votre compte administrateur Macie. Macie continue d'être activé pour le compte.

**Dernière mise à jour du statut**  
Lorsque vous ou le compte associé avez récemment effectué une action qui a eu une incidence sur la relation entre vos comptes.

**Découverte automatisée des données sensibles**  
Si la découverte automatique des données sensibles est actuellement activée ou désactivée pour le compte.

Pour trier le tableau en fonction d'un champ spécifique, choisissez l'en-tête de colonne du champ. Pour modifier l'ordre de tri, choisissez à nouveau l'en-tête de colonne. Pour filtrer le tableau, placez votre curseur dans la zone de filtre, puis ajoutez une condition de filtre pour un champ. Pour affiner davantage les résultats, ajoutez des conditions de filtre pour des champs supplémentaires.

------
#### [ API ]

Pour consulter les comptes de votre organisation par programmation, utilisez l'[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)API Amazon Macie et spécifiez la région à laquelle s'applique votre demande. Pour consulter les comptes dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Lorsque vous soumettez votre demande, utilisez le `onlyAssociated` paramètre pour spécifier les comptes à inclure dans la réponse. Par défaut, Macie renvoie des informations uniquement sur les comptes membres de Macie dans la région spécifiée via AWS Organizations ou sur invitation de Macie. Pour récupérer ces informations pour tous les comptes associés à votre compte Macie, y compris les comptes qui ne sont pas des comptes membres, incluez le `onlyAssociated` paramètre dans votre demande et définissez la valeur du paramètre sur`false`.

Pour consulter les comptes de votre organisation à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la commande [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html). Pour le `only-associated` paramètre, spécifiez si vous souhaitez inclure tous les comptes associés ou uniquement les comptes membres de Macie. Pour inclure uniquement les comptes des membres, omettez ce paramètre ou définissez la valeur du paramètre sur`true`. Pour inclure tous les comptes, définissez cette valeur sur`false`. Par exemple :

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

Où se *us-east-1* trouve la région à laquelle s'applique la demande, la région de l'Est des États-Unis (Virginie du Nord).

Si votre demande aboutit, Macie renvoie un `members` tableau. Le tableau contient un `member` objet pour chaque compte qui répond aux critères spécifiés dans la demande. Dans cet objet, le `relationshipStatus` champ indique l'état actuel de la relation entre votre compte et l'autre compte dans la région spécifiée. Pour un compte dans une AWS Organizations organisation, les valeurs possibles sont les suivantes :
+ `AccountSuspended`— Le Compte AWS est suspendu.
+ `Created`— Macie est en train de traiter une demande d'activation et d'ajout du compte en tant que compte membre Macie.
+ `Enabled`— Le compte est un compte de membre Macie. Macie est activé pour le compte et vous êtes l'administrateur Macie du compte.
+ `Paused`— Le compte est un compte de membre de Macie, mais Macie est actuellement suspendu (suspendu) pour le compte.
+ `RegionDisabled`— Le compte fait partie de votre organisation AWS Organizations , mais la région actuelle est désactivée pour le Compte AWS.
+ `Removed`— Le compte était auparavant un compte de membre Macie, mais il a ensuite été supprimé en tant que compte de membre. Vous avez dissocié le compte de votre compte administrateur Macie. Macie continue d'être activé pour le compte.

Pour plus d'informations sur les autres champs de l'`member`objet, consultez la section [Membres](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) du manuel *Amazon Macie API Reference*.

------

# Gérer les comptes des membres Macie pour une organisation
<a name="accounts-mgmt-ao-administer"></a>

Une fois qu'une AWS Organizations organisation est [intégrée et configurée](accounts-mgmt-ao-integrate.md) dans Amazon Macie, l'administrateur Macie délégué de l'organisation peut accéder à certains paramètres, données et ressources Macie pour les comptes des membres. En tant qu'administrateur Macie d'une organisation, vous pouvez utiliser Macie pour effectuer de manière centralisée certaines tâches de gestion et d'administration des comptes. Par exemple, vous pouvez effectuer les actions suivantes :
+ Ajoutez et supprimez des comptes en tant que comptes membres de Macie.
+ Gérez le statut de Macie pour les comptes individuels, par exemple en activant ou en suspendant Macie pour un compte.
+ Surveillez les quotas Macie et les coûts d'utilisation estimés pour les comptes individuels et pour l'organisation dans son ensemble.

Vous pouvez également consulter les données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et les conclusions relatives aux politiques relatives aux comptes membres de Macie. Et vous pouvez découvrir des données sensibles dans les compartiments S3 détenus par les comptes. Pour une liste détaillée des tâches que vous pouvez effectuer, consultez[Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md).

Par défaut, Macie vous donne une visibilité sur les données et les ressources pertinentes pour tous les comptes membres Macie de votre organisation. Vous pouvez également effectuer une analyse descendante pour examiner les données et les ressources des comptes individuels. Par exemple, si vous [utilisez le tableau de bord récapitulatif](monitoring-s3-dashboard.md) pour évaluer le niveau de sécurité de votre organisation sur Amazon S3, vous pouvez filtrer les données par compte. De même, si vous [surveillez les coûts d'utilisation estimés](account-mgmt-costs.md), vous pouvez accéder à la ventilation des coûts estimés pour les comptes de membres individuels.

Outre les tâches communes aux comptes d'administrateur et de membre, vous pouvez effectuer diverses tâches administratives pour votre organisation.

**Topics**
+ [Ajouter des comptes de membres](#accounts-mgmt-ao-members-add)
+ [Suspension de Macie pour les comptes des membres](#accounts-mgmt-ao-members-suspend)
+ [Supprimer des comptes de membres](#accounts-mgmt-ao-members-remove)

En tant qu'administrateur Macie d'une organisation, vous pouvez effectuer ces tâches à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Si vous préférez utiliser la console, vous devez être autorisé à effectuer l' AWS Organizations action suivante :`organizations:ListAccounts`. Cette action vous permet de récupérer et d'afficher des informations sur les comptes qui font partie de votre organisation dans AWS Organizations.

## Ajouter des comptes de membres Macie à une organisation
<a name="accounts-mgmt-ao-members-add"></a>

Dans certains cas, vous devrez peut-être ajouter manuellement un compte en tant que compte de membre Amazon Macie. C'est le cas des comptes que vous avez précédemment supprimés (dissociés) en tant que comptes membres. C'est également le cas si vous n'avez pas configuré Macie pour [activer et ajouter automatiquement de nouveaux comptes de membres](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable) lorsque des comptes sont ajoutés à votre organisation dans AWS Organizations.

Lorsque vous ajoutez un compte en tant que compte membre Macie :
+ Macie est actuellement activé pour le compte Région AWS, s'il n'est pas déjà activé dans la région.
+ Le compte est associé à votre compte administrateur Macie en tant que compte membre dans la région. Le compte membre ne reçoit aucune invitation ou autre notification indiquant que vous avez établi cette relation entre vos comptes.
+ La découverte automatique des données sensibles peut être activée pour le compte dans la région. Cela dépend des paramètres de configuration que vous avez spécifiés pour l'organisation. Pour de plus amples informations, veuillez consulter [Configuration de la découverte automatique des données sensibles](discovery-asdd-account-manage.md).

Notez que vous ne pouvez pas ajouter un compte déjà associé à un autre compte administrateur Macie. Le compte doit d'abord se dissocier de son compte administrateur actuel. De plus, vous ne pouvez pas ajouter le compte AWS Organizations de gestion en tant que compte membre à moins que Macie ne soit déjà activé pour le compte. Pour en savoir plus sur les exigences supplémentaires, voir[Considérations relatives à l'utilisation de Macie avec AWS Organizations](accounts-mgmt-ao-notes.md).

**Pour ajouter un compte de membre Macie à une organisation**  
Pour ajouter un ou plusieurs comptes de membre Macie à votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour ajouter un ou plusieurs comptes de membre Macie à l'aide de la console Amazon Macie.

**Pour ajouter un compte membre Macie**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter un compte membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte.

1. (Facultatif) Pour identifier plus facilement les comptes qui font partie de votre organisation AWS Organizations et qui ne sont pas des comptes membres de Macie, utilisez le champ de filtre situé au-dessus du tableau **des comptes existants** pour ajouter les conditions de filtre suivantes :
   + **Type = Organisation**
   + **Statut = Non membre**

   Pour afficher également les comptes que vous avez précédemment supprimés et que vous souhaitez ajouter en tant que comptes membres, ajoutez également une condition de filtre **Status = Removed**.

1. Dans le tableau **Comptes existants**, cochez la case correspondant à chaque compte que vous souhaitez ajouter en tant que compte membre.

1. Dans le menu **Actions**, choisissez **Ajouter un membre**.

1. Confirmez que vous souhaitez ajouter les comptes sélectionnés en tant que comptes membres.

Une fois que vous avez confirmé vos sélections, le statut des comptes sélectionnés passe à **Activation en cours**, puis à **Activé** dans l'inventaire de votre compte.

Pour ajouter un compte membre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour ajouter un ou plusieurs comptes de membre Macie par programmation, utilisez l'API [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)Amazon Macie.

Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chaque compte Compte AWS que vous souhaitez ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour ajouter un compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'ID de compte et l'adresse e-mail d'un compte à ajouter, vous pouvez corréler le résultat du [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)fonctionnement de l' AWS Organizations API et le [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Pour le **ListMembers** fonctionnement de l'API Macie, incluez le `onlyAssociated` paramètre dans votre demande et définissez la valeur du paramètre sur`false`. Si l'opération aboutit, Macie renvoie un `members` tableau qui fournit des détails sur tous les comptes associés à votre compte administrateur Macie dans la région spécifiée, y compris les comptes qui ne sont pas actuellement des comptes membres. Notez ce qui suit dans le tableau :
+ Si la valeur de la `relationshipStatus` propriété d'un compte n'est pas `Enabled` ou `Paused` si le compte est associé à votre compte mais qu'il ne s'agit pas d'un compte de membre Macie.
+ Si un compte n'est pas inclus dans le tableau mais est inclus dans le résultat du **ListAccounts** fonctionnement de l' AWS Organizations API, le compte fait partie de votre organisation AWS Organizations mais n'est pas associé à votre compte et n'est donc pas un compte membre de Macie.

Pour ajouter un compte membre à l'aide de AWS Command Line Interface (AWS CLI), exécutez la commande [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle ajouter le compte. Utilisez les `account` paramètres pour spécifier l'ID de compte et l'adresse e-mail de chaque compte à ajouter. Par exemple :

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

Où se *us-east-1* trouve la région dans laquelle ajouter le compte en tant que compte membre (région USA Est (Virginie du Nord)), et les `account` paramètres spécifient l'ID du compte (*123456789012*) et l'adresse e-mail (*janedoe@example.com*) du compte.

Si votre demande aboutit, le statut (`relationshipStatus`) du compte spécifié est reporté `Enabled` à l'inventaire de votre compte.

------

## Suspension de Macie pour les comptes des membres d'une organisation
<a name="accounts-mgmt-ao-members-suspend"></a>

En tant qu'administrateur Amazon Macie d'une organisation dans AWS Organizations, vous pouvez suspendre Macie pour un compte de membre de votre organisation. Dans ce cas, vous pouvez également réactiver Macie pour le compte ultérieurement.

