本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 以组织为单位管理多个 Macie 账户
<a name="macie-accounts"></a>

如果您的 AWS 环境有多个账户，则可以将环境中的 Amazon Macie 账户关联起来，并在 Macie 中将其作为一个组织进行集中管理。通过此配置，指定的 Macie 管理员可以评测和监控贵组织的 Amazon Simple Storage Service (Amazon S3) 数据资产的整体安全状况，并发现组织的 S3 存储桶中的敏感数据。管理员还可以大规模执行各种账户管理任务，例如监控预计使用成本和评测账户配额。

在 Macie 中，组织由指定的 Macie 管理员账户和一个或多个关联的成员账户组成。您可以通过两种方式关联账户：将 Macie 与 Macie 集成， AWS Organizations 或者在 Macie 中发送和接受会员邀请。我们建议你将 Macie 与 AWS Organizations集成。

AWS Organizations 是一项全球账户管理服务，使 AWS 管理员能够整合和集中管理多个账户 AWS 账户。它提供账户管理和整合账单功能，这些功能旨在满足预算、安全性和合规性需求。它不收取额外费用，并且可以与包括Macie和Amazon AWS 服务 GuardDuty 在内的多种 AWS Security Hub CSPM产品集成。要了解有关更多信息，请参阅 [AWS Organizations 用户指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

如果您希望在不使用的情况下集中管理多个 Macie 帐户 AWS Organizations，则可以改用会员邀请。如果您发送邀请并被另一个账户接受，则您的账户将成为另一个账户的 Macie 管理员账户。如果您收到并接受邀请，则您的账户将成为 Macie 成员账户，Macie 管理员账户可以访问和管理您的 Macie 账户的某些设置、数据和资源。

**Topics**
+ [Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)
+ [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)
+ [通过邀请管理多个 Macie 账户](accounts-mgmt-invitations.md)

# Macie 管理员和成员账户的关系
<a name="accounts-mgmt-relationships"></a>

如果您作为一个组织集中管理多个 Amazon Macie 账户，则 Macie 管理员可以访问 Amazon Simple Storage Service (Amazon S3) 清单数据、策略调查发现以及关联成员账户的某些 Macie 设置和资源。管理员还可以启用自动敏感数据发现并运行敏感数据发现作业，以检测成员账户拥有的 S3 存储桶中的敏感数据。根据 Macie 管理员账户是通过 AWS Organizations 还是通过邀请与成员账户关联而定，对特定任务的支持会有所不同。

下表提供了有关 Macie 管理员和成员账户之间关系的详细信息。它表示每种账户类型的默认权限。要进一步限制对 Macie 功能和操作的访问，您可以使用自定义 [AWS Identity and Access Management (IAM) 策略](security-iam.md)。

在表格中：
+ **自身**表示该账户无法为任何关联账户执行任务。
+ **任何**表示该账户可以为单个关联账户执行任务。
+ **全部**表示该账户可以执行任务，并且该任务适用于所有关联账户。

短划线 (–) 表示该账户无法执行任务。


| 
| 
| **任务** | **通过 AWS Organizations** | **通过邀请** | 
| --- |--- |--- |
| **管理员** | **成员** | **管理员** | **成员** | 
| --- |--- |--- |--- |
| 启用 Macie | 任何 | – | 自身 | 自身 | 
| 查看组织的账户清单 [1](#accounts-mgmt-relationships-note-inventory) | 全部 | – | 全部 | – | 
| 添加成员账号 | 任何 | – | 任何 | – | 
| 查看 S3 存储桶的统计数据和元数据 | 全部 | 自身 | 全部 | 自身 | 
| 查看策略调查发现 | 全部 | 自身 | 全部 | 自身 | 
| 隐藏（存档）策略调查结果 [2](#accounts-mgmt-relationships-note-suppress-policy) | 全部 | – | 全部 | – | 
| 发布政策调查结果 [3](#accounts-mgmt-relationships-note-publish-policy) | 自身 | 自身 | 自身 | 自身 | 
| 为敏感数据发现结果配置存储库 [4](#accounts-mgmt-relationships-note-sddr) | 自身 | 自身 | 自身 | 自身 | 
| 创建和使用允许名单 | 自身 | 自身 | 自身 | 自身 | 
| 创建和使用自定义数据标识符 | 自身 | 自身 | 自身 | 自身 | 
| 配置自动敏感数据发现设置 | 全部 | – | 全部 | – | 
| 启用或禁用自动发现敏感数据 | 任何 | – | 任何 | – | 
| 查看自动发现敏感数据的统计信息、数据和结果 [5](#accounts-mgmt-relationships-note-asdd-sdfs) | 全部 | 自身 | 全部 | 自身 | 
| 创建并运行敏感数据发现作业 [6](#accounts-mgmt-relationships-note-jobs) | 任何 | 自身 | 任何 | 自身 | 
| 查看敏感数据发现任务的详细信息 [7](#accounts-mgmt-relationships-note-job-details) | 自身 | 自身 | 自身 | 自身 | 
| 查看敏感数据调查结果 [8](#accounts-mgmt-relationships-note-jobs-sdfs) | 自身 | 自身 | 自身 | 自身 | 
| 隐藏（存档）敏感数据发现结果 [8](#accounts-mgmt-relationships-note-jobs-sdfs) | 自身 | 自身 | 自身 | 自身 | 
| 发布敏感数据调查结果 [8](#accounts-mgmt-relationships-note-jobs-sdfs) | 自身 | 自身 | 自身 | 自身 | 
| 将 Macie 配置为检索敏感数据样本以获取结果 | 自身 | 自身 | 自身 | 自身 | 
| 检索敏感数据样本以获取调查结果 [9](#accounts-mgmt-relationships-note-sdsamples) | 自身 | 自身 | 自身 | 自身 | 
| 为调查结果配置发布目标 | 自身 | 自身 | 自身 | 自身 | 
| 设置调查结果的发布频率 | 全部 | 自身 | 全部 | 自身 | 
| 创建样本调查结果 | 自身 | 自身 | 自身 | 自身 | 
| 查看账户配额和预计使用成本 | 全部 | 自身 | 全部 | 自身 | 
| [暂停 Macie 10](#accounts-mgmt-relationships-note-suspend) | 任何 | – | 任何 | 自身 | 
| [禁用 Macie 11](#accounts-mgmt-relationships-note-disable) | 自身 | 自身 | 自身 | 自身 | 
| 移除（解除关联）成员账户 | 任何 | – | 任何 | – | 
| 取消与管理员帐户的关联 | – | – | – | 自身 | 
| 删除与其他账户的关联 [12](#accounts-mgmt-relationships-note-delete) | 任何 | – | 任何 | 自身 | 

