本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Macie 中集成和配置组织
<a name="accounts-mgmt-ao-integrate"></a>

要开始使用 Amazon Macie AWS Organizations，该组织的 AWS Organizations 管理账户需要将一个账户指定为该组织委托的 Macie 管理员账户。这使Macie成为值得信赖的服务. AWS Organizations它还为指定的管理员账户启用当前 AWS 区域 中的 Macie，并允许指定的管理员账户为该区域组织中的其他账户启用和管理 Macie。有关如何授予这些权限的信息，请参阅《*AWS Organizations 用户指南》 AWS 服务*中的 “[AWS Organizations 与其他人一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)”。

然后，委派的 Macie 管理员在 Macie 中配置组织，主要是通过添加该组织的账户作为该区域中的 Macie 成员账户。然后，管理员可以访问该区域中这些账户的某些 Macie 设置、数据和资源。他们还可以执行自动敏感数据发现，并运行敏感数据发现作业来检测账户拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶中的敏感数据。

本主题说明如何为组织指定委托的 Macie 管理员以及如何添加该组织的账户作为 Macie 成员账户。在执行这些任务之前，请确保您了解 [Macie 管理员账户和成员账户之间的关系](accounts-mgmt-relationships.md)。查看将 Macie 与配 AWS Organizations合使用的[注意事项和建议](accounts-mgmt-ao-notes.md)也是一个好主意。

**Topics**
+ [步骤 1：验证您的权限](#accounts-mgmt-ao-admin-designate-permissions)
+ [步骤 2：指定委派的 Macie 管理员账户](#accounts-mgmt-ao-admin-designate)
+ [步骤 3：自动启用并添加新组织账户](#accounts-mgmt-ao-members-autoenable)
+ [步骤 4：启用并添加现有组织账户](#accounts-mgmt-ao-members-add-existing)

要在多个区域中整合和配置组织， AWS Organizations 管理账户和委派的 Macie 管理员在每个其他区域中重复这些步骤。

## 第 1 步：验证权限
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

在为组织指定委派的 Macie 管理员帐户之前，请确认您（作为 AWS Organizations 管理账户的用户）是否被允许执行以下 Macie 操作：。`macie2:EnableOrganizationAdminAccount`此操作允许您使用 Macie 为您的组织指定委派的 Macie 管理员账户。

此外，请确认您是否被允许执行以下 AWS Organizations 操作：
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

这些操作允许您：检索有关您的组织的信息；将 Macie 与集成 AWS Organizations；检索有关 AWS 服务 您已与之集成的信息 AWS Organizations；以及为您的组织指定一个委托的 Macie 管理员帐户。

要授予这些权限，请在账户的 AWS Identity and Access Management (IAM) 策略中加入以下声明：

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

如果您想将自己的 AWS Organizations 管理账户指定为该组织委派的 Macie 管理员账户，则您的账户还需要权限才能执行以下 IAM 操作：`CreateServiceLinkedRole`。此操作允许您为管理账户启用 Macie。但是，根据 AWS 安全最佳实践和最低权限原则，我们不建议您这样做。

如果您决定授予此权限，请将以下声明添加到您的 AWS Organizations 管理账户的 IAM 策略中：

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

在对账单中，*111122223333*替换为管理账户的账户 ID。

如果您想在选择加入 AWS 区域 （默认情况下禁用的区域）中管理 Macie，还要更新`Resource`元素和条件中的 Macie 服务主体的值。`iam:AWSServiceName`该值必须指定该区域的区域代码。例如，要管理中东（巴林）区域（区域代码为 *me-south-1*）中的 Macie，请执行以下操作：
+ 在 `Resource` 元素中，请将

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  替换为

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  其中，*111122223333*指定了管理账户的账户 ID，并*me-south-1*指定了该区域的区域代码。
+ 在`iam:AWSServiceName`条件中，`macie.amazonaws.com`替换为`macie.me-south-1.amazonaws.com`，其中*me-south-1*指定该区域的区域代码。

有关 Macie 当前可用区域的列表以及每个区域的区域代码，请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和限额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。要确定某个区域是否为可选区域，请参阅*《AWS 账户管理 用户指南》*中的[在您的账户中启用或禁用 AWS 区域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。

## 步骤 2：为组织指定委派的 Macie 管理员账户
<a name="accounts-mgmt-ao-admin-designate"></a>

验证权限后，您（作为 AWS Organizations 管理账户的用户）可以为您的组织指定委派的 Macie 管理员帐户。

**为组织指定委派的 Macie 管理员账户**  
要为您的组织指定委派 Macie 管理员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有 AWS Organizations 管理账户的用户才能执行此任务。

------
#### [ Console ]