Lorsque vous suspendez Macie pour un compte de membre :
+ Macie perd actuellement Région AWS l'accès aux données Amazon S3 du compte et cesse de les fournir.
+ Macie cesse d'effectuer toutes les activités liées au compte dans la Région. Cela inclut la surveillance des compartiments S3 à des fins de sécurité et de contrôle d'accès, la découverte automatique des données sensibles et l'exécution des tâches de découverte de données sensibles en cours.
+ Macie annule toutes les tâches de découverte de données sensibles créées par le compte dans la région. Une tâche ne peut pas être reprise ou redémarrée après son annulation. Si vous avez créé des tâches pour analyser les données détenues par le compte du membre, Macie n'annule pas vos tâches. Au lieu de cela, les tâches ignorent les ressources détenues par le compte.

Pendant sa suspension, Macie conserve l'identifiant de session, les paramètres et les ressources qu'il stocke ou gère pour le compte dans la région applicable. Macie conserve également certaines données relatives au compte dans la Région. Par exemple, les résultats du compte restent intacts et ne sont pas affectés pendant 90 jours au maximum. Si la découverte automatique des données sensibles a été activée pour le compte, les résultats existants restent également intacts et ne sont pas affectés pendant 30 jours au maximum. Votre organisation n'a pas à payer de frais Macie pour le compte dans cette région tant que Macie est suspendu pour le compte dans la région.

**Pour suspendre Macie pour un compte de membre dans une organisation**  
Pour suspendre Macie pour un compte membre d'une organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour suspendre Macie pour un compte de membre à l'aide de la console Amazon Macie.

**Pour suspendre Macie pour un compte de membre**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez suspendre Macie pour un compte de membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte.

1. Dans le tableau **des comptes existants**, cochez la case correspondant au compte pour lequel Macie doit être suspendu.

1. Dans le menu **Actions**, choisissez **Suspendre Macie**.

1. Confirmez que vous souhaitez suspendre Macie pour le compte.

Une fois que vous avez confirmé la suspension, le statut du compte passe à **Suspendu (suspendu)** dans l'inventaire de votre compte. Pour suspendre Macie pour le compte dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

Pour réactiver Macie ultérieurement pour le compte, revenez à la page **Comptes** de la console. Cochez la case correspondant au compte, puis sélectionnez **Activer Macie** dans le menu **Actions**. Pour réactiver Macie pour le compte dans d'autres régions, répétez ces étapes dans chaque région supplémentaire.

------
#### [ API ]

Pour suspendre Macie pour un compte membre par programmation, utilisez l'API [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)Amazon Macie. Vous pouvez également utiliser cette opération pour réactiver ultérieurement Macie pour le compte.

Lorsque vous soumettez votre demande, utilisez le `id` paramètre pour spécifier l'identifiant de compte à 12 chiffres pour Compte AWS lequel vous souhaitez suspendre Macie. Pour le paramètre `status`, spécifiez `PAUSED`. Spécifiez également la région à laquelle s'applique la demande. Pour suspendre Macie pour le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte, vous pouvez utiliser [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le `onlyAssociated` paramètre dans votre demande. Si vous définissez la valeur de ce paramètre sur`true`, Macie renvoie un `members` tableau qui fournit des détails uniquement sur les comptes actuellement membres.

Pour suspendre Macie pour un compte de membre à l'aide de AWS CLI, exécutez la [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)commande. Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez suspendre Macie pour le compte. Utilisez le `id` paramètre pour spécifier l'ID du compte. Pour le paramètre `status`, spécifiez `PAUSED`. Par exemple :

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

Où se *us-east-1* trouve la région dans laquelle Macie doit être suspendue (région des États-Unis de l'Est (Virginie du Nord)), quel *123456789012* est le numéro de compte pour lequel Macie doit être suspendu et quel `PAUSED` est le nouveau statut de Macie pour le compte ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté `Paused` dans l'inventaire de votre compte. Pour réactiver Macie ultérieurement pour le compte, réexécutez la **update-member-session** commande et spécifiez le `ENABLED` `status` paramètre.

------

## Supprimer les comptes des membres Macie d'une organisation
<a name="accounts-mgmt-ao-members-remove"></a>

Si vous ne souhaitez plus accéder aux paramètres, aux données et aux ressources d'Amazon Macie pour un compte de membre, vous pouvez supprimer le compte en tant que compte de membre Macie. Pour ce faire, dissociez le compte de votre compte administrateur Macie. Notez que vous êtes le seul à pouvoir le faire pour un compte membre. Un compte AWS Organizations membre ne peut pas être dissocié de son compte administrateur Macie.

Lorsque vous supprimez un compte de membre Macie, Macie reste activé pour le compte en cours. Région AWS Cependant, le compte est dissocié de votre compte administrateur Macie et devient un compte Macie autonome. Cela signifie que vous perdez l'accès à tous les paramètres, données et ressources Macie du compte, y compris les métadonnées et les conclusions des politiques relatives aux données Amazon S3 du compte. Cela signifie également que vous ne pouvez plus utiliser Macie pour découvrir des données sensibles dans les compartiments S3 détenus par le compte. Si vous avez déjà créé des tâches de découverte de données sensibles à cette fin, les tâches ignorent les compartiments détenus par le compte. Si vous avez activé la découverte automatique des données sensibles pour le compte, vous et le compte du membre perdez l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.

Une fois que vous avez supprimé un compte de membre Macie, celui-ci continue d'apparaître dans l'inventaire de votre compte. Macie n'informe pas le propriétaire du compte que vous avez supprimé le compte. Par conséquent, pensez à contacter le propriétaire du compte pour vous assurer qu'il commence à gérer les paramètres et les ressources de son compte.

Vous pourrez ajouter le compte à nouveau à votre organisation ultérieurement. Si vous le faites et que vous réactivez la découverte automatique des données sensibles pour le compte dans les 30 jours, vous retrouverez également l'accès aux données et informations que Macie avait précédemment produites et fournies directement lors de la découverte automatique du compte. En outre, les exécutions suivantes de vos tâches existantes recommencent à inclure les compartiments S3 du compte.

**Pour supprimer un compte de membre Macie d'une organisation**  
Pour supprimer un compte de membre Macie de votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour supprimer un compte de membre Macie à l'aide de la console Amazon Macie.

**Pour supprimer un compte de membre Macie**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez supprimer un compte de membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés à votre compte.

1. Dans le tableau **Comptes existants**, cochez la case correspondant au compte que vous souhaitez supprimer en tant que compte membre.

1. Dans le menu **Actions**, choisissez **Dissocier le compte**.

1. Confirmez que vous souhaitez supprimer le compte sélectionné en tant que compte membre.

Une fois que vous avez confirmé votre sélection, le statut du compte passe à **Supprimé (dissocié)** dans l'inventaire de votre compte.

Pour supprimer le compte de membre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour supprimer un compte de membre Macie par programmation, utilisez l'API [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)Amazon Macie.

Lorsque vous soumettez votre demande, utilisez le `id` paramètre pour spécifier l' Compte AWS identifiant à 12 chiffres du compte membre à supprimer. Spécifiez également la région à laquelle s'applique la demande. Pour supprimer le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte membre à supprimer, vous pouvez utiliser [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le `onlyAssociated` paramètre dans votre demande. Si vous définissez la valeur de ce paramètre sur`true`, Macie renvoie un `members` tableau qui fournit des détails uniquement sur les comptes actuellement membres de Macie.

Pour supprimer un compte membre Macie à l'aide de AWS CLI, exécutez la commande [disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez supprimer le compte. Utilisez le `id` paramètre pour spécifier l'ID de compte du membre à supprimer. Par exemple :

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

Où se *us-east-1* trouve la région dans laquelle le compte doit être supprimé (région USA Est (Virginie du Nord)) et quel *123456789012* est l'identifiant du compte à supprimer ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté `Removed` dans l'inventaire de votre compte.

------

# Modifier le compte administrateur Macie d'une organisation
<a name="accounts-mgmt-ao-admin-change"></a>

Une fois qu'une AWS Organizations organisation est [intégrée et configurée](accounts-mgmt-ao-integrate.md) dans Amazon Macie, le compte de AWS Organizations gestion peut désigner un autre compte en tant que compte administrateur Macie délégué pour l'organisation. Le nouvel administrateur Macie peut alors reconfigurer l'organisation dans Macie.

En tant qu'utilisateur du compte de AWS Organizations gestion d'une organisation, vérifiez que vous répondez aux exigences d'autorisation suivantes avant de désigner un autre compte administrateur Macie pour votre organisation :
+ Vous devez disposer des [mêmes autorisations](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions) que celles requises pour désigner initialement un compte administrateur Macie pour votre organisation. Vous devez également être autorisé à effectuer l' AWS Organizations action suivante :`organizations:DeregisterDelegatedAdministrator`. Cette action supplémentaire vous permet de supprimer la désignation actuelle.
+ Si votre compte est actuellement un compte membre Macie, l'administrateur Macie actuel doit supprimer votre compte en tant que compte membre Macie. Sinon, vous ne serez pas autorisé à accéder aux opérations Macie pour désigner un autre compte administrateur. Une fois que vous avez désigné un nouveau compte administrateur, le nouvel administrateur Macie peut à nouveau ajouter votre compte en tant que compte membre Macie.

Si votre organisation utilise Macie à plusieurs reprises Régions AWS, assurez-vous également de modifier la désignation dans chaque région dans laquelle votre organisation utilise Macie. Le compte administrateur Macie délégué doit être le même dans toutes ces régions. Si vous gérez plusieurs organisations dans AWS Organizations, notez également qu'un compte ne peut être le compte d'administrateur Macie délégué que pour une seule organisation à la fois. Pour en savoir plus sur les exigences supplémentaires, voir[Considérations relatives à l'utilisation de Macie avec AWS Organizations](accounts-mgmt-ao-notes.md).

**Note**  
Lorsque vous désignez un autre compte administrateur Macie pour votre organisation, vous désactivez également l'accès aux données statistiques existantes, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la [découverte automatique des données sensibles](discovery-asdd.md) pour les comptes de l'organisation. Le nouvel administrateur Macie ne peut pas accéder aux données existantes. Si vous modifiez la désignation et que le nouvel administrateur Macie active la découverte automatique des comptes, Macie génère et gère de nouvelles données lorsqu'il effectue la découverte automatique des comptes.

**Pour modifier la désignation d'un compte administrateur Macie**  
Pour désigner un compte administrateur Macie différent pour votre organisation, vous pouvez utiliser la console Amazon Macie ou une combinaison des deux. AWS Organizations APIs Seul un utilisateur du compte de AWS Organizations gestion peut modifier la désignation de son organisation.

------
#### [ Console ]

Procédez comme suit pour modifier la désignation à l'aide de la console Amazon Macie.

**Pour modifier la désignation**

1. Connectez-vous au en AWS Management Console utilisant votre compte AWS Organizations de gestion.

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez modifier la désignation.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Procédez de l'une des manières suivantes, selon que Macie est activé ou non pour votre compte de gestion dans la région actuelle :
   + Si Macie n'est pas activé, choisissez **Commencer** sur la page d'accueil.
   + Si Macie est activé, choisissez **Paramètres** dans le volet de navigation.

1. Sous **Administrateur délégué**, choisissez **Supprimer**. Pour modifier la désignation, vous devez d'abord supprimer la désignation actuelle.