1. <a name="accounts-mgmt-relationships-note-inventory"></a>中组织的管理员 AWS Organizations 可以查看组织中的所有帐户，包括尚未启用 Macie 的帐户。基于邀请的组织的管理员只能查看他们添加到其清单中的那些账户。

1. <a name="accounts-mgmt-relationships-note-suppress-policy"></a>只有管理员才能抑制策略调查发现。如果管理员创建了抑制规则，则 Macie 会将该规则应用于组织中所有账户的策略调查发现，除非该规则被配置为排除特定账户。如果成员创建了抑制规则，则 Macie 不会将该规则应用于该成员账户的策略调查发现。

1. <a name="accounts-mgmt-relationships-note-publish-policy"></a>只有拥有受影响资源的账户才能向发布该资源的政策调查结果 AWS Security Hub CSPM。管理员账户和成员账户都会自动向 Amazon 发布受影响资源的政策调查结果 EventBridge。

1. <a name="accounts-mgmt-relationships-note-sddr"></a>如果管理员启用了自动敏感数据发现，或配置了一项任务来分析成员账户拥有的 S3 存储桶中的对象，则 Macie 会将敏感数据发现结果存储在管理员账户的存储库中。

1. <a name="accounts-mgmt-relationships-note-asdd-sdfs"></a>只有管理员才能访问自动敏感数据发现生成的敏感数据调查发现。管理员和成员都可以查看自动敏感数据发现为成员账户生成的其他类型数据。

1. <a name="accounts-mgmt-relationships-note-jobs"></a>成员可以配置作业以仅分析其账户拥有的 S3 存储桶中的对象。管理员可以配置作业以分析其账户拥有或成员账户拥有的存储桶中的对象。有关如何为多账户作业应用限额和计算成本的信息，请参阅[了解估计使用成本](account-mgmt-costs-calculations.md)。

1. <a name="accounts-mgmt-relationships-note-job-details"></a>只有创建作业的账户才能访问该作业的详细信息。这包括 S3 存储桶清单中与作业相关的详细信息。

1. <a name="accounts-mgmt-relationships-note-jobs-sdfs"></a>只有创建作业的账户才能访问、抑制或发布该作业生成的敏感数据调查发现。只有管理员才能访问、抑制或发布自动敏感数据发现生成的敏感数据调查发现。

1. <a name="accounts-mgmt-relationships-note-sdsamples"></a>如果敏感数据调查发现适用于成员账户拥有的 S3 对象，则管理员也许能够检索该调查发现报告的敏感数据样本。这取决于调查发现的来源，以及管理员账户和成员账户中的配置设置和资源。有关更多信息，请参阅[检索敏感数据样本的配置选项](findings-retrieve-sd-options.md)。

1. <a name="accounts-mgmt-relationships-note-suspend"></a>管理员要想为自己的账户暂停 Macie，必须先取消其账户与所有成员账户的关联。

1. <a name="accounts-mgmt-relationships-note-disable"></a>管理员要想为自己的账户禁用 Macie，必须先取消其账户与所有成员账户的关联，然后删除其账户与所有这些账户之间的关联。中组织的管理员 AWS Organizations 可以通过使用该组织的管理帐户将其他帐户指定为管理员帐户来实现此目的。

   要使 AWS Organizations 组织成员禁用 Macie，管理员必须先取消该成员帐户与其管理员帐户的关联。对于基于邀请的组织，成员可以取消其账户与管理员账户的关联，然后禁用 Macie。

1. <a name="accounts-mgmt-relationships-note-delete"></a>中组织的管理员 AWS Organizations 可以在取消成员账户与其管理员账户的关联后删除该账户的关联。该账户继续出现在管理员的账户清单中，但其状态表明它不是成员账户。在基于邀请的组织中，管理员和成员在取消其账户与另一个账户的关联后，可以删除与另一个账户的关联。然后，另一个账户将停止出现在他们的账户清单中。

# 使用管理多个 Macie 账户 AWS Organizations
<a name="accounts-mgmt-ao"></a>

如果您使用 AWS Organizations 集中管理多个账户 AWS 账户，则可以将 Amazon Macie 与 Macie 集成 AWS Organizations，然后集中管理组织中账户的 Macie。通过这种配置，指定的 Macie 管理员可为多达 10000 个账户启用和管理 Macie。管理员还可以访问 Amazon Simple Storage Service (Amazon S3) 清单数据，并发现账户的 S3 存储桶中有敏感数据。有关管理员可执行任务的详细信息，请参阅 [Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。