请按照以下步骤操作，使用 Amazon Macie 控制台指定 Macie 委派管理员账户。

**指定委派的 Macie 管理员账户**

1.  AWS 管理控制台 使用您的 AWS Organizations 管理账户登录。

1. 使用页面右上角的 AWS 区域 选择器，选择要为组织指定委托的 Macie 管理员帐户的区域。

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 根据您的管理账户在当前区域中是否启用 Macie，执行以下操作之一：
   + 如果未启用 Macie，请在欢迎页面上选择**开始使用**。
   + 如果已启用 Macie，请在导航窗格中选择**设置**。

1. 在 “**委托管理员**” 下，输入要指定为 Mac AWS 账户 ie 管理员帐户的 12 位数账户 ID。

1. 选择 **Delegate（委派）**。

在您想要将组织与 Macie 集成的每个其他区域中重复上述步骤。您必须在每个区域中指定相同的 Macie 管理员账户。

------
#### [ API ]

要以编程方式指定委派的 Macie 管理员账户，请使用 Amazon Macie API 的[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)操作。要在多个区域中指定账户，请为要在其中将您的组织与 Macie 集成的每个区域提交该指定。您必须在每个区域中指定相同的 Macie 管理员账户。

提交指定时，请使用必填`adminAccountId`参数指定 12 位数的帐户 ID， AWS 账户 以便指定为组织的 Macie 管理员帐户。另外，请务必指定该指定所适用的区域。

要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 指定 Macie 管理员帐户，请运行[enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)命令。在`admin-account-id`参数中，指定要指定的 12 位帐户 ID。 AWS 账户 使用 `region` 参数指定该指定所适用的区域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

该名称适用的区域（美国东部（弗吉尼亚北部）地区）在哪*us-east-1*里，*111122223333*也是要指定的账户的账户 ID。

------

为组织指定 Macie 管理员账户后，Macie 管理员便可以开始在 Macie 中配置组织。

## 步骤 3：自动启用并添加新组织账户作为 Macie 成员账户
<a name="accounts-mgmt-ao-members-autoenable"></a>

默认情况下，在 AWS Organizations中将新账户添加到您的组织时，不会自动为这些账户启用 Macie。此外，不会自动添加这些账户作为 Macie 成员账户。这些账户会显示在 Macie 管理员的账户清单中。但是，不一定要为这些账户启用 Macie，Macie 管理员也不一定能访问这些账户的 Macie 设置、数据和资源。

如果您是该组织的委派 Macie 管理员，则可以更改这个配置设置。您可以为您的组织开启自动启用功能。如果这样做，在 AWS Organizations中将新账户添加到您的组织时，不会自动为这些账户启用 Macie。此外，这些账户不会作为成员账户自动与您的 Macie 管理员账户关联。开启此设置不会影响组织中的现有账户。要为现有账户启用和管理 Macie，必须手动添加这些账户作为 Macie 成员账户。[下一步](#accounts-mgmt-ao-members-add-existing)介绍如何执行此操作。

**注意**  
如果您打开了自动启用功能，请注意以下例外情况：如果新账户已与其他 Macie 管理员账户关联，则 Macie 不会自动添加该账户作为组织中的成员账户。该账户必须先取消与其当前 Macie 管理员账户的关联，然后才能在 Macie 中加入您的组织。然后，您可以手动添加该账户。要确定存在这种情况的账户，您可以为您的组织[查看账户清单](accounts-mgmt-ao-review.md)。

**自动启用并添加新组织账户作为 Macie 成员账户**  
要自动启用并添加新账户作为 Macie 成员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

------
#### [ Console ]

要使用控制台执行此任务，必须允许您执行以下 AWS Organizations 操作：`organizations:ListAccounts`。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限，请按照以下步骤自动启用并添加新组织账户作为 Macie 成员账户。

**自动启用并添加新组织账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要自动启用的区域，并将新账户添加为 Macie 成员账户。

1. 在导航窗格中，选择**账户**。

1. 在**账户**页面的**新账户**部分，选择**编辑**。

1. 在**编辑新账户设置**对话框中，选择**启用 Macie**。

   要同时对新成员账户自动启用自动敏感数据发现，请选择**启用自动敏感数据发现**。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。

1. 选择 **Save**。

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

要随后更改这些设置，请重复上述步骤并清除每个设置的复选框。

------
#### [ API ]

要以编程方式自动启用和添加新的 Macie 成员账户，请使用亚马逊 Macie API 的[UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html)操作。提交请求时，将 `autoEnable` 参数的值设置为 `true`。（默认值为 `false`。） 另外，请务必指定您的请求适用的区域。要在其他区域中自动启用并添加新账户，请为每个其他区域提交请求。