1. Confirmez que vous souhaitez supprimer la désignation actuelle.

1. Sous **Administrateur délégué**, entrez l'identifiant de compte à 12 chiffres Compte AWS pour le désigner comme nouveau compte administrateur Macie pour l'organisation.

1. Choisisssez **Delegate** (Déléguer).

Répétez les étapes précédentes dans chaque région supplémentaire dans laquelle vous avez intégré Macie. AWS Organizations

------
#### [ API ]

Pour modifier la désignation par programmation, vous devez utiliser deux opérations de l'API Amazon Macie et une opération de l'API. AWS Organizations En effet, vous devez supprimer la désignation actuelle à la fois dans Macie et AWS Organizations avant de soumettre la nouvelle désignation.

Pour supprimer la désignation actuelle :

1. Utilisez le [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)fonctionnement de l'API Macie. Pour le `adminAccountId` paramètre requis, spécifiez l'identifiant de compte à 12 chiffres pour Compte AWS le compte actuellement désigné comme le compte administrateur Macie de l'organisation.

1. Utilisez le [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)fonctionnement de l' AWS Organizations API. Pour le `AccountId` paramètre, spécifiez l'ID de compte à 12 chiffres du compte actuellement désigné comme compte administrateur Macie pour l'organisation. Cette valeur doit correspondre à l'identifiant de compte que vous avez spécifié dans la demande Macie précédente. Pour le `ServicePrincipal` paramètre, spécifiez le principal de service Macie (`macie.amazonaws.com`).

Après avoir supprimé la désignation actuelle, soumettez la nouvelle désignation en [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)utilisant l'API Macie. Pour le `adminAccountId` paramètre requis, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner comme nouveau compte administrateur Macie pour l'organisation.

Pour modifier la désignation à l'aide de AWS Command Line Interface (AWS CLI), exécutez la [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html)commande de l'API Macie et la [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html)commande de l' AWS Organizations API. Ces commandes suppriment la désignation actuelle dans Macie et AWS Organizations, respectivement. Pour les `account-id` paramètres `admin-account-id` et, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à supprimer en tant que compte administrateur Macie actuel. Utilisez le `region` paramètre pour spécifier la région à laquelle s'applique la suppression. Par exemple :

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

Où :
+ *us-east-1*est la région à laquelle s'applique la suppression, la région de l'est des États-Unis (Virginie du Nord).
+ *111122223333*est l'identifiant du compte à supprimer en tant que compte administrateur Macie.
+ `macie.amazonaws.com`est le directeur du service Macie.

Après avoir supprimé la désignation actuelle, soumettez la nouvelle désignation en exécutant la [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)commande de l'API Macie. Pour le `admin-account-id` paramètre, spécifiez l'identifiant de compte à 12 chiffres Compte AWS à désigner comme nouveau compte administrateur Macie pour l'organisation. Utilisez le `region` paramètre pour spécifier la région à laquelle la désignation s'applique. Par exemple :

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

Où se *us-east-1* trouve la région à laquelle s'applique la désignation (la région des États-Unis de l'Est (Virginie du Nord)) et *444455556666* l'identifiant du compte à désigner comme nouveau compte administrateur Macie.

------

# Désactivation de l'intégration de Macie avec AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

Une fois qu'une AWS Organizations organisation est intégrée à Amazon Macie, le compte AWS Organizations de gestion peut ensuite désactiver l'intégration. En tant qu'utilisateur du compte de AWS Organizations gestion, vous pouvez le faire en désactivant l'accès aux services sécurisés pour Macie in. AWS Organizations

Lorsque vous désactivez l'accès aux services sécurisés pour Macie, les événements suivants se produisent :
+ Macie perd son statut de service de confiance en AWS Organizations.
+ Le compte administrateur Macie de l'organisation perd l'accès à tous les paramètres, données et ressources Macie pour tous les comptes de membres Macie. Régions AWS
+ Tous les comptes des membres Macie deviennent des comptes Macie autonomes. Si Macie a été activé pour un compte membre dans une ou plusieurs régions, Macie continue d'être activé pour le compte dans ces régions. Toutefois, le compte n'est plus associé à un compte administrateur Macie dans aucune région. En outre, le compte perd l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de données sensibles pour le compte.

Pour plus d'informations sur les conséquences de la désactivation de l'accès aux services sécurisés, consultez la section [Utilisation AWS Organizations avec d'autres](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) personnes Services AWS dans le *Guide de l'AWS Organizations utilisateur*. 

**Pour désactiver l'accès sécurisé aux services pour Macie**  
Pour désactiver l'accès aux services sécurisés, vous pouvez utiliser la AWS Organizations console ou l' AWS Organizations API. Seul un utilisateur du compte de AWS Organizations gestion peut désactiver l'accès aux services sécurisés pour Macie. Pour plus de détails sur les autorisations dont vous avez besoin, consultez la section [Autorisations requises pour désactiver l'accès sécurisé](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) dans le *Guide de AWS Organizations l'utilisateur*.

Avant de désactiver l'accès aux services sécurisés, contactez éventuellement l'administrateur Macie délégué de votre organisation afin de suspendre ou de désactiver Macie pour les comptes des membres et de nettoyer les ressources Macie pour les comptes.

------
#### [ Console ]

Pour désactiver l'accès aux services sécurisés à l'aide de la AWS Organizations console, procédez comme suit.

**Pour désactiver l'accès au service approuvé**

1. Connectez-vous à l' AWS Management Console aide de votre compte AWS Organizations de gestion.

1. Ouvrez la AWS Organizations console à l'adresse [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Dans le panneau de navigation, choisissez **Services**.

1. Dans **Services intégrés**, sélectionnez **Amazon Macie**.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Confirmez que vous souhaitez désactiver l'accès sécurisé.

------
#### [ API ]

Pour désactiver l'accès aux services sécurisés par programmation, utilisez l'opération [Désactiver l'AWSServiceaccès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de l' AWS Organizations API. Pour le `ServicePrincipal` paramètre, spécifiez le principal de service Macie (`macie.amazonaws.com`).

Pour désactiver l'accès aux services sécurisés à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)commande de l' AWS Organizations API. Pour le `service-principal` paramètre, spécifiez le principal de service Macie (`macie.amazonaws.com`). Par exemple :

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------

# Gérer plusieurs comptes Macie sur invitation
<a name="accounts-mgmt-invitations"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations à la AWS Organizations place de Macie pour gérer les comptes des membres. Pour de plus amples informations, veuillez consulter [Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md).

Vous pouvez gérer de manière centralisée plusieurs comptes Amazon Macie de deux manières : en intégrant Macie à AWS Organizations ou en utilisant des invitations d'adhésion. Si vous utilisez des invitations d'adhésion, un administrateur Macie désigné peut gérer Macie pour un maximum de 1 000 comptes. L'administrateur peut également accéder aux données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et découvrir des données sensibles dans les compartiments S3 détenus par les comptes. Pour plus de détails sur les tâches que l'administrateur peut effectuer, consultez[Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md).

Dans une organisation basée sur des invitations, vous associez des comptes Macie entre eux en envoyant et en acceptant des invitations d'adhésion dans Macie. Si vous envoyez une invitation et qu'elle est acceptée par un autre compte, vous devenez l'administrateur Macie de l'autre compte et l'autre compte devient un compte membre de votre organisation. Si vous recevez et acceptez une invitation, votre compte devient un compte membre et l'administrateur Macie peut accéder à certains paramètres, données et ressources Macie de votre compte.

Si vous créez une organisation basée sur des invitations dans Macie, vous pouvez ensuite [passer](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-transition-ao) à l'utilisation à la place. AWS Organizations Vous pouvez également utiliser les deux méthodes en même temps pour gérer plusieurs comptes Macie. Par exemple, si votre AWS environnement inclut des comptes de test, vous pouvez les exclure de votre organisation AWS Organizations et les gérer séparément sur invitation.

Les rubriques de cette section expliquent comment créer et participer à une organisation basée sur des invitations, et comment effectuer diverses tâches administratives pour l'organisation.

**Topics**
+ [Considérations et recommandations](accounts-mgmt-invitations-notes.md)
+ [Création et gestion d'une organisation](accounts-mgmt-invitations-administer.md)
+ [Révision des comptes de l'organisation](accounts-mgmt-invitations-review.md)
+ [Modifier le compte administrateur](accounts-mgmt-invitations-admin-change.md)
+ [Gérer votre adhésion à une organisation](accounts-mgmt-invitations-membership-manage.md)

# Considérations relatives aux organisations basées sur des invitations à Macie
<a name="accounts-mgmt-invitations-notes"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations à la AWS Organizations place de Macie pour gérer les comptes des membres. Pour de plus amples informations, veuillez consulter [Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md).

Avant de créer ou de commencer à gérer une organisation basée sur des invitations dans Amazon Macie, tenez compte des exigences et recommandations suivantes. Assurez-vous également de bien comprendre la [relation entre les comptes administrateur et membre de Macie](accounts-mgmt-relationships.md).

**Topics**
+ [Choisir un compte administrateur Macie](#accounts-mgmt-invitations-notes-admin-designate)
+ [Envoyer des invitations et gérer les comptes des membres Macie](#accounts-mgmt-invitations-notes-members-manage)
+ [Répondre aux invitations aux membres et les gérer](#accounts-mgmt-invitations-notes-invitations-manage)
+ [Transition vers AWS Organizations](#accounts-mgmt-invitations-notes-transition-ao)

## Choisir un compte administrateur Macie
<a name="accounts-mgmt-invitations-notes-admin-designate"></a>

Lorsque vous déterminez quel compte doit être le compte administrateur Macie de l'organisation, gardez les points suivants à l'esprit :
+ Une organisation ne peut avoir qu'un seul compte administrateur Macie.
+ Un compte ne peut pas être un compte administrateur Macie et un compte membre à la fois.
+ Macie est un service régional. Cela signifie que l'association entre un compte administrateur Macie et un compte membre est régionale : l'association n'existe Région AWS que dans le cas où une invitation est envoyée et acceptée. Par exemple, si l'administrateur Macie envoie des invitations dans la région USA Est (Virginie du Nord) et que ces invitations sont acceptées, l'administrateur Macie peut gérer les comptes des membres uniquement dans cette région.
+ Pour gérer de manière centralisée plusieurs comptes Macie Régions AWS, l'administrateur Macie doit se connecter à chaque région dans laquelle l'organisation utilise actuellement ou prévoit d'utiliser Macie, et envoyer des invitations aux comptes appropriés dans chacune de ces régions. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS*
+ Un compte membre ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si votre organisation utilise Macie dans plusieurs régions, cela signifie que le compte administrateur Macie doit être le même dans toutes ces régions. Toutefois, les comptes administrateur et membre doivent envoyer et accepter les invitations séparément dans chaque région.

Si l'administrateur Macie Compte AWS est suspendu, isolé ou fermé, tous les comptes de membre associés sont automatiquement supprimés en tant que comptes de membre, mais Macie continue d'être activé pour ces comptes. Les comptes deviennent des comptes Macie autonomes. Si la [découverte automatique des données sensibles](discovery-asdd.md) a été activée pour le compte d'un membre, elle est désactivée pour le compte. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte. Au bout de 30 jours, ces données expirent et Macie les supprime définitivement. Pour rétablir l'accès aux données avant leur expiration, restaurez celui de l'administrateur Macie Compte AWS, puis utilisez ce compte pour créer et configurer à nouveau l'organisation.