AWS Organizations 是一项全球账户管理服务，使 AWS 管理员能够整合和集中管理多个账户 AWS 账户。它提供账户管理和整合账单功能，这些功能旨在满足预算、安全性和合规性需求。它不收取额外费用，并且可以与包括Macie和Amazon AWS 服务 GuardDuty 在内的多种 AWS Security Hub CSPM产品集成。要了解有关更多信息，请参阅 [AWS Organizations 用户指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

要将 Macie 与 Macie 集成 AWS Organizations，首先要指定一个账户作为该组织的委派的 Macie 管理员帐户。然后，Macie 管理员为组织中的其他账户启用 Macie，将这些账户添加为 Macie 成员账户，并为这些账户配置 Macie 设置和资源。

**提示**  
如果您已通过邀请将 Macie 管理员账户与成员账户相关联，则您可以在 AWS Organizations中将该账户指定为贵组织的委派 Macie 管理员账户。如果执行此操作，则所有当前关联的成员账户仍会保持成员身份，并且您可以通过使用 AWS Organizations来充分利用管理账户的好处。有关更多信息，请参阅 [从基于邀请的组织过渡](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations)。

本节中的主题说明了如何将 Macie 与 Macie 集成， AWS Organizations 以及如何为组织中的账户管理和管理 Macie。

**Topics**
+ [注意事项和建议](accounts-mgmt-ao-notes.md)
+ [集成和配置组织](accounts-mgmt-ao-integrate.md)
+ [查看组织账户](accounts-mgmt-ao-review.md)
+ [管理成员账户](accounts-mgmt-ao-administer.md)
+ [更改管理员账户](accounts-mgmt-ao-admin-change.md)
+ [禁用与 AWS Organizations的集成](accounts-mgmt-ao-disable.md)

# 将 Macie 搭配使用时的注意事项 AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

在将 Amazon Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置您的组织之前，请考虑以下要求和建议。此外还应确保您了解 [Macie 管理员账户和成员账户之间的关系](accounts-mgmt-relationships.md)。

**Topics**
+ [指定管理员账户](#accounts-mgmt-ao-notes-admin-designate)
+ [更改或移除管理员账户的指定](#accounts-mgmt-ao-notes-admin-remove)
+ [添加和移除成员账户](#accounts-mgmt-ao-notes-members-manage)
+ [从基于邀请的组织过渡](#accounts-mgmt-ao-notes-transition-invitations)

## 指定 Macie 管理员账户
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

在确定哪个账户应为组织委派的 Macie 管理员账户时，请记住以下几点：
+ 一个组织只能有一个委派的 Macie 管理员账户。
+ 一个账户不能同时是 Macie 管理员账户和成员账户。
+ 只有组织的 AWS Organizations 管理帐户才能为该组织指定委派的 Macie 管理员帐户。只有管理账户随后才能更改或删除该指定。
+ 组织的 AWS Organizations 管理帐户也可以是该组织委派的 Macie 管理员帐户。但是，基于 AWS 安全最佳实践和最小权限原则，我们不建议使用此配置。出于计费目的有权访问管理账户的用户可能与出于信息安全目的需要访问 Macie 的用户不同。

  如果您更喜欢这种配置，则必须至少在一个中为该组织的管理账户启用 Macie， AWS 区域 然后才能将该账户指定为委派的 Macie 管理员帐户。否则，该账户将无法访问和管理 Macie 成员账户的设置和资源。
+ 不同的是 AWS Organizations，Macie 是一项区域服务。这意味着 Macie 管理员账户的指定是区域指定。这也意味着 Macie 管理员和成员账户之间的关联是区域性的。例如，如果管理账户指定了在美国东部（弗吉尼亚州北部）地区的 Macie 管理员账户，则 Macie 管理员只能为该地区的成员账户管理 Macie。

  要集中管理多个 Macie 账户 AWS 区域，管理账户必须登录到组织当前使用或将要使用 Macie 的每个区域，然后在每个区域中指定 Macie 管理员账户。然后，Macie 管理员账户可以在每个区域中配置组织。有关当前已推出 Macie 的所有区域的列表，请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和配额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。
+ 一个账户一次只能与一个 Macie 管理员账户关联。如果您的组织在多个区域使用 Macie，则在所有这些区域中指定的 Macie 管理员账户必须相同。但是，组织的管理账户必须在每个地区分别指定管理员账户。
+ 一个账户一次只能作为一个组织委派的 Macie 管理员账户。如果您在中管理多个组织 AWS Organizations，则必须为每个组织指定不同的 Macie 管理员帐户。这是由于一项 AWS Organizations 规定——一个账户同时只能是一个组织的成员。

如果 Macie 管理员的账户被暂停、隔离或关闭， AWS 账户 则所有关联的 Macie 成员账户都将自动移除为 Macie 成员账户，但仍会为这些账户启用 Macie。如果一个或多个成员账户启用了[自动敏感数据发现](discovery-asdd.md)，则该账户将禁用该功能。这也导致无法访问统计数据、库存数据以及 Macie 在对账户进行自动发现时生成和直接提供的其他信息。要恢复对这些数据的访问权限，必须在 30 天内完成以下操作：