如果您使用 AWS CLI 提交请求，请运行[update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)命令并指定`auto-enable`参数以自动启用和添加新账户。例如：

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

哪个区域*us-east-1*是自动启用和添加新账户的区域，即美国东部（弗吉尼亚北部）区域。

要随后更改此设置以及停止自动启用并添加新账户，请再次运行相同的命令并在每个适用区域中使用 `no-auto-enable` 参数，而不是 `auto-enable` 参数。

您还可以为新成员账户自动启用自动敏感数据发现。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。要为成员账户自动启用此功能，请使用[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作，或者，如果您使用的是 AWS CLI，则运行[update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)命令。

------

## 步骤 4：启用并添加现有组织账户作为 Macie 成员账户
<a name="accounts-mgmt-ao-members-add-existing"></a>

当你将 Macie 与集成时 AWS Organizations，不会自动为组织中的所有现有账户启用 Macie。此外，这些账户不会作为 Macie 成员账户自动与委派的 Macie 管理员账户关联。因此，在 Macie 中集成和配置组织的最后一步是添加现有组织账户作为 Macie 成员账户。当您添加现有账户作为 Macie 成员账户时，系统会自动为该账户启用 Macie，并且您（作为委派的 Macie 管理员）可以访问该账户的某些 Macie 设置、数据和资源。

请注意，您无法添加当前与其他 Macie 管理员账户关联的账户。要添加账户，请与账户所有者合作，以先取消该账户与其当前管理员账户的关联。此外，如果 Macie 当前被暂停使用现有账户，则无法添加该账户。账户所有者必须先为账户重新启用 Macie。最后，如果您要添加 AWS Organizations 管理账户作业为成员账户，该账户的用户必须首先为该账户启用 Macie。

**启用并添加现有组织账户作为 Macie 成员账户**  
要启用并添加现有组织账户作为 Macie 成员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

------
#### [ Console ]

要使用控制台执行此任务，必须允许您执行以下 AWS Organizations 操作：`organizations:ListAccounts`。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限，请按照以下步骤启用并添加现有账户作为 Macie 成员账户。

**启用并添加现有组织账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要启用的区域，并将现有账户添加为 Macie 成员账户。

1. 在导航窗格中，选择**账户**。**账户**页面将打开并显示与您的 Macie 账户关联的账户表。

   如果账户属于您的组织 AWS Organizations，则其**类型**为 **Via AWS Organizations**。如果账户已是 Macie 成员账户，则其**状态**为**已启用**或**已暂停（已暂停）**。

1. 在**现有账户**表中，选中要添加为 Macie 成员账户的每个账户对应的复选框。

1. 在**操作**菜单上，选择**添加成员**。

1. 确认您要添加所选账户作为成员账户。

在确认添加所选账户后，账户的状态将更改为**正在启用**，然后更改为**已启用**。添加成员帐户后，您还可以为该帐户启用自动敏感数据发现：在**现有账户**表中，选中要为其启用自动敏感数据发现的每个帐户的复选框，然后在 “**操作**” 菜单上选择 “**启用自动敏感数据发现**”。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

------
#### [ API ]

要以编程方式启用一个或多个现有账户并将其添加为 Macie 成员账户，请使用 Amazon Macie API 的[CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。提交请求时，请使用支持的参数指定 AWS 账户 要启用和添加的 12 位账户 ID 和电子邮件地址。此外，请指定请求适用的区域。要在其他区域中启用并添加现有账户，请提交每个其他区域的请求。

要检索 AWS 账户 要启用和添加的账户 ID 和电子邮件地址，您可以选择使用 Amazon Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。此操作提供有关与您的 Macie 账户关联的账户的详细信息，包括非 Macie 成员账户的账户。如果账户 `relationshipStatus` 属性的值不是 `Enabled` 或 `Paused`，则该账户不是 Macie 成员账户。

要使用启用和添加一个或多个现有账户 AWS CLI，请运行 [create-Mem](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) ber 命令。使用`region`参数指定要在其中启用并添加账户的区域。使用`account`参数为每个 AWS 账户 要添加的账户 ID 和电子邮件地址指定账户 ID 和电子邮件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

哪里*us-east-1*是启用账户并将其添加为 Macie 成员账户的区域（美国东部（弗吉尼亚北部）区域），`account`参数指定了该账户的账户 ID (*123456789012*) 和电子邮件地址 (*janedoe@example.com*)。

如果您的请求成功，则指定账户的状态 (`relationshipStatus`) 将更改为您的账户清单中的`Enabled`。

要同时为一个或多个账户启用自动发现敏感数据，请使用[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)操作，或者，如果您使用的是，则运行 [batch-update-automated-discovery- AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) accounts 命令。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。

------