本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 更改组织的 Macie 管理员账户 在 Amazon Macie 中[整合并配置 AWS Organizations](accounts-mgmt-ao-integrate.md)组织后, AWS Organizations 管理账户可以将不同的账户指定为该组织委派的 Macie 管理员账户。然后,新的 Macie 管理员可以再次在 Macie 中配置组织。 作为组织 AWS Organizations 管理账户的用户,在为组织指定其他 Macie 管理员帐户之前,请先验证自己是否满足以下权限要求: + 您必须拥有最初为您的组织指定 Macie 管理员账户所需的[相同权限](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions)。还必须允许您执行以下 AWS Organizations 操作:`organizations:DeregisterDelegatedAdministrator`. 此附加操作允许您删除当前指定。 + 如果您的账户目前是 Macie 成员账户,则当前 Macie 管理员必须将您的账户移除为 Macie 成员账户。否则,您将无法访问用于指定其他管理员账户的 Macie 操作。在您指定新的管理员账户后,新的 Macie 管理员可以再次将您的账户添加为 Macie 成员账户。 如果您的组织多次使用 Macie AWS 区域,还要确保更改组织使用 Macie 的每个地区的名称。所有这些区域中指定 Macie 管理员账户必须相同。如果您在中管理多个组织 AWS Organizations,另请注意,一个账户一次只能是为一个组织委托的 Macie 管理员帐户。要了解其他要求,请参阅[将 Macie 搭配使用时的注意事项 AWS Organizations](accounts-mgmt-ao-notes.md)。 **注意** 为组织指定不同的 Macie 管理员账户时,还将禁止访问现有统计数据、库存数据以及 Macie 在对组织中的账户执行[自动敏感数据发现](discovery-asdd.md)时生成和直接提供的其他信息。新的 Macie 管理员无法访问现有数据。如果您更改了指定,并且新的 Macie 管理员启用了账户自动发现功能,则 Macie 会在执行账户自动发现时生成并维护新数据。 **更改 Macie 管理员帐户的名称** 要为您的组织指定不同的 Macie 管理员账户,您可以使用 Amazon Macie 控制台或亚马逊 Macie 和的组合。 AWS Organizations APIs只有 AWS Organizations 管理账户的用户才能更改其组织的名称。 ------ #### [ Console ] 按照以下步骤使用亚马逊 Macie 主机更改名称。 **要更改名称** 1. 使用您的 AWS Organizations 管理账户登录。 AWS 管理控制台 1. 使用页面右上角的选择 AWS 区域 器,选择要更改名称的区域。 1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 1. 根据您的管理账户在当前区域中是否启用 Macie,执行以下操作之一: + 如果未启用 Macie,请在欢迎页面上选择**开始使用**。 + 如果已启用 Macie,请在导航窗格中选择**设置**。 1. 在**指定管理员**下,选择**移除**。要更改指定,必须先删除当前指定。 1. 确认您要删除当前指定。 1. 在 “**委托管理员**” 下,输入 12 位数的账户 ID AWS 账户 ,以指定为该组织的新 Macie 管理员账户。 1. 选择 **Delegate(委派)**。 在您将 Macie 与 AWS Organizations集成的每个其他区域中重复上述步骤。 ------ #### [ API ] 要以编程方式更改名称,您需要使用 Amazon Macie API 的两个操作和一个 API 的操作。 AWS Organizations 这是因为在提交新名称 AWS Organizations 之前,您必须移除 Macie 中的当前名称。 要删除当前指定: 1. 使用 Macie API 的[DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)操作。在必填`adminAccountId`参数中,为当前指定为组织的 Macie 管理员账户指 AWS 账户 定 12 位数的账户 ID。 1. 使用 AWS Organizations API 的[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)操作。在必填 `AccountId` 参数中,为当前被指定为组织 Macie 管理员账户的账户指定 12 位数的账户 ID。此值应与您在之前的 Macie 请求中指定的账户 ID 相匹配。对于 `ServicePrincipal` 参数,指定 Macie 服务主体 (`macie.amazonaws.com`)。 删除当前名称后,使用 Macie API 的[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)操作提交新的名称。在必填`adminAccountId`参数中,指定 12 位数的帐户 ID, AWS 账户 以指定为该组织的新 Macie 管理员帐户。 要使用 AWS Command Line Interface (AWS CLI) 更改名称,请运行 Macie API 的[disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html)命令和 API 的[deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html) AWS Organizations 命令。这些命令分别删除 Macie 和 AWS Organizations中的当前名称。在`admin-account-id`和`account-id`参数中,指定 AWS 账户 要删除的 12 位数帐户 ID 作为当前 Macie 管理员帐户。使用 `region` 参数指定移除所适用的区域。例如: ``` C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com ``` 其中: + *us-east-1*是移除所适用的区域,即美国东部(弗吉尼亚北部)地区。 + *111122223333*是要作为 Macie 管理员帐户移除的帐户的帐户 ID。 + `macie.amazonaws.com` 是 Macie 的服务主体。 移除当前名称后,运行 Macie API 的[enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)命令提交新的名称。在`admin-account-id`参数中,指定 12 位数的帐户 ID, AWS 账户 以指定为该组织的新 Macie 管理员帐户。使用 `region` 参数指定该指定所适用的区域。例如: ``` C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666 ``` 该名称适用的区域(美国东部(弗吉尼亚北部)区域)在哪里*us-east-1*,*444455556666*是指定为新 Macie 管理员账户的账户的账户 ID。 ------