## Envoyer des invitations et gérer les comptes des membres Macie
<a name="accounts-mgmt-invitations-notes-members-manage"></a>

En tant qu'administrateur Macie d'une organisation basée sur des invitations, gardez à l'esprit les points suivants lorsque vous envoyez des invitations et gérez des comptes au sein de l'organisation :
+ Si vous envoyez une invitation, les données associées peuvent être transférées Régions AWS. C'est le cas car Macie vérifie l'adresse e-mail du compte destinataire à l'aide d'un service de vérification des e-mails qui fonctionne uniquement dans la région de l'est des États-Unis (Virginie du Nord).
+ Vous pouvez envoyer une invitation à n'importe quel compte actif Compte AWS, y compris aux comptes qui n'ont pas activé Macie. Toutefois, pour accepter ou refuser une invitation, le compte destinataire doit activer Macie dans la région d'où l'invitation a été envoyée.
+ Dans chaque Région AWS cas, un compte administrateur Macie peut être associé à un maximum de 1 000 comptes sur invitation. Cela inclut les comptes qui n'ont pas encore répondu aux invitations. Si votre compte atteint ce quota, vous ne pouvez pas ajouter ni inviter de comptes supplémentaires. Pour déterminer le nombre de comptes actuellement associés à votre compte, vous pouvez utiliser la page **Comptes** de la console Amazon Macie ou le [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Pour de plus amples informations, veuillez consulter [Révision des comptes Macie pour une organisation basée sur des invitations](accounts-mgmt-invitations-review.md).

  Pour réduire le nombre de comptes associés, vous pouvez : supprimer les associations avec des comptes qui ne sont pas actuellement des comptes membres, supprimer le nombre nécessaire de comptes membres ou une combinaison des deux. Si un compte quitte votre organisation ou refuse une invitation que vous avez envoyée, cela réduit également le nombre de comptes associés à votre compte.
+ Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Cela signifie qu'un compte ne peut pas accepter votre invitation s'il est déjà associé à un autre compte administrateur Macie. Le compte doit d'abord se dissocier de son compte administrateur Macie actuel.
+ Dans une organisation basée sur des invitations, un compte membre peut se dissocier de son compte administrateur Macie à tout moment. Dans ce cas, Macie continue d'être activé pour le compte, mais celui-ci devient un compte Macie autonome. Macie ne vous avertit pas si le compte d'un membre se dissocie de votre compte d'administrateur. Cependant, le compte continue d'apparaître dans l'inventaire de votre compte et il a le statut de **membre démissionnaire**.
+ Si vous supprimez un compte membre de votre organisation, Macie continue d'être activé pour ce compte. Le compte devient un compte Macie autonome.

## Répondre aux invitations aux membres et les gérer
<a name="accounts-mgmt-invitations-notes-invitations-manage"></a>

En tant que destinataire d'une invitation ou membre d'une organisation basée sur des invitations, gardez à l'esprit les points suivants lorsque vous répondez aux invitations que vous recevez et que vous les gérez :
+ Avant d'accepter une invitation, assurez-vous de bien comprendre la [relation entre les comptes administrateur et membre de Macie](accounts-mgmt-relationships.md).
+ Votre compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si vous acceptez une invitation et souhaitez ensuite rejoindre une autre organisation (par invitation ou via AWS Organizations), vous devez d'abord dissocier votre compte de son compte administrateur Macie actuel. Vous pouvez ensuite rejoindre l'autre organisation.
+ Pour accepter ou refuser une invitation, vous devez activer Macie dans le pays d' Région AWS où l'invitation a été envoyée. Le compte qui a envoyé l'invitation ne peut pas activer Macie dans cette région pour vous. Le refus d'une invitation est facultatif. Si vous refusez une invitation, vous pouvez éventuellement désactiver Macie dans la région applicable après avoir décliné l'invitation.
+ Si vous êtes administrateur Macie, vous ne pouvez pas accepter une invitation à devenir un compte membre. Un compte ne peut pas être à la fois administrateur et compte membre Macie. Pour devenir un compte membre, vous devez d'abord dissocier votre compte de tous ses comptes membres en supprimant tous les comptes membres de votre organisation actuelle.
+ Macie est un service régional. Si vous acceptez une invitation, l'association entre votre compte et le compte administrateur Macie est régionale : l'association n'existe Région AWS que dans le pays d'où l'invitation a été envoyée et acceptée.
+ Si vous utilisez Macie dans plusieurs régions, le compte administrateur Macie de votre compte doit être le même dans toutes ces régions. Cependant, l'administrateur Macie doit vous envoyer des invitations séparément dans chaque région, et vous devez accepter les invitations séparément dans chaque région.
+ Vous pouvez dissocier votre compte d'un compte administrateur Macie à tout moment. De même, votre administrateur Macie peut supprimer votre compte de son organisation à tout moment. Si l'un ou l'autre se produit :
  + Macie est toujours activé pour votre compte. Votre compte devient un compte Macie autonome.
  + La découverte automatique des données sensibles est désactivée pour votre compte, si elle a été activée. Cela désactive également l'accès aux données statistiques existantes, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de votre compte. Vous pouvez réactiver la découverte automatique pour votre compte. Toutefois, cela ne rétablit pas l'accès aux données existantes. Au lieu de cela, Macie génère et gère de nouvelles données tout en effectuant la découverte automatique de votre compte.

## Transition vers AWS Organizations
<a name="accounts-mgmt-invitations-notes-transition-ao"></a>

Après avoir créé une organisation basée sur des invitations dans Macie, vous pouvez passer à l'utilisation à la place. AWS Organizations Pour simplifier la transition, nous vous recommandons de désigner le compte administrateur existant basé sur des invitations comme compte administrateur Macie de l'organisation dans. AWS Organizations

Dans ce cas, tous les comptes de membres actuellement associés restent membres. Si un compte membre fait partie de l'organisation dans AWS Organizations, l'association du compte passe automatiquement de **By invitation** à **Via AWS Organizations** in Macie. Si le compte d'un membre ne fait pas partie de l'organisation dans AWS Organizations, l'association du compte continue **d'être sur invitation**. Dans les deux cas, les comptes continuent d'être associés au compte administrateur Macie en tant que comptes de membre. En ce qui concerne la découverte de données sensibles, cela signifie également que les comptes peuvent continuer à accéder aux données statistiques et autres données produites et fournies directement par Macie tout en effectuant une découverte automatique des données sensibles pour les comptes. En outre, si l'administrateur Macie a configuré des tâches de découverte de données sensibles pour analyser les données des comptes, les exécutions de tâches suivantes continueront d'inclure les ressources détenues par les comptes.

Nous recommandons cette approche car un compte membre ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si vous désignez un autre compte comme compte administrateur Macie pour une organisation dans AWS Organizations, l'administrateur désigné ne pourra pas gérer les comptes déjà associés à un autre compte administrateur Macie sur invitation. Chaque compte membre doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations. Ce n'est qu'alors que l'administrateur Macie de l' AWS Organizations organisation pourra ajouter le compte du membre à son organisation et commencer à gérer Macie pour le compte.

Après avoir intégré Macie à Macie AWS Organizations et configuré votre organisation dans Macie, vous pouvez éventuellement désigner un compte administrateur Macie différent pour l'organisation. Vous pouvez également continuer à utiliser des invitations pour associer et gérer des comptes de membres qui ne font pas partie de votre organisation AWS Organizations.

Pour plus d'informations sur l'intégration de Macie à AWS Organizations, consultez[Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md).

# Création et gestion d'une organisation basée sur les invitations dans Macie
<a name="accounts-mgmt-invitations-administer"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations à la AWS Organizations place de Macie pour gérer les comptes des membres. Pour de plus amples informations, veuillez consulter [Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md).

Pour créer une organisation basée sur des invitations dans Amazon Macie, vous devez d'abord déterminer le compte que vous souhaitez utiliser comme compte administrateur Macie pour l'organisation. Vous utilisez ensuite ce compte pour ajouter des comptes de membre : vous envoyez des invitations d'adhésion à d'autres personnes Comptes AWS, les invitant à rejoindre l'organisation en tant que comptes membres Macie actuels. Région AWS Pour créer l'organisation dans plusieurs régions, envoyez des invitations d'adhésion depuis chaque région dans laquelle les autres comptes utilisent actuellement ou prévoient d'utiliser Macie.

Lorsqu'un compte accepte une invitation, il devient un compte membre Macie associé au compte administrateur Macie dans la région applicable. Le compte administrateur Macie peut ensuite accéder à certains paramètres, données et ressources Macie pour le compte membre dans cette région. 

En tant qu'administrateur Macie d'une organisation basée sur des invitations, vous pouvez consulter les données d'inventaire d'Amazon Simple Storage Service (Amazon S3) et les conclusions relatives aux politiques relatives aux comptes membres. Vous pouvez également activer la découverte automatique des données sensibles et exécuter des tâches de découverte de données sensibles pour détecter les données sensibles dans les compartiments S3 détenus par les comptes membres. Pour une liste détaillée des tâches que vous pouvez effectuer, consultez[Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md).

Par défaut, Macie vous donne une visibilité sur les données et les ressources pertinentes pour l'ensemble de votre organisation. Vous pouvez également passer en revue les données et les ressources des comptes individuels de votre organisation. Par exemple, si vous [utilisez le tableau de bord récapitulatif](monitoring-s3-dashboard.md) pour évaluer le niveau de sécurité de votre organisation sur Amazon S3, vous pouvez filtrer les données par compte. De même, si vous [surveillez les coûts d'utilisation estimés](account-mgmt-costs.md), vous pouvez accéder à la ventilation des coûts estimés pour les comptes de membres individuels.

Outre les tâches communes aux comptes d'administrateur et de membre, vous pouvez effectuer de manière centralisée diverses tâches administratives pour votre organisation. Avant d'effectuer ces tâches, il est conseillé de passer en revue les [considérations et les recommandations](accounts-mgmt-invitations-notes.md) relatives à la gestion des organisations basées sur des invitations dans Macie.

**Topics**
+ [Ajouter des comptes de membres](#accounts-mgmt-invitations-members-add)
+ [Suspension de Macie pour les comptes des membres](#accounts-mgmt-invitations-members-suspend)
+ [Supprimer des comptes de membres](#accounts-mgmt-invitations-members-remove)
+ [Supprimer des associations avec d'autres comptes](#accounts-mgmt-invitations-members-disassociate)

## Ajouter des comptes de membres Macie à une organisation basée sur des invitations
<a name="accounts-mgmt-invitations-members-add"></a>

En tant qu'administrateur Amazon Macie d'une organisation basée sur des invitations, vous ajoutez des comptes de membres à votre organisation en effectuant deux étapes principales :

1. Ajoutez les comptes à l'inventaire de vos comptes dans Macie. Cela permet d'associer les comptes à votre compte.

1. Envoyez des invitations d'adhésion aux comptes.

Lorsqu'un compte accepte votre invitation, il devient un compte membre de votre organisation.