1. Macie 管理员 AWS 账户 已恢复。

1.  AWS Organizations 管理账户再次将该账户指定为 Macie 管理员账户。

1. Macie 管理员会对组织进行配置，并再次启用相应账户自动发现功能。

30 天后，Macie 会永久删除其之前在自动发现适用账户时生成并直接提供的数据。

## 更改或移除 Macie 管理员账户的指定
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

只有组织的 AWS Organizations 管理账户才能更改或删除该组织委托的 Macie 管理员帐户的指定。

如果管理账户更改或删除了指定：
+ 所有关联的成员账户都将作为 Macie 成员账户删除，但这些账户仍将继续启用 Macie。这些账户都将成为独立的 Macie 账户。要暂停或停止使用 Macie，该成员账户的用户必须挂起（暂停）或禁用（停止）该账户的 Macie。
+ 启用自动敏感数据发现的每个账户都会禁用该功能。这也禁止了对统计数据、库存数据以及 Macie 在对每个账户进行自动发现时生成和直接提供的其他信息的访问。要恢复对这些数据的访问权限，管理账户必须在 30 天内再次指定同一个 Macie 管理员账户。此外，Macie 管理员必须在 30 天内重新配置组织并为每个账户重新启用自动发现功能。30 天后，这些数据就会过期，Macie 会将其永久删除。

## 添加和移除 Macie 成员账户
<a name="accounts-mgmt-ao-notes-members-manage"></a>

在为您的组织添加、移除和以其他方式管理成员账户时，请注意以下几点：
+ 一个 Macie 管理员账户在每个 AWS 区域中能与不超过 10000 个 Macie 成员账户相关联。如果您的组织超过此配额，Macie 管理员将无法添加成员账户，直到他们移除该地区必要数量的现有成员账户。当组织达到此配额时，我们会通过为其账户创建 AWS Health 活动来通知 Macie 管理员。我们也会发送电子邮件到与他们的账户相关联的地址。

  如果您是组织的 Macie 管理员，则可以通过亚马逊 Macie 控制台上的**账户**页面或[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)亚马逊 Macie API 的操作来确定当前有多少成员账户与您的账户关联。有关更多信息，请参阅 [查看组织的 Macie 账户](accounts-mgmt-ao-review.md)。
+ 一个账户一次只能与一个 Macie 管理员账户关联。这意味着，如果一个账户已经与 AWS Organizations中组织的 Macie 管理员账户关联，则该账户无法接受来自其他账户的 Macie 邀请。

  同样，如果账户已接受邀请，则所在组织的 Macie 管理员 AWS Organizations 无法将该账户添加为 Macie 成员账户。该账户必须先取消与其当前基于邀请的管理员账户的关联。
+ 要将 AWS Organizations 管理账户添加为 Macie 成员账户，管理账户的用户必须先为该账户启用 Macie。不允许 Macie 管理员为管理账户启用 Macie。
+ 如果 Macie 管理员移除了 Macie 成员账户，则可以执行以下操作：
  + Macie 继续为该账户启用。账户成为独立的 Macie 账户。要暂停或停止使用 Macie，该账户的用户必须挂起（暂停）或禁用（停止）该账户的 Macie。
  + 自动敏感数据发现已禁用（如果已启用）。这也禁止了对统计数据、库存数据以及 Macie 在对账户进行自动发现时生成和直接提供的其他信息的访问。
+ 成员账户无法与 Macie 管理员账户取消关联。只有 Macie 管理员才能将账户移除为 Macie 成员账户。

## 从基于邀请的组织过渡
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

如果您已通过使用 Macie 成员邀请将 Macie 管理员账户与成员账户相关联，我们建议您可以在 AWS Organizations中将该账户指定为组织的委派 Macie 管理员账户。这简化了从基于邀请的组织的过渡。

如果您这样做，则所有当前关联的成员账户都将继续成为成员。如果成员账户属于您的组织 AWS Organizations，则该账户的关联会自动从 “**受邀请**” 更改为 “ AWS Organizations在 Macie 中**通过**”。如果成员账户在 AWS Organizations中不属于您的组织，则该账户的关联仍为**通过邀请**。在这两种情况下，账户都将继续作为成员账户与委派的 Macie 管理员账户关联。对于敏感数据发现，这也意味着账户可以继续访问 Macie 生成和直接提供的统计数据和其他数据，同时对账户执行自动敏感数据发现。此外，如果 Macie 管理员配置敏感数据发现任务来分析账户的数据，则后续的作业运行将继续包括账户拥有的资源。

我们建议采用这种方法，因为一个账户不能同时与多个 Macie 管理员账户关联。如果您在中将其他帐户指定为组织的 Macie 管理员帐户 AWS Organizations，则指定的管理员将无法通过邀请管理已与其他 Macie 管理员帐户关联的帐户。每个成员账户必须首先与其当前的基于邀请的管理员账户解除关联。然后，在 AWS Organizations 中您组织的 Macie 管理员可以将该账户添加为 Macie 成员账户并开始管理该账户。

将 Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置组织后，您可以选择为该组织指定不同的 Macie 管理员帐户。您也可以继续使用邀请来关联和管理 AWS Organizations中不属于您的组织的成员账户。

# 在 Macie 中集成和配置组织
<a name="accounts-mgmt-ao-integrate"></a>

要开始使用 Amazon Macie AWS Organizations，该组织的 AWS Organizations 管理账户需要将一个账户指定为该组织委托的 Macie 管理员账户。这使Macie成为值得信赖的服务. AWS Organizations它还为指定的管理员账户启用当前 AWS 区域 中的 Macie，并允许指定的管理员账户为该区域组织中的其他账户启用和管理 Macie。有关如何授予这些权限的信息，请参阅《*AWS Organizations 用户指南》 AWS 服务*中的 “[AWS Organizations 与其他人一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)”。

