As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Integrar e configurar uma organização no Macie
<a name="accounts-mgmt-ao-integrate"></a>

Para começar a usar o Amazon Macie com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta de administrador delegada do Macie para a organização. Isso permite que o Macie seja um serviço confiável em AWS Organizations. Também habilita o Macie na conta atual Região da AWS do administrador designado e permite que a conta do administrador designada habilite e gerencie o Macie para outras contas na organização nessa região. Para obter informações sobre como essas permissões são concedidas, consulte [Usando AWS Organizations com outras Serviços da AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) pessoas no *Guia AWS Organizations do usuário*.

O administrador delegado do Macie então configura a organização no Macie, principalmente adicionando as contas da organização como contas de membros do Macie na Região. O administrador pode, então, acessar determinadas configurações, dados e recursos do Macie para essas contas naquela região. Ele também pode fazer a descoberta automatizada de dados confidenciais e executar trabalhos de descoberta de dados confidenciais para detectar esse tipo de dados nos buckets do Amazon Simple Storage Service (Amazon S3) pertencentes às contas.

Este tópico explica como designar um administrador delegado do Macie para uma organização e como adicionar as contas da organização como contas de membros do Macie. Antes de executar essas tarefas, entenda bem o [relacionamento entre contas de administrador e de membros do Macie](accounts-mgmt-relationships.md). Também é uma boa ideia revisar as [considerações e recomendações](accounts-mgmt-ao-notes.md) para usar o Macie com. AWS Organizations

**Topics**
+ [Etapa 1: verificar as permissões](#accounts-mgmt-ao-admin-designate-permissions)
+ [Etapa 2: designar a conta de administrador delegada do Macie](#accounts-mgmt-ao-admin-designate)
+ [Etapa 3: habilitar e adicionar novas contas da organização automaticamente](#accounts-mgmt-ao-members-autoenable)
+ [Etapa 4: habilitar e adicionar contas de organização existentes](#accounts-mgmt-ao-members-add-existing)

Para integrar e configurar a organização em várias regiões, a conta AWS Organizations de gerenciamento e o administrador delegado do Macie repetem essas etapas em cada região adicional.

## Etapa 1: verifique suas permissões
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

Antes de designar a conta de administrador delegada do Macie para sua organização, verifique se você (como usuário da conta de AWS Organizations gerenciamento) tem permissão para realizar a seguinte ação do Macie:. `macie2:EnableOrganizationAdminAccount` Essa ação permite que você designe a conta de administrador delegada do Macie para sua organização usando o Macie.

Verifique também se você tem permissão para realizar as seguintes AWS Organizations ações:
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

Essas ações permitem que você: recupere informações sobre sua organização; integre o Macie com AWS Organizations; recupere informações sobre as quais Serviços da AWS você se integrou AWS Organizations; e designe uma conta de administrador delegada do Macie para sua organização.

Para conceder essas permissões, inclua a seguinte declaração em uma política AWS Identity and Access Management (IAM) da sua conta:

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

Se você quiser designar sua conta AWS Organizations de gerenciamento como a conta delegada de administrador do Macie para a organização, sua conta também precisa de permissão para realizar a seguinte ação do IAM:. `CreateServiceLinkedRole` Essa ação permite que você habilite o Macie para a conta de gerenciamento. No entanto, com base nas melhores práticas de AWS segurança e no princípio do menor privilégio, não recomendamos que você faça isso.

Se você decidir conceder essa permissão, adicione a seguinte declaração à política do IAM da sua conta AWS Organizations de gerenciamento:

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::{{111122223333}}:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

No extrato, {{111122223333}} substitua pelo ID da conta de gerenciamento.

Se você quiser administrar o Macie em um opt-in Região da AWS (região desativada por padrão), atualize também o valor do principal de serviço do Macie no `Resource` elemento e na condição. `iam:AWSServiceName` O valor deve especificar o código da região. Por exemplo, para administrar o Macie na região do Oriente Médio (Bahrein), que tem o código de região *me-south-1*, faça o seguinte:
+ Para o elemento `Resource`, substitua

  `arn:aws:iam::{{111122223333}}:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  por

  `arn:aws:iam::{{111122223333}}:role/aws-service-role/macie.{{me-south-1}}.amazonaws.com/AWSServiceRoleForAmazonMacie`

  Onde {{111122223333}} especifica o ID da conta de gerenciamento e {{me-south-1}} especifica o código da região para a região.
+ Na `iam:AWSServiceName` condição, `macie.amazonaws.com` substitua por`macie.{{me-south-1}}.amazonaws.com`, onde {{me-south-1}} especifica o código da região para a região.

Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte [Endpoints e cotas do Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) no arquivo *Referência geral da AWS*. Para determinar se uma região é opcional, consulte [Habilitar ou desabilitar Regiões da AWS em sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) no *Guia do Usuário do AWS Gerenciamento de contas *.

## Etapa 2: designar a conta de administrador delegada do Macie para a organização
<a name="accounts-mgmt-ao-admin-designate"></a>

Depois de verificar suas permissões, você (como usuário da conta de AWS Organizations gerenciamento) pode designar a conta de administrador delegada do Macie para sua organização.

**Para designar a conta de administrador delegada do Macie para uma organização**  
Para designar a conta de administrador delegada do Macie para sua organização, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente um usuário da conta AWS Organizations de gerenciamento pode realizar essa tarefa.

------
#### [ Console ]

Siga estas etapas para designar a conta de administrador delegada do Macie usando o console do Amazon Macie.

**Para designar a conta de administrador delegada do Macie**

1. Faça login no Console de gerenciamento da AWS usando sua conta AWS Organizations de gerenciamento.

1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja designar a conta de administrador delegada do Macie para sua organização.

1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Siga um destes procedimentos, dependendo de o Macie estar habilitado para sua conta de gerenciamento na região atual:
   + Se o Macie não estiver habilitado, selecione **Iniciar** na página de boas-vindas.
   + Se o Macie estiver ativado, escolha **Configurações** no painel de navegação.

1. Em **Administrador delegado**, insira o ID da conta de 12 dígitos para a Conta da AWS que você deseja designar como a conta de administrador do Macie.

1. Selecione **Delegar**.

Repita as etapas anteriores em cada região adicional da qual deseja integrar a organização ao Macie. Você deve designar a mesma conta de administrador do Macie em cada uma dessas regiões.

------
#### [ API ]

Para designar programaticamente a conta delegada do administrador do Macie, use a operação da API [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)do Amazon Macie. Para designar a conta em várias regiões, envie a designação para cada região na qual você deseja integrar sua organização ao Macie. Você deve designar a mesma conta de administrador do Macie em cada uma dessas regiões.

Ao enviar a designação, use o `adminAccountId` parâmetro necessário para especificar o ID da conta de 12 dígitos para designar como Conta da AWS a conta de administrador do Macie para a organização. Além disso, certifique-se de especificar a região à qual a designação se aplica.

Para designar a conta de administrador do Macie usando o [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), execute o [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)comando. Para o `admin-account-id` parâmetro, especifique o ID da conta de 12 dígitos Conta da AWS a ser designado. Use o parâmetro `region` para especificar a região à qual a designação se aplica. Por exemplo:

```
C:\> aws macie2 enable-organization-admin-account --region {{us-east-1}} --admin-account-id {{111122223333}}
```

Onde {{us-east-1}} está a região à qual a designação se aplica (a região Leste dos EUA (Norte da Virgínia)) e {{111122223333}} é a ID da conta a ser designada.

------

Depois de designar a conta de administrador do Macie para sua organização, o administrador do Macie pode começar a configurar a organização no Macie.

## Etapa 3: habilitar e adicionar novas contas da organização automaticamente como contas-membro do Macie
<a name="accounts-mgmt-ao-members-autoenable"></a>

Por padrão, o Macie não é habilitado automaticamente para novas contas quando as contas são adicionadas à sua organização no AWS Organizations. Além disso, as contas não são adicionadas automaticamente como contas de membros do Macie. As contas aparecem no inventário de contas do administrador do Macie. No entanto, o Macie não está necessariamente habilitado para as contas e o administrador do Macie não pode necessariamente acessar as configurações, os dados e os recursos do Macie para as contas.

Se você for o administrador delegado do Macie para a organização, poderá alterar essa configuração. Você pode ativar a capacitação automática para a organização. Se você fizer isso, o Macie será habilitado automaticamente para novas contas quando as contas forem adicionadas à sua organização no AWS Organizations. Além disso, as contas são associadas automaticamente à conta de administrador do Macie como contas de membros. A habilitação dessa configuração não afeta as contas existentes na sua organização. Para habilitar e gerenciar o Macie para contas existentes, você deve adicionar manualmente as contas como contas de membros do Macie. A [próxima etapa](#accounts-mgmt-ao-members-add-existing) explica como fazer isso.