### Étape 1 : Ajoutez les comptes
<a name="accounts-mgmt-invitations-members-add-associate"></a>

Pour ajouter un ou plusieurs comptes à l'inventaire de votre compte, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Avec la console Amazon Macie, vous pouvez ajouter un compte à la fois ou ajouter plusieurs comptes en même temps en téléchargeant un fichier CSV (valeurs séparées par des virgules). Procédez comme suit pour ajouter un ou plusieurs comptes à l'aide de la console.

**Pour ajouter un compte**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter un compte.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes actuellement associés à votre compte.

1. Choisissez **Add accounts**.

1. Dans la section **Entrez les détails du compte**, choisissez **Ajouter un compte**. Ensuite, procédez comme suit :
   + Pour **ID de compte**, entrez l'identifiant de compte à 12 chiffres Compte AWS à ajouter.
   + Dans **Adresse e-mail**, entrez l'adresse e-mail Compte AWS à ajouter.

1. Choisissez **Ajouter**.

1. Au bas de la page, sélectionnez **Next**.

Macie ajoute le compte à l'inventaire de votre compte. Le type de compte est **Sur invitation** et son statut est **Créé**. Pour ajouter le compte dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

**Pour ajouter plusieurs comptes**

1. À l'aide d'un éditeur de texte, créez un fichier CSV comme suit :

   1. Ajoutez l'en-tête suivant comme première ligne du fichier : `Account ID,Email`

   1. Pour chaque compte, créez une nouvelle ligne contenant l'identifiant de compte à 12 chiffres Compte AWS à ajouter et l'adresse e-mail du compte. Séparez les entrées par une virgule, par exemple : `111111111111,janedoe@example.com`

      L'adresse e-mail doit correspondre à l'adresse e-mail associée au Compte AWS.

   1. Vérifiez que le contenu du fichier est formaté comme indiqué dans l'exemple suivant, qui contient l'en-tête et les informations requis pour trois comptes :

      ```
      Account ID,Email
      111111111111,janedoe@example.com
      222222222222,jorgesouza@example.com
      333333333333,lijuan@example.com
      ```

   1. Enregistrez le fichier sur votre ordinateur.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter les comptes.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes actuellement associés à votre compte.

1. Choisissez **Add accounts**.

1. Dans la section **Entrez les détails du compte**, choisissez **Charger la liste (CSV)**.

1. Choisissez **Parcourir**, puis sélectionnez le fichier CSV que vous avez créé à l'étape 1.

1. Choisissez **Add accounts**.

1. Au bas de la page, sélectionnez **Next**.

Macie ajoute les comptes à l'inventaire de vos comptes. Leur type est **Par invitation** et leur statut est **créé**. Pour ajouter les comptes dans d'autres régions, répétez les étapes 3 à 8 dans chaque région supplémentaire.

------
#### [ API ]

Pour ajouter un ou plusieurs comptes par programmation, utilisez l'[CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)API Amazon Macie. Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres et l'adresse e-mail de chacun Compte AWS à ajouter. Spécifiez également la région à laquelle s'applique la demande. Pour ajouter des comptes dans des régions supplémentaires, soumettez la demande dans chaque région supplémentaire.

Pour ajouter des comptes à l'aide de AWS Command Line Interface (AWS CLI), exécutez la commande [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez ajouter les comptes. Utilisez les `account` paramètres pour spécifier l'ID de compte et l'adresse e-mail de chacun Compte AWS à ajouter. Par exemple :

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}
```

Où se *us-east-1* trouve la région dans laquelle ajouter le compte (région USA Est (Virginie du Nord)) et les `account` paramètres spécifient l'ID du compte (*111111111111*) et l'adresse e-mail (*janedoe@example.com*) du compte à ajouter.

Si votre demande aboutit, Macie ajoute chaque compte à l'inventaire de votre compte avec un statut de `Created` et vous recevez un résultat similaire à ce qui suit :

```
{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}
```

Où se `arn` trouve le nom de ressource Amazon (ARN) de la ressource créée pour l'association entre votre compte et le compte que vous avez ajouté ? Dans cet exemple, `123456789012` il s'agit de l'ID de compte du compte qui a créé l'association et `111111111111` de l'ID de compte du compte ajouté.

------

### Étape 2 : envoyer des invitations d'adhésion aux comptes
<a name="accounts-mgmt-invitations-members-add-invite"></a>

Après avoir ajouté un compte à l'inventaire de vos comptes, vous pouvez l'inviter à rejoindre votre organisation en tant que compte membre Macie. Pour ce faire, envoyez une invitation d'adhésion au compte. Lorsque vous envoyez une invitation, un badge de **compte** et une notification apparaissent sur la console Amazon Macie pour le compte du destinataire, si Macie est activé pour le compte. Macie crée également un AWS Health événement pour le compte.

Selon que vous utilisez la console ou l'API Amazon Macie pour envoyer l'invitation, Macie envoie également l'invitation à l'adresse e-mail que vous avez spécifiée pour le compte du destinataire lorsque vous avez ajouté le compte. Le message électronique indique que vous souhaitez devenir l'administrateur Macie de leur compte, et il inclut l'identifiant de votre compte Compte AWS et celui du Compte AWS destinataire. Le message explique également comment accéder à l'invitation. Vous pouvez éventuellement ajouter du texte personnalisé au message.

Pour envoyer une invitation d'adhésion à un ou plusieurs comptes, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour envoyer une invitation d'adhésion à l'aide de la console Amazon Macie.

**Pour envoyer une invitation d'adhésion**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez envoyer l'invitation.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes actuellement associés à votre compte.

1. Dans le tableau **Comptes existants**, cochez la case correspondant à chaque compte auquel vous souhaitez envoyer l'invitation.
**Astuce**  
Pour identifier plus facilement les comptes que vous avez ajoutés et auxquels vous n'avez pas encore envoyé d'invitations, vous pouvez filtrer le tableau. Pour ce faire, placez votre curseur dans la zone de filtre située au-dessus du tableau, puis choisissez **Status**. Choisissez ensuite **Status = Created**.

1. Dans le menu **Actions**, choisissez **Inviter**.

1. (Facultatif) Dans la zone **Message**, entrez le texte personnalisé que vous souhaitez inclure dans le message électronique contenant l'invitation. Le texte peut contenir jusqu'à 80 caractères alphanumériques.

1. Choisissez **Inviter**.

Pour envoyer l'invitation en plus Régions AWS, répétez les étapes précédentes dans chaque région supplémentaire.

Une fois que vous avez envoyé l'invitation, le statut du compte du destinataire passe à **Vérification par e-mail en cours** dans l'inventaire de votre compte. Si Macie peut vérifier l'adresse e-mail d'un compte, le statut du compte passe ensuite à **Invité**. Si Macie ne parvient pas à vérifier l'adresse, le statut du compte passe à la **validation par e-mail. Échec**. Dans ce cas, contactez le propriétaire du compte pour obtenir la bonne adresse e-mail. [Supprimez ensuite l'association entre vos comptes](#accounts-mgmt-invitations-members-disassociate), [ajoutez à nouveau le compte](#accounts-mgmt-invitations-members-add-associate) et envoyez à nouveau l'invitation.

Lorsqu'un destinataire accepte une invitation, le statut du compte du destinataire passe à **Activé** dans l'inventaire de votre compte. Si un destinataire refuse une invitation, le compte du destinataire est dissocié de votre compte et supprimé de l'inventaire de votre compte.

------
#### [ API ]

Pour envoyer une invitation par programmation, utilisez le [CreateInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html)fonctionnement de l'API Amazon Macie. Lorsque vous soumettez votre demande, utilisez les paramètres pris en charge pour spécifier l'identifiant de compte à 12 chiffres pour chacun des Compte AWS utilisateurs auxquels envoyer l'invitation. L'identifiant de compte doit correspondre à celui d'un compte figurant dans l'inventaire de votre compte. Dans le cas contraire, une erreur se produit. Spécifiez également la région à partir de laquelle vous souhaitez envoyer l'invitation. Pour envoyer l'invitation depuis des régions supplémentaires, soumettez la demande dans chaque région supplémentaire.

Dans votre demande, vous pouvez également indiquer si vous souhaitez envoyer l'invitation sous forme de message électronique et si vous souhaitez inclure un texte personnalisé dans ce message. Si vous choisissez d'envoyer un e-mail, Macie envoie l'invitation à l'adresse e-mail que vous avez spécifiée pour un compte lorsque vous l'avez ajouté à l'inventaire de votre compte. Pour envoyer l'invitation sous forme de message électronique, omettez le `disableEmailNotification` paramètre ou définissez la valeur du paramètre sur. `false` (La valeur par défaut est `false`.) Pour ajouter du texte personnalisé au message, utilisez le `message` paramètre pour spécifier le texte à ajouter. Le texte peut contenir jusqu'à 80 caractères alphanumériques.

Pour envoyer des invitations à l'aide de AWS CLI, exécutez la commande [create-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-invitations.html). Utilisez le `region` paramètre pour spécifier la région à partir de laquelle envoyer l'invitation. Utilisez le `account-ids` paramètre pour spécifier l'identifiant de compte de chacun Compte AWS des destinataires auxquels envoyer l'invitation. Par exemple :