然后，委派的 Macie 管理员在 Macie 中配置组织，主要是通过添加该组织的账户作为该区域中的 Macie 成员账户。然后，管理员可以访问该区域中这些账户的某些 Macie 设置、数据和资源。他们还可以执行自动敏感数据发现，并运行敏感数据发现作业来检测账户拥有的 Amazon Simple Storage Service (Amazon S3) 存储桶中的敏感数据。

本主题说明如何为组织指定委托的 Macie 管理员以及如何添加该组织的账户作为 Macie 成员账户。在执行这些任务之前，请确保您了解 [Macie 管理员账户和成员账户之间的关系](accounts-mgmt-relationships.md)。查看将 Macie 与配 AWS Organizations合使用的[注意事项和建议](accounts-mgmt-ao-notes.md)也是一个好主意。

**Topics**
+ [步骤 1：验证您的权限](#accounts-mgmt-ao-admin-designate-permissions)
+ [步骤 2：指定委派的 Macie 管理员账户](#accounts-mgmt-ao-admin-designate)
+ [步骤 3：自动启用并添加新组织账户](#accounts-mgmt-ao-members-autoenable)
+ [步骤 4：启用并添加现有组织账户](#accounts-mgmt-ao-members-add-existing)

要在多个区域中整合和配置组织， AWS Organizations 管理账户和委派的 Macie 管理员在每个其他区域中重复这些步骤。

## 第 1 步：验证权限
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

在为组织指定委派的 Macie 管理员帐户之前，请确认您（作为 AWS Organizations 管理账户的用户）是否被允许执行以下 Macie 操作：。`macie2:EnableOrganizationAdminAccount`此操作允许您使用 Macie 为您的组织指定委派的 Macie 管理员账户。

此外，请确认您是否被允许执行以下 AWS Organizations 操作：
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

这些操作允许您：检索有关您的组织的信息；将 Macie 与集成 AWS Organizations；检索有关 AWS 服务 您已与之集成的信息 AWS Organizations；以及为您的组织指定一个委托的 Macie 管理员帐户。

要授予这些权限，请在账户的 AWS Identity and Access Management (IAM) 策略中加入以下声明：

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

如果您想将自己的 AWS Organizations 管理账户指定为该组织委派的 Macie 管理员账户，则您的账户还需要权限才能执行以下 IAM 操作：`CreateServiceLinkedRole`。此操作允许您为管理账户启用 Macie。但是，根据 AWS 安全最佳实践和最低权限原则，我们不建议您这样做。

如果您决定授予此权限，请将以下声明添加到您的 AWS Organizations 管理账户的 IAM 策略中：

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

在对账单中，*111122223333*替换为管理账户的账户 ID。

如果您想在选择加入 AWS 区域 （默认情况下禁用的区域）中管理 Macie，还要更新`Resource`元素和条件中的 Macie 服务主体的值。`iam:AWSServiceName`该值必须指定该区域的区域代码。例如，要管理中东（巴林）区域（区域代码为 *me-south-1*）中的 Macie，请执行以下操作：
+ 在 `Resource` 元素中，请将

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  替换为

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  其中，*111122223333*指定了管理账户的账户 ID，并*me-south-1*指定了该区域的区域代码。
+ 在`iam:AWSServiceName`条件中，`macie.amazonaws.com`替换为`macie.me-south-1.amazonaws.com`，其中*me-south-1*指定该区域的区域代码。

有关 Macie 当前可用区域的列表以及每个区域的区域代码，请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和限额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。要确定某个区域是否为可选区域，请参阅*《AWS 账户管理 用户指南》*中的[在您的账户中启用或禁用 AWS 区域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。

## 步骤 2：为组织指定委派的 Macie 管理员账户
<a name="accounts-mgmt-ao-admin-designate"></a>

验证权限后，您（作为 AWS Organizations 管理账户的用户）可以为您的组织指定委派的 Macie 管理员帐户。

**为组织指定委派的 Macie 管理员账户**  
要为您的组织指定委派 Macie 管理员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有 AWS Organizations 管理账户的用户才能执行此任务。

------
#### [ Console ]

请按照以下步骤操作，使用 Amazon Macie 控制台指定 Macie 委派管理员账户。

**指定委派的 Macie 管理员账户**

1.  AWS 管理控制台 使用您的 AWS Organizations 管理账户登录。

1. 使用页面右上角的 AWS 区域 选择器，选择要为组织指定委托的 Macie 管理员帐户的区域。

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 根据您的管理账户在当前区域中是否启用 Macie，执行以下操作之一：
   + 如果未启用 Macie，请在欢迎页面上选择**开始使用**。
   + 如果已启用 Macie，请在导航窗格中选择**设置**。

1. 在 “**委托管理员**” 下，输入要指定为 Mac AWS 账户 ie 管理员帐户的 12 位数账户 ID。

1. 选择 **Delegate（委派）**。

在您想要将组织与 Macie 集成的每个其他区域中重复上述步骤。您必须在每个区域中指定相同的 Macie 管理员账户。

------
#### [ API ]

要以编程方式指定委派的 Macie 管理员账户，请使用 Amazon Macie API 的[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)操作。要在多个区域中指定账户，请为要在其中将您的组织与 Macie 集成的每个区域提交该指定。您必须在每个区域中指定相同的 Macie 管理员账户。

提交指定时，请使用必填`adminAccountId`参数指定 12 位数的帐户 ID， AWS 账户 以便指定为组织的 Macie 管理员帐户。另外，请务必指定该指定所适用的区域。