**nota**  
Se você ativar a capacitação automática, observe as seguintes exceções. Se uma nova conta já estiver associada a uma conta de administrador diferente do Macie, o Macie não adicionará automaticamente a conta como conta de membro em sua organização. A conta deve se desassociar de sua conta de administrador atual do Macie antes que possa fazer parte da sua organização no Macie. Em seguida, você pode adicionar manualmente a conta. Para identificar contas em que esse é o caso, você pode [analisar o inventário de contas](accounts-mgmt-ao-review.md) da sua organização.

**Para habilitar e adicionar automaticamente novas contas da organização como contas de membros do Macie**  
Para habilitar e adicionar automaticamente novas contas como contas de membros do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente o administrador delegado do Macie para a organização pode executar esta tarefa.

------
#### [ Console ]

Para realizar esta tarefa usando o console, você deve ter permissão para realizar a seguinte AWS Organizations ação:`organizations:ListAccounts`. Essa ação permite que você recupere as informações sobre as contas da sua organização. Se você tiver essas permissões, siga estas etapas para ativar e adicionar automaticamente novas contas da organização como contas de membros do Macie.

**Para ativar e adicionar automaticamente novas contas da organização**

1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar e adicionar automaticamente novas contas como contas de membros do Macie.

1. No painel de navegação, selecione **Contas**.

1. Na página **Contas**, na seção **Novas contas**, escolha **Editar**.

1. Na caixa de diálogo **Editar configurações para novas contas**, selecione **Habilitar o Macie**.

   Para também habilitar automaticamente a descoberta automatizada de dados confidenciais para novas contas de membros, selecione **Habilitar a descoberta automatizada de dados confidenciais**. Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte [Realizando a descoberta automatizada de dados confidenciais](discovery-asdd.md).

1. Escolha **Salvar**.

Repita as etapas anteriores em cada região adicional na qual deseja configurar a organização no Macie.

Para alterar essas configurações posteriormente, repita as etapas anteriores e desmarque a caixa de seleção de cada configuração.

------
#### [ API ]

Para habilitar e adicionar automaticamente novas contas de membros do Macie de forma programática, use a [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html)operação da API do Amazon Macie. Ao enviar sua solicitação, defina o valor do parâmetro `autoEnable` como `true`. (O valor padrão é `false`.) Além disso, certifique-se de especificar a região à qual sua solicitação se aplica. Para ativar e adicionar automaticamente novas contas em outras regiões, envie a solicitação para cada região adicional.

Se você usar o AWS CLI para enviar a solicitação, execute o [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)comando e especifique o `auto-enable` parâmetro para ativar e adicionar novas contas automaticamente. Por exemplo:

```
$ aws macie2 update-organization-configuration --region {{us-east-1}} --auto-enable
```

Onde {{us-east-1}} está a região na qual ativar e adicionar automaticamente novas contas, a região Leste dos EUA (Norte da Virgínia).

Para alterar essa configuração posteriormente e parar de habilitar e adicionar novas contas automaticamente, execute o mesmo comando outra vez e use o parâmetro `no-auto-enable`, em vez do parâmetro `auto-enable`, em cada região aplicável.

Você também pode habilitar automaticamente a descoberta automatizada de dados confidenciais para novas contas de membros. Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte [Realizando a descoberta automatizada de dados confidenciais](discovery-asdd.md). Para ativar esse recurso automaticamente para contas de membros, use a [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operação ou, se estiver usando a AWS CLI, execute o [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)comando.

------

## Etapa 4: Habilitar e adicionar contas da organização existentes como contas de membros do Macie
<a name="accounts-mgmt-ao-members-add-existing"></a>

Quando você integra o Macie com AWS Organizations, o Macie não é habilitado automaticamente para todas as contas existentes em sua organização. Além disso, as contas não são associadas automaticamente à conta delegada de administrador do Macie como contas de membros do Macie. Portanto, a etapa final de integrar e configurar sua organização no Macie é adicionar contas existentes da organização como contas de membros do Macie. Quando você adiciona uma conta existente como conta de membro do Macie, o Macie é automaticamente ativado para a conta e você (como administrador delegado do Macie) obtém acesso a determinadas configurações, dados e recursos do Macie para a conta.

Observe que você não pode adicionar uma conta atualmente associada a outra conta de administrador do Macie. Para adicionar a conta, trabalhe com o proprietário da conta para primeiro desassociar a conta da conta de administrador atual. Além disso, você não pode adicionar uma conta existente se o Macie estiver atualmente suspenso da conta. O proprietário da conta deve primeiro rehabilitar o Macie para a conta. Finalmente, se você quiser adicionar a conta de gerenciamento do AWS Organizations como uma conta de membro, um usuário dessa conta deve primeiro habilitar o Macie para a conta.