```
C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]
```

D'où se *us-east-1* trouve la région d'où envoyer l'invitation (région USA Est (Virginie du Nord)) et le `account-ids` paramètre spécifie le compte IDs de trois comptes auxquels envoyer l'invitation. Pour envoyer également une invitation sous forme de message électronique, incluez également le `no-disable-email-notification` paramètre et incluez éventuellement le `message` paramètre pour spécifier le texte personnalisé à ajouter au message.

Une fois que vous avez envoyé l'invitation, le statut de chaque compte destinataire passe à`EmailVerificationInProgress`. Si Macie peut vérifier l'adresse e-mail d'un compte, le statut du compte passe ensuite à`Invited`. Si Macie ne parvient pas à vérifier l'adresse, le statut du compte passe à`EmailVerificationFailed`. Dans ce cas, contactez le titulaire du compte pour obtenir la bonne adresse. [Supprimez ensuite l'association entre vos comptes](#accounts-mgmt-invitations-members-disassociate), [ajoutez à nouveau le compte](#accounts-mgmt-invitations-members-add-associate) et envoyez à nouveau l'invitation.

Lorsqu'un destinataire accepte une invitation, le statut du compte du destinataire passe `Enabled` à l'inventaire de votre compte. Si un destinataire refuse une invitation, le compte du destinataire est dissocié de votre compte et supprimé de l'inventaire de votre compte.

------

## Suspension de Macie pour les comptes des membres d'une organisation basée sur des invitations
<a name="accounts-mgmt-invitations-members-suspend"></a>

En tant qu'administrateur Amazon Macie d'une organisation, vous pouvez suspendre Macie d'une manière spécifique Région AWS pour les comptes de membres individuels de votre organisation. Notez toutefois que vous ne pouvez pas réactiver Macie pour un compte de membre après l'avoir suspendu. Seul un utilisateur du compte peut ensuite réactiver Macie pour le compte.

Lorsque vous suspendez Macie pour un compte de membre :
+ Macie perd l'accès aux données Amazon S3 du compte dans la région et cesse de les fournir.
+ Macie cesse d'effectuer toutes les activités liées au compte dans la Région. Cela inclut la surveillance des compartiments S3 à des fins de sécurité et de contrôle d'accès, la découverte automatique des données sensibles et l'exécution des tâches de découverte de données sensibles en cours.
+ Macie annule toutes les tâches de découverte de données sensibles créées par le compte dans la région. Une tâche ne peut pas être reprise ou redémarrée après son annulation. Si vous avez créé des tâches pour analyser les données détenues par le compte du membre, Macie n'annule pas vos tâches. Au lieu de cela, les tâches ignorent les ressources détenues par le compte.

Pendant la suspension, Macie conserve l'identifiant de session Macie, les paramètres et les ressources qu'il stocke ou gère pour le compte dans la région applicable. Macie conserve également certaines données relatives au compte dans la Région. Par exemple, les résultats du compte restent intacts et ne sont pas affectés pendant 90 jours au maximum. Si la découverte automatique des données sensibles a été activée pour le compte, les résultats existants restent également intacts et ne sont pas affectés pendant 30 jours au maximum. Le compte n'est pas débité pour l'utilisation de Macie dans la région applicable tant que Macie est suspendu pour le compte dans cette région.

**Pour suspendre Macie pour un compte de membre dans une organisation basée sur des invitations**  
Pour suspendre Macie pour un compte membre dans une organisation basée sur des invitations, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour suspendre Macie pour un compte de membre à l'aide de la console Amazon Macie.

**Pour suspendre Macie pour un compte de membre**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez suspendre Macie pour un compte de membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes actuellement associés à votre compte.

1. Dans le tableau **des comptes existants**, cochez la case correspondant au compte pour lequel vous souhaitez suspendre Macie.

1. Dans le menu **Actions**, choisissez **Suspendre Macie**.

1. Confirmez que vous souhaitez suspendre Macie pour le compte sélectionné.

Une fois que vous avez confirmé la suspension, le statut du compte passe à **Suspendu (suspendu)** dans l'inventaire de votre compte.

Pour suspendre Macie pour le compte dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour suspendre Macie pour un compte membre par programmation, utilisez l'API [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)Amazon Macie. Lorsque vous soumettez votre demande, utilisez le `id` paramètre pour spécifier l'identifiant de compte à 12 chiffres du compte pour Compte AWS lequel vous souhaitez suspendre Macie. Pour le `status` paramètre, spécifiez `PAUSED` comme nouveau statut pour Macie. Spécifiez également la région à laquelle s'applique la demande. Pour suspendre Macie dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte membre, vous pouvez utiliser [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le `onlyAssociated` paramètre dans votre demande. Si vous définissez la valeur de ce paramètre sur`true`, Macie renvoie un `members` tableau qui fournit des détails uniquement sur les comptes actuellement membres de votre compte administrateur.

Pour suspendre Macie pour un compte de membre à l'aide de AWS CLI, exécutez la [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)commande. Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez suspendre Macie. Utilisez le `id` paramètre pour spécifier l'identifiant du compte pour lequel Macie doit être suspendu. Pour le paramètre `status`, spécifiez `PAUSED`. Par exemple :

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

Où se *us-east-1* trouve la région dans laquelle Macie doit être suspendue (région des États-Unis de l'Est (Virginie du Nord)), quel *123456789012* est le numéro de compte pour lequel Macie doit être suspendu et quel `PAUSED` est le nouveau statut de Macie pour le compte ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté `Paused` dans l'inventaire de votre compte.

------

## Supprimer les comptes de membres Macie d'une organisation basée sur des invitations
<a name="accounts-mgmt-invitations-members-remove"></a>

En tant qu'administrateur Amazon Macie, vous pouvez supprimer un compte membre de votre organisation. Pour ce faire, dissociez le compte de votre compte administrateur Macie.

Si vous supprimez un compte de membre, Macie continue d'être activé pour ce compte et le compte continue d'apparaître dans l'inventaire de votre compte. Cependant, le compte devient un compte Macie autonome. Macie n'avertit pas le propriétaire du compte lorsque vous le supprimez. Par conséquent, pensez à contacter le propriétaire du compte pour vous assurer qu'il commence à gérer les paramètres et les ressources de son compte.

Lorsque vous supprimez un compte membre, vous perdez l'accès à tous les paramètres, ressources et données Macie du compte. Cela inclut les conclusions relatives aux politiques et les métadonnées relatives aux compartiments S3 détenus par le compte. En outre, vous ne pouvez plus utiliser Macie pour découvrir des données sensibles dans les compartiments S3 détenus par le compte. Si vous avez déjà créé des tâches de découverte de données sensibles à cette fin, les tâches ignorent les compartiments détenus par le compte. Si vous avez activé la découverte automatique des données sensibles pour le compte, vous et le compte perdez l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.

Après avoir supprimé un compte membre, vous pouvez l'ajouter à nouveau à votre organisation en envoyant une nouvelle invitation au compte. Si le compte accepte la nouvelle invitation et que vous activez la découverte automatique des données sensibles dans un délai de 30 jours, vous retrouverez également l'accès aux données et informations que Macie avait précédemment produites et fournies directement lors de la découverte automatique du compte. En outre, les exécutions suivantes de vos tâches existantes recommencent à inclure les compartiments S3 du compte.

Si vous supprimez un compte de membre et que vous n'avez pas l'intention de l'ajouter à nouveau, vous pouvez le supprimer complètement de l'inventaire de votre compte. Pour savoir comment procéder, consultez [Supprimer des associations avec d'autres comptes](#accounts-mgmt-invitations-members-disassociate).

**Pour supprimer un compte membre d'une organisation basée sur une invitation**  
Pour supprimer un compte membre de votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour supprimer un compte membre à l'aide de la console Amazon Macie.

**Pour supprimer un compte de membre**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez supprimer un compte de membre.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes actuellement associés à votre compte.

1. Dans le tableau **Comptes existants**, cochez la case correspondant au compte que vous souhaitez supprimer.

1. Dans le menu **Actions**, choisissez **Dissocier le compte**.

1. Confirmez que vous souhaitez supprimer le compte sélectionné en tant que compte membre.

Une fois que vous avez confirmé votre sélection, le statut du compte passe à **Supprimé (dissocié)** dans l'inventaire de votre compte.

Pour supprimer le compte de membre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour supprimer un compte membre par programmation, utilisez l'[DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)API Amazon Macie. Lorsque vous soumettez votre demande, utilisez le `id` paramètre pour spécifier l' Compte AWS identifiant à 12 chiffres du compte membre à supprimer. Spécifiez également la région à laquelle s'applique la demande. Pour supprimer le compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte à supprimer, vous pouvez utiliser [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Dans ce cas, pensez à filtrer les résultats en incluant le `onlyAssociated` paramètre dans votre demande. Si vous définissez la valeur de ce paramètre sur`true`, Macie renvoie un `members` tableau qui fournit des détails uniquement sur les comptes actuellement membres de votre compte.

Pour supprimer un compte membre à l'aide de AWS CLI, exécutez la commande [disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez supprimer le compte. Utilisez le `id` paramètre pour spécifier l'ID du compte à supprimer. Par exemple :

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

Où se *us-east-1* trouve la région dans laquelle le compte doit être supprimé (région USA Est (Virginie du Nord)) et quel *123456789012* est l'identifiant du compte à supprimer ?

Si votre demande aboutit, Macie renvoie une réponse vide et le statut du compte spécifié est reporté `Removed` dans l'inventaire de votre compte.

------

## Supprimer des associations avec d'autres comptes
<a name="accounts-mgmt-invitations-members-disassociate"></a>

Après avoir ajouté un compte à l'inventaire de votre compte sur Amazon Macie, vous pouvez supprimer l'association entre votre compte et l'autre compte. Vous pouvez le faire pour n'importe quel compte de votre inventaire, à l'exception des comptes suivants :
+ Un compte qui fait partie de votre organisation dans AWS Organizations. Ce type d'association n'est AWS Organizations pas contrôlé par Macie.
+ Un compte de membre qui a accepté une invitation d'adhésion de Macie à rejoindre votre organisation. Dans ce cas, vous devez [supprimer le compte membre](#accounts-mgmt-invitations-members-remove) avant de pouvoir supprimer l'association.

Lorsque vous supprimez une association, Macie supprime le compte de son inventaire. Si vous souhaitez restaurer ultérieurement l'association, vous devez ajouter à nouveau le compte comme s'il s'agissait d'un tout nouveau compte.

**Pour supprimer une association avec un autre compte**  
Pour supprimer une association entre votre compte et un autre compte, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Pour utiliser la console Amazon Macie afin de supprimer une association avec un autre compte, procédez comme suit.

**Pour supprimer une association**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez supprimer une association.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes actuellement associés à votre compte.

1. Dans le tableau **Comptes existants**, cochez la case du compte dont vous souhaitez supprimer l'association.

1. Dans le menu **Actions**, sélectionnez **Delete (Supprimer)**.

1. Confirmez que vous souhaitez supprimer l'association sélectionnée.

Pour supprimer l'association dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour supprimer une association avec un autre compte par programmation, utilisez l'[DeleteMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-id.html)API Amazon Macie. Lorsque vous soumettez votre demande, utilisez le `id` paramètre pour spécifier l'identifiant de compte à 12 chiffres avec lequel Compte AWS vous souhaitez supprimer l'association. Spécifiez également la région à laquelle s'applique la demande. Pour supprimer l'association dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour récupérer l'identifiant du compte, vous pouvez utiliser [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)l'API Amazon Macie. Dans ce cas, incluez le `onlyAssociated` paramètre dans votre demande et définissez la valeur du paramètre sur`false`. Si l'opération aboutit, Macie renvoie un `members` tableau qui fournit des détails sur tous les comptes associés à votre compte, y compris les comptes qui ne sont pas actuellement des comptes membres.

Pour supprimer une association avec un autre compte à l'aide de AWS CLI, exécutez la commande [delete-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-member.html). Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez supprimer l'association. Utilisez le `id` paramètre pour spécifier l'ID du compte. Par exemple :