要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 指定 Macie 管理员帐户，请运行[enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)命令。在`admin-account-id`参数中，指定要指定的 12 位帐户 ID。 AWS 账户 使用 `region` 参数指定该指定所适用的区域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

该名称适用的区域（美国东部（弗吉尼亚北部）地区）在哪*us-east-1*里，*111122223333*也是要指定的账户的账户 ID。

------

为组织指定 Macie 管理员账户后，Macie 管理员便可以开始在 Macie 中配置组织。

## 步骤 3：自动启用并添加新组织账户作为 Macie 成员账户
<a name="accounts-mgmt-ao-members-autoenable"></a>

默认情况下，在 AWS Organizations中将新账户添加到您的组织时，不会自动为这些账户启用 Macie。此外，不会自动添加这些账户作为 Macie 成员账户。这些账户会显示在 Macie 管理员的账户清单中。但是，不一定要为这些账户启用 Macie，Macie 管理员也不一定能访问这些账户的 Macie 设置、数据和资源。

如果您是该组织的委派 Macie 管理员，则可以更改这个配置设置。您可以为您的组织开启自动启用功能。如果这样做，在 AWS Organizations中将新账户添加到您的组织时，不会自动为这些账户启用 Macie。此外，这些账户不会作为成员账户自动与您的 Macie 管理员账户关联。开启此设置不会影响组织中的现有账户。要为现有账户启用和管理 Macie，必须手动添加这些账户作为 Macie 成员账户。[下一步](#accounts-mgmt-ao-members-add-existing)介绍如何执行此操作。

**注意**  
如果您打开了自动启用功能，请注意以下例外情况：如果新账户已与其他 Macie 管理员账户关联，则 Macie 不会自动添加该账户作为组织中的成员账户。该账户必须先取消与其当前 Macie 管理员账户的关联，然后才能在 Macie 中加入您的组织。然后，您可以手动添加该账户。要确定存在这种情况的账户，您可以为您的组织[查看账户清单](accounts-mgmt-ao-review.md)。

**自动启用并添加新组织账户作为 Macie 成员账户**  
要自动启用并添加新账户作为 Macie 成员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

------
#### [ Console ]

要使用控制台执行此任务，必须允许您执行以下 AWS Organizations 操作：`organizations:ListAccounts`。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限，请按照以下步骤自动启用并添加新组织账户作为 Macie 成员账户。

**自动启用并添加新组织账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要自动启用的区域，并将新账户添加为 Macie 成员账户。

1. 在导航窗格中，选择**账户**。

1. 在**账户**页面的**新账户**部分，选择**编辑**。

1. 在**编辑新账户设置**对话框中，选择**启用 Macie**。

   要同时对新成员账户自动启用自动敏感数据发现，请选择**启用自动敏感数据发现**。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。

1. 选择 **Save**。

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

要随后更改这些设置，请重复上述步骤并清除每个设置的复选框。

------
#### [ API ]

要以编程方式自动启用和添加新的 Macie 成员账户，请使用亚马逊 Macie API 的[UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html)操作。提交请求时，将 `autoEnable` 参数的值设置为 `true`。（默认值为 `false`。） 另外，请务必指定您的请求适用的区域。要在其他区域中自动启用并添加新账户，请为每个其他区域提交请求。

如果您使用 AWS CLI 提交请求，请运行[update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)命令并指定`auto-enable`参数以自动启用和添加新账户。例如：

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

哪个区域*us-east-1*是自动启用和添加新账户的区域，即美国东部（弗吉尼亚北部）区域。

要随后更改此设置以及停止自动启用并添加新账户，请再次运行相同的命令并在每个适用区域中使用 `no-auto-enable` 参数，而不是 `auto-enable` 参数。

您还可以为新成员账户自动启用自动敏感数据发现。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。要为成员账户自动启用此功能，请使用[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作，或者，如果您使用的是 AWS CLI，则运行[update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)命令。

------

## 步骤 4：启用并添加现有组织账户作为 Macie 成员账户
<a name="accounts-mgmt-ao-members-add-existing"></a>

当你将 Macie 与集成时 AWS Organizations，不会自动为组织中的所有现有账户启用 Macie。此外，这些账户不会作为 Macie 成员账户自动与委派的 Macie 管理员账户关联。因此，在 Macie 中集成和配置组织的最后一步是添加现有组织账户作为 Macie 成员账户。当您添加现有账户作为 Macie 成员账户时，系统会自动为该账户启用 Macie，并且您（作为委派的 Macie 管理员）可以访问该账户的某些 Macie 设置、数据和资源。

请注意，您无法添加当前与其他 Macie 管理员账户关联的账户。要添加账户，请与账户所有者合作，以先取消该账户与其当前管理员账户的关联。此外，如果 Macie 当前被暂停使用现有账户，则无法添加该账户。账户所有者必须先为账户重新启用 Macie。最后，如果您要添加 AWS Organizations 管理账户作业为成员账户，该账户的用户必须首先为该账户启用 Macie。

**启用并添加现有组织账户作为 Macie 成员账户**  
要启用并添加现有组织账户作为 Macie 成员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。只有组织委派的 Macie 管理员才能执行此任务。

------
#### [ Console ]

要使用控制台执行此任务，必须允许您执行以下 AWS Organizations 操作：`organizations:ListAccounts`。此操作允许您检索和显示有关组织中账户的信息。如果您拥有这些权限，请按照以下步骤启用并添加现有账户作为 Macie 成员账户。