**Para habilitar e adicionar contas de organização existentes como contas-membros do Macie**  
Para habilitar e adicionar contas organizacionais existentes como contas de membros do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Somente o administrador delegado do Macie para a organização pode executar esta tarefa.

------
#### [ Console ]

Para realizar esta tarefa usando o console, você deve ter permissão para realizar a seguinte AWS Organizations ação:`organizations:ListAccounts`. Essa ação permite que você recupere as informações sobre as contas da sua organização. Se você tiver essas permissões, siga estas etapas para ativar e adicionar contas existentes como contas de membros do Macie.

**Para habilitar e adicionar contas existentes da organização**

1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar e adicionar contas existentes como contas de membros do Macie.

1. No painel de navegação, selecione **Contas**. A página **Contas** é aberta e exibe uma tabela das contas associadas à sua conta do Macie.

   Se uma conta fizer parte da sua organização em AWS Organizations, seu **tipo** será **Via AWS Organizations**. Se uma conta já for uma conta de membro do Macie, seu **Status** será **Habilitada** ou **Pausada (suspensa)**.

1. Na tabela **Contas existentes**, marque a caixa de seleção de cada conta que você deseja adicionar como conta de membro do Macie.

1. No menu **Ações**, selecione **Adicionar membro**.

1. Confirme que deseja adicionar as contas selecionadas como contas-membro.

Depois de confirmar a adição das contas selecionadas, o status das contas muda para **Habilitação em processo** e, em seguida, **Habilitada**. Depois de adicionar uma conta de membro, você também pode ativar a descoberta automática de dados confidenciais para a conta: na tabela **Contas existentes**, marque a caixa de seleção de cada conta para ativá-la e escolha **Habilitar descoberta automática de dados confidenciais** no menu **Ações**. Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte [Realizando a descoberta automatizada de dados confidenciais](discovery-asdd.md).

Repita as etapas anteriores em cada região adicional na qual deseja configurar a organização no Macie.

------
#### [ API ]

Para habilitar e adicionar programaticamente uma ou mais contas existentes como contas de membro do Macie, use a [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operação da API do Amazon Macie. Ao enviar sua solicitação, use os parâmetros compatíveis para especificar o ID da conta de 12 dígitos e o endereço de e-mail de cada um Conta da AWS para ativar e adicionar. Especifique também a região à qual a solicitação se aplica. Para ativar e adicionar contas existentes em outras regiões, envie a solicitação para cada região adicional.

Para recuperar o ID da conta e o endereço de e-mail de uma Conta da AWS para habilitar e adicionar, você pode, opcionalmente, usar a [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operação da API do Amazon Macie. Essa operação fornece detalhes sobre as contas associadas à sua conta do Macie, incluindo contas que não são contas de membros do Macie. Se o valor da propriedade `relationshipStatus` de uma conta não for `Enabled` ou `Paused`, a conta não será uma conta de membro do Macie.

Para ativar e adicionar uma ou mais contas existentes usando o AWS CLI, execute o comando [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Use o parâmetro `region` para especificar a região na qual ativar e adicionar as contas. Use os `account` parâmetros para especificar o ID da conta e o endereço de e-mail de cada um Conta da AWS para adicionar. Por exemplo:

```
C:\> aws macie2 create-member --region {{us-east-1}} --account={\"accountId\":\"{{123456789012}}\",\"email\":\"{{janedoe@example.com}}\"}
```

Onde {{us-east-1}} está a região na qual ativar e adicionar a conta como conta de membro do Macie (a região Leste dos EUA (Norte da Virgínia)) e `account` os parâmetros especificam o ID da conta ({{123456789012}}) e o endereço de e-mail ({{janedoe@example.com}}) da conta.

Se a sua solicitação for realizada com êxito, o status (`relationshipStatus`) da conta especificada será alterado para `Enabled` no inventário da sua conta.

Para também ativar a descoberta automática de dados confidenciais para uma ou mais contas, use a [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)operação ou, se estiver usando a AWS CLI, execute o comando [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Se você habilitar esse atributo para uma conta, o Macie selecionará, continuamente, objetos de amostra dos buckets do S3 da conta e analisará os objetos para determinar se eles contêm dados confidenciais. Para obter mais informações, consulte [Realizando a descoberta automatizada de dados confidenciais](discovery-asdd.md).

------