```
C:\> aws macie2 delete-member --region us-east-1 --id 123456789012
```

Où se *us-east-1* trouve la région dans laquelle supprimer l'association avec l'autre compte (région USA Est (Virginie du Nord)) et où *123456789012* se trouve l'identifiant du compte.

Si votre demande aboutit, Macie renvoie une réponse vide et l'association entre votre compte et l'autre compte est supprimée. Le compte précédemment associé est supprimé de l'inventaire de votre compte.

------

# Révision des comptes Macie pour une organisation basée sur des invitations
<a name="accounts-mgmt-invitations-review"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations à la AWS Organizations place de Macie pour gérer les comptes des membres. Pour de plus amples informations, veuillez consulter [Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md).

Si vous êtes l'administrateur Amazon Macie d'une organisation basée sur des invitations, Macie vous fournit un inventaire des comptes associés à votre compte Macie dans chaque endroit où vous utilisez Macie. Région AWS Vous pouvez utiliser cet inventaire pour consulter les statistiques et les informations relatives aux comptes de votre organisation. Vous pouvez également l'utiliser pour [effectuer certaines tâches de gestion](accounts-mgmt-invitations-administer.md) pour les comptes des membres et gérer le statut de la relation entre votre compte et les autres comptes.

**Pour consulter les comptes d'une organisation basée sur des invitations**  
Pour consulter les comptes de votre organisation, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour consulter les comptes de votre organisation à l'aide de la console Amazon Macie.

**Pour consulter les comptes de votre organisation**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez consulter les comptes de votre organisation.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

La page **Comptes** s'ouvre et affiche des statistiques agrégées ainsi qu'un tableau des comptes actuellement Région AWS associés à votre compte Macie.

En haut de la page **Comptes**, vous trouverez les statistiques agrégées suivantes.

**Via AWS Organizations**  
Si vous êtes l'administrateur Macie d'une organisation dans AWS Organizations, **Active** indique le nombre total de comptes associés à votre compte par le biais de comptes membres Macie de votre organisation AWS Organizations et qui sont actuellement des comptes membres de Macie. Macie est activé pour ces comptes et vous êtes l'administrateur Macie des comptes.  
**All** indique le nombre total de comptes associés à votre compte via AWS Organizations. Cela inclut les comptes qui ne sont pas actuellement des comptes membres de Macie. Cela inclut également les comptes de membres pour lesquels Macie est actuellement suspendu.

**Sur invitation**  
**Active** indique le nombre total de comptes actuellement membres de Macie dans votre organisation basée sur des invitations. Macie est activé pour ces comptes et vous êtes l'administrateur Macie des comptes car ils ont accepté une invitation d'adhésion de votre part.  
**All** indique le nombre total de comptes associés à votre compte par invitation Macie, y compris les comptes qui n'ont pas répondu à une invitation de votre part.

**Actif/Tout**  
**Active** indique le nombre total de comptes pour lesquels Macie est actuellement activé dans votre organisation, y compris le vôtre. Vous êtes l'administrateur Macie de ces comptes via AWS Organizations ou sur invitation de Macie.  
**All** indique le nombre total de comptes associés à votre compte, par le biais AWS Organizations ou sur invitation, plus votre propre compte. Cela inclut les comptes qui n'ont pas répondu à une invitation d'adhésion à Macie de votre part. Cela inclut également les comptes qui sont associés à votre compte par le biais de comptes Macie AWS Organizations et qui ne sont pas actuellement membres de Macie.

Dans le tableau, vous trouverez des informations sur chaque compte de la région actuelle. Le tableau inclut tous les comptes associés à votre compte Macie sur invitation ou via Macie. AWS Organizations

**ID de compte**  
L'identifiant du compte et l'adresse e-mail du Compte AWS.

**Nom**  
Le nom du compte pour Compte AWS. Cette valeur est généralement **N/A** pour votre propre compte et les comptes associés à votre compte sur invitation.

**Type**  
Comment le compte est associé à votre compte, sur invitation ou via AWS Organizations. Pour votre propre compte, cette valeur est **Compte courant**.

**Statut**  
État de la relation entre votre compte et le compte. Pour un compte dans une organisation basée sur des invitations (**Type** is **By invitation**), les valeurs possibles sont les suivantes :  
+ **Compte suspendu** — Le compte Compte AWS est suspendu.
+ **Créé (invitation)** — Vous avez ajouté le compte, mais vous ne lui avez pas envoyé d'invitation d'adhésion.
+ **Échec de la vérification par e-mail** : vous avez essayé d'envoyer une invitation d'adhésion au compte, mais l'adresse e-mail spécifiée n'est pas valide pour le compte.
+ **Vérification par e-mail en cours** — Vous avez envoyé une invitation d'adhésion au compte et Macie traite la demande.
+ **Activé** — Le compte est un compte de membre. Macie est activé pour le compte et vous êtes l'administrateur Macie du compte.
+ **Invité** : vous avez envoyé une invitation d'adhésion au compte et celui-ci n'a pas répondu à votre invitation.
+ **Démission du membre** — Le compte était auparavant un compte membre. Cependant, le compte a quitté votre organisation en se dissociant de votre compte.
+ **Suspendu (suspendu)** — Le compte est un compte de membre, mais Macie est actuellement suspendu pour le compte.
+ **Région désactivée** — La région actuelle est désactivée pour le Compte AWS.
+ **Supprimé (dissocié)** — Le compte était auparavant un compte de membre. Cependant, vous l'avez supprimé en tant que compte membre en le dissociant de votre compte.

**Dernière mise à jour du statut**  
Lorsque vous ou le compte associé avez récemment effectué une action qui a affecté la relation entre vos comptes.

**Découverte automatisée des données sensibles**  
Si la découverte automatique des données sensibles est actuellement activée ou désactivée pour le compte.

Pour trier le tableau en fonction d'un champ spécifique, choisissez l'en-tête de colonne du champ. Pour modifier l'ordre de tri, sélectionnez à nouveau l'en-tête de colonne. Pour filtrer le tableau, placez votre curseur dans la zone de filtre, puis ajoutez une condition de filtre pour un champ. Pour affiner davantage les résultats, ajoutez des conditions de filtre pour des champs supplémentaires.

------
#### [ API ]

Pour consulter les comptes de votre organisation par programmation, utilisez l'[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)API Amazon Macie et spécifiez la région à laquelle s'applique votre demande. Pour consulter les informations relatives à d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Lorsque vous soumettez votre demande, utilisez le `onlyAssociated` paramètre pour spécifier les comptes à inclure dans la réponse. Par défaut, Macie renvoie uniquement les informations relatives aux comptes membres de la région spécifiée, sur invitation ou via AWS Organizations. Pour récupérer les détails de tous les comptes associés, y compris les comptes qui ne sont pas des comptes membres, incluez le `onlyAssociated` paramètre dans votre demande et définissez la valeur du paramètre sur`false`.

Pour consulter les comptes de votre organisation à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la commande [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html). Pour le `only-associated` paramètre, spécifiez si vous souhaitez inclure tous les comptes associés ou uniquement les comptes des membres. Pour inclure uniquement les comptes des membres, omettez ce paramètre ou définissez la valeur du paramètre sur`true`. Pour inclure tous les comptes, définissez cette valeur sur`false`. Par exemple :

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

Où se *us-east-1* trouve la région à laquelle s'applique la demande, la région de l'Est des États-Unis (Virginie du Nord).

Si votre demande aboutit, Macie renvoie un `members` tableau. Le tableau contient un `member` objet pour chaque compte qui répond aux critères spécifiés dans la demande. Dans cet objet, le `relationshipStatus` champ indique le statut actuel de l'association entre votre compte et l'autre compte dans la région spécifiée. Pour un compte dans une organisation basée sur des invitations, les valeurs possibles sont les suivantes :
+ `AccountSuspended`— Le Compte AWS est suspendu.
+ `Created`— Vous avez ajouté le compte mais vous ne lui avez pas envoyé d'invitation d'adhésion.
+ `EmailVerificationFailed`— Vous avez essayé d'envoyer une invitation d'adhésion au compte, mais l'adresse e-mail spécifiée n'est pas valide pour le compte.
+ `EmailVerificationInProgress`— Vous avez envoyé une invitation d'adhésion au compte et Macie traite la demande.
+ `Enabled`— Le compte est un compte de membre. Macie est activé pour le compte et vous êtes l'administrateur Macie du compte.
+ `Invited`— Vous avez envoyé une invitation d'adhésion au compte et celui-ci n'a pas répondu à votre invitation.
+ `Paused`— Le compte est un compte de membre, mais Macie est actuellement suspendu (suspendu) pour le compte.
+ `RegionDisabled`— La région actuelle est désactivée pour le Compte AWS.
+ `Removed`— Le compte était auparavant un compte de membre. Cependant, vous l'avez supprimé en tant que compte membre en le dissociant de votre compte.
+ `Resigned`— Le compte était auparavant un compte de membre. Cependant, le compte a quitté votre organisation en se dissociant de votre compte.

Pour plus d'informations sur les autres champs de l'`member`objet, consultez la section [Membres](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) du manuel *Amazon Macie API Reference*.

------

# Modification du compte administrateur Macie pour une organisation basée sur des invitations
<a name="accounts-mgmt-invitations-admin-change"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations à la AWS Organizations place de Macie pour gérer les comptes des membres. Pour de plus amples informations, veuillez consulter [Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md).

Après avoir créé et établi une organisation basée sur des invitations, vous pouvez modifier le compte administrateur Amazon Macie de l'organisation. Pour ce faire, les administrateurs et les membres de l'organisation doivent suivre les étapes suivantes :

1. L'administrateur Macie actuel exporte éventuellement l'inventaire actuel des comptes membres de l'organisation. Cela simplifie la transition en vous aidant à identifier les comptes qui devraient continuer à faire partie de l'organisation.

1. L'administrateur Macie actuel [supprime tous les comptes membres](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-remove) de l'organisation actuelle. Cela dissocie les comptes du compte administrateur actuel. Macie continue d'être activé pour les comptes, mais les comptes deviennent des comptes Macie autonomes.
**Important**  
Lorsque l'administrateur Macie actuel supprime les comptes des membres, Macie désactive automatiquement la découverte automatique des données sensibles pour les comptes. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique des comptes. Lorsque la transition vers la nouvelle organisation est terminée, le nouvel administrateur Macie ne peut pas accéder à ces données.

1. Le nouvel administrateur Macie [ajoute les comptes des membres précédents](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-add) à la nouvelle organisation. Cela permet d'associer les comptes au nouveau compte administrateur.

1. Chaque compte membre accepte l'invitation à rejoindre la nouvelle organisation. Lorsqu'un compte accepte l'invitation, il devient un compte membre de la nouvelle organisation. Le nouvel administrateur Macie peut alors accéder aux paramètres, aux données et aux ressources Macie du compte. Si la découverte automatique des données sensibles a déjà été activée pour le compte, cela n'inclut pas les données que Macie a précédemment produites et fournies directement lors de la découverte automatique du compte. Macie génère et gère plutôt de nouvelles données pour le compte, si le nouvel administrateur Macie active la découverte automatique du compte.

Si votre organisation utilise Macie à plusieurs reprises Régions AWS, effectuez les étapes précédentes dans chacune de ces régions.

Pour exporter l'inventaire actuel des comptes membres, l'administrateur Macie actuel peut utiliser la console Amazon Macie ou l'API Amazon Macie. Avec la console, l'administrateur actuel peut exporter les données vers un fichier de valeurs séparées par des virgules (CSV). Le nouvel administrateur peut ensuite utiliser la console pour télécharger le fichier CSV et ajouter tous les comptes (en bloc) à la nouvelle organisation.

**Pour exporter les données du compte d'un membre à l'aide de la console**

1. Connectez-vous à l' AWS Management Console aide du compte administrateur Macie actuel.

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez exporter les données.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**. La page **Comptes** s'ouvre et affiche un tableau des comptes associés au compte administrateur Macie actuel.

1. (Facultatif) Pour filtrer le tableau et n'afficher que les comptes actuellement membres de l'organisation, utilisez le champ de filtre situé au-dessus du tableau pour ajouter les conditions de filtre suivantes :
   + **Type** = **Invitation**
   + **État** = **Activé**
   + **État** = **En pause**

1. Dans le tableau, cochez la case correspondant à chaque compte membre à inclure dans les données exportées.

1. Choisissez **Exporter au format CSV**.

1. Spécifiez le nom et l'emplacement du fichier.

Avec l'API Amazon Macie, l'administrateur Macie actuel peut récupérer les données au format JSON. Le nouvel administrateur Macie peut ensuite utiliser ces données pour générer la liste des comptes IDs et des adresses e-mail pour les comptes à ajouter et à inviter à rejoindre la nouvelle organisation. Pour récupérer les données au format JSON, utilisez le [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)fonctionnement de l'API Amazon Macie. Si l'opération aboutit, Macie renvoie un `members` tableau fournissant des détails sur tous les comptes associés au compte de l'administrateur. Si un compte est actuellement un compte membre, la valeur de la `relationshipStatus` propriété du compte est `Enabled` ou`Paused`, et la `invitedAt` propriété spécifie une date et une heure.

# Gérer votre adhésion à une organisation à Macie
<a name="accounts-mgmt-invitations-membership-manage"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations à la AWS Organizations place de Macie pour gérer Macie de manière centralisée pour plusieurs comptes. Pour de plus amples informations, veuillez consulter [Gérer plusieurs comptes Macie avec AWS Organizations](accounts-mgmt-ao.md).

Si vous êtes invité à rejoindre une organisation sur Amazon Macie, vous pouvez éventuellement accepter ou refuser l'invitation. Dans Macie, une organisation est un ensemble de comptes gérés de manière centralisée en tant que groupe de comptes connexes. Une organisation se compose d'un compte administrateur Macie désigné et d'un ou plusieurs comptes de membres associés.

Si vous acceptez une invitation, votre compte devient un compte membre de l'organisation. Lorsque vous acceptez, le compte qui a envoyé l'invitation devient le compte administrateur Macie de votre compte : vous associez votre compte à l'autre compte et vous activez une relation administrateur-membre entre les comptes. Le compte administrateur Macie peut ensuite accéder à certains paramètres, données et ressources Macie relatifs à votre compte dans le cas applicable. Région AWS Pour plus de détails sur les tâches que le compte administrateur peut effectuer, consultez[Relations entre l'administrateur Macie et le compte membre](accounts-mgmt-relationships.md).

Si vous refusez une invitation, le statut actuel et les paramètres de votre compte Macie ne sont pas modifiés.

**Topics**
+ [Répondre aux invitations d'adhésion](#accounts-mgmt-invitations-respond)
+ [Dissociation d'un compte administrateur](#accounts-mgmt-invitations-disassociate-admin)

## Répondre aux invitations d'adhésion adressées aux organisations
<a name="accounts-mgmt-invitations-respond"></a>

Lorsque vous recevez une invitation à rejoindre une organisation, Amazon Macie vous en informe de plusieurs manières. Par défaut, Macie vous envoie l'invitation sous forme de message électronique. Macie crée également un AWS Health événement pour votre Compte AWS. Si vous utilisez déjà Macie à Région AWS partir duquel l'invitation a été envoyée, Macie affiche également un badge **Accounts** et une notification sur la console Macie.

Après avoir reçu une invitation, vous pouvez éventuellement l'accepter ou la refuser. Avant de répondre, notez ce qui suit :
+ Vous ne pouvez être membre que d'une seule organisation à la fois. Si vous recevez plusieurs invitations, vous ne pouvez en accepter qu'une seule. Ou, si vous êtes déjà membre d'une organisation, vous devez dissocier votre compte de son compte administrateur Macie actuel avant de pouvoir rejoindre une autre organisation.
+ Si vous utilisez Macie dans plusieurs régions, votre compte doit avoir le même compte administrateur Macie dans toutes ces régions. L'administrateur Macie doit vous envoyer des invitations séparément pour chaque région, et vous devez accepter les invitations séparément dans chaque région.
+ Pour accepter ou refuser une invitation, vous devez activer Macie dans la région d'où l'invitation a été envoyée. Le refus d'une invitation est facultatif. Si vous autorisez Macie à refuser une invitation, vous pouvez [désactiver Macie](disable-macie.md) dans la région après avoir décliné l'invitation. Cela vous permet de ne pas encourir de frais inutiles pour utiliser Macie dans la région.
+ Si la découverte automatique des données sensibles est activée pour votre compte et que vous acceptez une invitation, vous perdez l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de votre compte. Une fois que vous avez accepté une invitation, votre administrateur Macie peut activer la découverte automatique de votre compte. Toutefois, cela ne rétablit pas l'accès aux données existantes. Au lieu de cela, Macie génère et gère de nouvelles données tout en effectuant la découverte automatique de votre compte.

Pour des considérations supplémentaires, voir[Répondre aux invitations aux membres et les gérer](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-invitations-manage).

**Pour répondre à une invitation à devenir membre d'une organisation**  
Pour répondre à une invitation d'adhésion, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour répondre à une invitation d'adhésion à l'aide de la console Amazon Macie.

**Pour répondre à une invitation d'adhésion**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous avez reçu l'invitation.

1. Si vous n'avez pas activé Macie dans la région, choisissez **Commencer**, puis sélectionnez **Activer Macie**. Vous devez activer Macie avant de pouvoir accepter ou refuser une invitation.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

1. Sous **Compte administrateur**, effectuez l'une des opérations suivantes :
   + Pour accepter l'invitation, activez **Accepter** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/tgl-gray-off.png)) à côté de l'invitation. Choisissez ensuite **Accepter l'invitation** ou **Mettre à jour**, selon que vous avez déjà accepté ou non une autre invitation.
   + Pour refuser l'invitation, choisissez **Refuser l'invitation** à côté de l'invitation, puis confirmez que vous souhaitez refuser l'invitation.

Si vous avez reçu l'invitation et souhaitez y répondre dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour répondre à une invitation par programmation, utilisez l'API Amazon [DeclineInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-decline.html)Macie [AcceptInvitation](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-accept.html)ou utilisez l'API Amazon Macie, selon que vous souhaitez accepter ou refuser l'invitation. Lorsque vous soumettez votre demande, assurez-vous de spécifier la région depuis laquelle l'invitation a été envoyée. Pour répondre à l'invitation dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Dans une `AcceptInvitation` demande, utilisez le `administratorAccountId` paramètre pour spécifier l'identifiant de compte à 12 chiffres de Compte AWS celui qui a envoyé l'invitation. Utilisez le `invitationId` paramètre pour spécifier l'identifiant unique de l'invitation à accepter.

Dans une `DeclineInvitations` demande, utilisez le `accountIds` paramètre pour spécifier l'identifiant de compte à 12 chiffres du compte Compte AWS qui a envoyé l'invitation à refuser.

Pour les récupérer IDs, vous pouvez utiliser le [ListInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html)fonctionnement de l'API Amazon Macie. Si l'opération aboutit, Macie renvoie un `invitations` tableau qui fournit des détails sur les invitations que vous avez reçues, y compris l'identifiant du compte qui a envoyé chaque invitation et l'identifiant unique de chaque invitation. Si la valeur de la `relationshipStatus` propriété d'une invitation est`Invited`, vous n'avez pas encore répondu à l'invitation.

Pour répondre à une invitation à l'aide de [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), exécutez la commande [accept-invitation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/accept-invitation.html) ou [decline-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/decline-invitations.html), selon que vous souhaitez accepter ou refuser l'invitation. Utilisez le `region` paramètre pour spécifier la région depuis laquelle l'invitation a été envoyée. Par exemple :