**启用并添加现有组织账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要启用的区域，并将现有账户添加为 Macie 成员账户。

1. 在导航窗格中，选择**账户**。**账户**页面将打开并显示与您的 Macie 账户关联的账户表。

   如果账户属于您的组织 AWS Organizations，则其**类型**为 **Via AWS Organizations**。如果账户已是 Macie 成员账户，则其**状态**为**已启用**或**已暂停（已暂停）**。

1. 在**现有账户**表中，选中要添加为 Macie 成员账户的每个账户对应的复选框。

1. 在**操作**菜单上，选择**添加成员**。

1. 确认您要添加所选账户作为成员账户。

在确认添加所选账户后，账户的状态将更改为**正在启用**，然后更改为**已启用**。添加成员帐户后，您还可以为该帐户启用自动敏感数据发现：在**现有账户**表中，选中要为其启用自动敏感数据发现的每个帐户的复选框，然后在 “**操作**” 菜单上选择 “**启用自动敏感数据发现**”。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。

在您想要在 Macie 中配置组织的每个其他区域中重复上述步骤。

------
#### [ API ]

要以编程方式启用一个或多个现有账户并将其添加为 Macie 成员账户，请使用 Amazon Macie API 的[CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。提交请求时，请使用支持的参数指定 AWS 账户 要启用和添加的 12 位账户 ID 和电子邮件地址。此外，请指定请求适用的区域。要在其他区域中启用并添加现有账户，请提交每个其他区域的请求。

要检索 AWS 账户 要启用和添加的账户 ID 和电子邮件地址，您可以选择使用 Amazon Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。此操作提供有关与您的 Macie 账户关联的账户的详细信息，包括非 Macie 成员账户的账户。如果账户 `relationshipStatus` 属性的值不是 `Enabled` 或 `Paused`，则该账户不是 Macie 成员账户。

要使用启用和添加一个或多个现有账户 AWS CLI，请运行 [create-Mem](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) ber 命令。使用`region`参数指定要在其中启用并添加账户的区域。使用`account`参数为每个 AWS 账户 要添加的账户 ID 和电子邮件地址指定账户 ID 和电子邮件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

哪里*us-east-1*是启用账户并将其添加为 Macie 成员账户的区域（美国东部（弗吉尼亚北部）区域），`account`参数指定了该账户的账户 ID (*123456789012*) 和电子邮件地址 (*janedoe@example.com*)。

如果您的请求成功，则指定账户的状态 (`relationshipStatus`) 将更改为您的账户清单中的`Enabled`。

要同时为一个或多个账户启用自动发现敏感数据，请使用[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)操作，或者，如果您使用的是，则运行 [batch-update-automated-discovery- AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) accounts 命令。如果为账户启用此功能，Macie 会持续从账户的 S3 存储桶中选择样本对象，并分析这些对象，以确定其中是否包含敏感数据。有关更多信息，请参阅 [执行自动敏感数据发现](discovery-asdd.md)。

------

# 查看组织的 Macie 账户
<a name="accounts-mgmt-ao-review"></a>

在 Amazon Macie 中[集成和配置 AWS Organizations](accounts-mgmt-ao-integrate.md)组织后，授权的 Macie 管理员可以在 Macie 中访问该组织账户的清单。作为组织的 Macie 管理员，您可以使用此清单查看组织 Macie 账户在 AWS 区域中的统计数据和详细信息。您还可以使用它来[执行账户的某些管理任务](accounts-mgmt-ao-administer.md)。

**查看组织的 Macie 账户**  
您可以使用 Amazon Macie 控制台或 Amazon Macie API 查看组织的账户。如果您更喜欢使用控制台，则必须允许您执行以下 AWS Organizations 操作：`organizations:ListAccounts`。此操作允许您检索和显示有关 AWS Organizations中属于您的组织的账户的信息。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台查看组织的 Macie 账户。

**要查看组织的账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择您要查看组织账户的区域。

1. 在导航窗格中，选择**账户**。

**账户**页面将打开并显示汇总统计数据以及与当前 AWS 区域中的 Macie 账户关联的账户表。

在**账户**页面的顶部，您可以找到以下汇总统计数据。

**通过 AWS Organizations**  
**Activ** e 会报告组织中通过您的账户关联 AWS Organizations 且当前是 Macie 成员账户的账户总数。已为这些账户启用 Macie，并且您是这些账户的 Macie 管理员。  
**所有**报告通过 AWS Organizations与您的账户关联的账户总数。这包括当前不是 Macie 成员账户的账户。其中还包括 Macie 目前被暂停的成员账户。

**通过邀请**  
**活动**报告通过 Macie 邀请与您的账户关联的账户总数，并且这些账户目前是您的组织中的 Macie 成员账户。这些账户未通过 AWS Organizations与您的账户关联。已为这些账户启用 Macie，并且您是这些账户的 Macie 管理员，因为他们接受了 Macie 成员资格邀请。  
**所有**报告通过 Macie 邀请与您的账户关联的账户总数，包括尚未回复您的邀请的账户。

**活动/全部**  
**活跃账户**报告 Macie 当前在您的组织中启用的账户总数，包括您自己的账户。您通过 AWS Organizations 或 Macie 邀请成为这些账户的 Macie 管理员。  
**全部**报告通过 AWS Organizations 或通过 Macie 邀请与您的账户关联的账户总数，以及您自己的账户。这包括属于你的组织但目前不是 Macie 成员账户的账户。 AWS Organizations 还包括未回复您发出的 Macie 成员邀请的账户。