```
C:\> aws macie2 accept-invitation --region us-east-1 --administrator-account-id 123456789012 --invitation-id d8bdad0e203fd1242e0a4721bexample
```

Où se *us-east-1* trouve la région d'où l'invitation a été envoyée (région des États-Unis de l'Est (Virginie du Nord)), *123456789012* l'identifiant du compte qui a envoyé l'invitation et *d8bdad0e203fd1242e0a4721bexample* l'identifiant unique de l'invitation à accepter.

Si une demande d'acceptation d'une invitation aboutit, Macie renvoie une réponse vide. Si une demande de refus d'une invitation aboutit, Macie renvoie un tableau vide. `unprocessedAccounts`

Une fois que vous avez refusé une invitation, celle-ci est conservée en tant que ressource pour votre compte Macie. Vous pouvez éventuellement le supprimer en utilisant l'[DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html)opération ou, pour le AWS CLI, la commande [delete-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html).

------

## Dissociation d'un compte administrateur Macie
<a name="accounts-mgmt-invitations-disassociate-admin"></a>

Si vous acceptez une invitation à rejoindre une organisation sur Amazon Macie, vous pouvez ensuite démissionner de l'organisation en dissociant votre compte de son compte administrateur Macie actuel. Notez que vous ne pouvez pas le faire si votre compte est un compte membre d'une AWS Organizations organisation. Pour démissionner d'une AWS Organizations organisation, contactez votre administrateur Macie pour supprimer votre compte en tant que compte membre Macie.

Si vous dissociez votre compte de son compte administrateur Macie, l'administrateur Macie perd l'accès à tous les paramètres, données et ressources de votre compte Macie. Cela inclut les métadonnées et les conclusions relatives aux politiques relatives aux données Amazon S3 dont vous êtes propriétaire. Cela signifie également que l'administrateur ne peut plus analyser vos données Amazon S3 en effectuant une découverte automatique de données sensibles ou en exécutant des tâches de découverte de données sensibles.

Lorsque vous dissociez votre compte, Macie continue d'être activé pour votre compte dans la région applicable. Toutefois, votre compte devient un compte Macie autonome dans la Région. Le statut de votre compte passe à **Membre démissionné** dans l'inventaire des comptes de l'administrateur.

**Pour se dissocier d'un compte administrateur Macie**  
Pour dissocier votre compte de son compte administrateur Macie actuel, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour dissocier votre compte de son compte administrateur Macie à l'aide de la console Amazon Macie.

**Pour se dissocier d’un compte administrateur**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez dissocier votre compte de son compte administrateur.

1. Dans le panneau de navigation, choisissez **Accounts (Comptes)**.

1. Sous **Compte administrateur**, désactivez **Accepter** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/tgl-blue-on.png)) à côté de l'invitation, puis choisissez **Mettre à jour**.

Le compte continue d'apparaître sur la page **Comptes**. Si vous décidez de rejoindre à nouveau l'organisation, vous pouvez utiliser cette page pour accepter à nouveau l'invitation initiale. Vous pouvez également refuser et supprimer l'invitation, ce qui supprime également l'association entre votre compte et l'autre compte. Pour ce faire, choisissez **Refuser l'invitation**.

Si vous souhaitez dissocier votre compte de son compte administrateur Macie dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Pour dissocier votre compte de son compte administrateur Macie par programmation, utilisez l'API Amazon [DisassociateFromAdministratorAccount](https://docs.aws.amazon.com/macie/latest/APIReference/administrator-disassociate.html)Macie. Lorsque vous soumettez votre demande, assurez-vous de préciser la région à laquelle elle s'applique. Pour vous dissocier du compte dans d'autres régions, soumettez votre demande dans chaque région supplémentaire.

Pour dissocier votre compte de son compte administrateur Macie à l'aide de AWS CLI, exécutez la [disassociate-from-administrator-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-from-administrator-account.html)commande. Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez vous dissocier du compte.

Si votre demande aboutit, Macie renvoie une réponse vide.

Une fois que vous vous êtes dissocié du compte, l'invitation d'origine est conservée en tant que ressource pour votre compte Macie, sauf si vous la supprimez. Si vous décidez de rejoindre à nouveau l'organisation, vous pouvez utiliser cette ressource pour accepter à nouveau l'invitation initiale. Vous pouvez également supprimer l'invitation en utilisant l'[DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html)opération ou, dans le cas de la AWS CLI, la commande [delete-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html). Si vous supprimez l'invitation, vous supprimez également l'association entre votre compte et l'autre compte.

------