在表中，您将找到有关当前区域中每个账户的详细信息。该表包含通过 AWS Organizations 或 Macie 邀请与您的 Macie 账户关联的所有账户。

**账户 ID**  
 AWS 账户的账户 ID 和电子邮件地址。

**名称**  
 AWS 账户的账户名称。对于您自己的账户以及通过 Macie 邀请与您的账户关联的任何账户，该值通常**不适用**。

**类型**  
如何通过 AWS Organizations 或通过 Macie 邀请将该账户与您的账户关联。对于您自己的账户，该值为**当前账户**。

**状态**  
您的账户与该账户之间的关系状态。对于 AWS Organizations 组织中的账户（**类型**为 **Via AWS Organizations**），可能的值为：  
+ **账户已挂起** – AWS 账户 已挂起。
+ **已启用**：该账户是 Macie 成员账户。已为该账户启用 Macie，并且您是该账户的 Macie 管理员。
+ **启用中**：Macie 正在处理启用该账户并将其添加为 Macie 成员账户的请求。
+ **不是会员** — 该帐户是您所在组织的一部分， AWS Organizations 但不是 Macie 成员帐户。
+ **已暂停（已暂停）**：该账户是 Macie 成员账户，但 Macie 目前对该账户已暂停。
+ **已禁用区域** — 该账户是您所在组织的一部分， AWS Organizations 但当前区域已被禁用 AWS 账户。
+ **已移除（已解除关联）**：该账户以前是 Macie 成员账户，但后来作为成员账户被移除。您取消该账户与 Macie 管理员账户的关联。Macie 继续为该账户启用。

**上次状态更新**  
当您或关联的账户最近执行了影响您账户之间关系的操作时。

**自动敏感数据发现**  
当前已为该账户启用还是禁用了自动敏感数据发现。

要按特定字段对表格进行排序，请选择该字段的列标题。若要更改排序顺序，请再次选择列标题。若要筛选表，请将光标放在筛选条件框中，然后为字段添加筛选条件。若要进一步优化结果，请为其他字段添加筛选条件。

------
#### [ API ]

要以编程方式查看贵组织的账户，请使用 Amazon Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作并指定您的请求适用的区域。要查看其他区域中的账户，请在每个其他区域提交您的请求。

提交请求时，请使用 `onlyAssociated` 参数指定要包含在响应中的账户。默认情况下，Macie 仅返回有关通过 AWS Organizations 或通过 Macie 邀请在指定地区属于 Macie 成员账户的账户的详细信息。要检索所有与 Macie 账户关联的账户（包括非成员账户）的详细信息，请在请求中包含 `onlyAssociated` 参数，并将该参数的值设置为 `false`。

要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 查看组织的账户，请运行 [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) 命令。对于 `only-associated` 参数，指定是包括所有关联账户还是仅包含 Macie 成员账户。要仅包含成员账户，请省略此参数或将参数的值设置为 `true`。要包括所有账户，请将此值设置为 `false`。例如：

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

请求适用的地区在*us-east-1*哪里，即美国东部（弗吉尼亚北部）区域。

如果请求成功，Macie 将返回一个 `members` 数组。该数组包含满足请求中指定标准的每个账户的 `member` 对象。在该对象中，`relationshipStatus` 字段指示您的账户与指定区域中的其他账户之间的关联的当前状态。对于 AWS Organizations 组织中的帐户，可能的值为：
+ `AccountSuspended`— AWS 账户 已暂停。
+ `Created`：Macie 正在处理启用该账户并将其添加为 Macie 成员账户的请求。
+ `Enabled`：该账户是 Macie 成员账户。已为该账户启用 Macie，并且您是该账户的 Macie 管理员。
+ `Paused`‬：该账户是 Macie 成员账户，但 Macie 当前对该账户已挂起（暂停）。
+ `RegionDisabled`— 该账户是您所在组织的一部分， AWS Organizations 但当前区域已被禁用 AWS 账户。
+ `Removed`：该账户以前是 Macie 成员账户，但后来作为成员账户被移除。您取消该账户与 Macie 管理员账户的关联。Macie 继续为该账户启用。

有关 `member` 对象中其他字段的信息，请参阅 *Amazon Macie API 参考*中的[成员](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)。

------

# 管理组织的 Macie 成员账户
<a name="accounts-mgmt-ao-administer"></a>

在 Amazon Macie 中[集成和配置 AWS Organizations](accounts-mgmt-ao-integrate.md)组织后，该组织委派的 Macie 管理员可以访问成员账户的某些 Macie 设置、数据和资源。作为组织的 Macie 管理员，您可以使用 Macie 集中执行某些账户管理和账户行政任务。例如，您可以：
+ 添加和删除作为 Macie 成员账户的账户。
+ 管理个人账户的 Macie 状态，例如为账户启用或暂停 Macie。
+ 监控 Macie 配额以及单个账户和整个组织的估算使用成本。

您还可以查看 Macie 成员账户的 Amazon Simple Storage Service (Amazon S3) 库存数据和策略调查发现。此外，您还可以在账户拥有的 S3 存储桶中发现敏感数据。有关您可以执行的任务的详细列表，请参阅 [Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。

默认情况下，Macie 允许您查看组织中所有 Macie 成员账户的相关数据和资源。您还可以深入查看个人账户的数据和资源。例如，如果您[使用摘要控制面板](monitoring-s3-dashboard.md)来评测组织的 Amazon S3 安全状况，则可以按账户筛选数据。同样，如果您[监控估算使用成本](account-mgmt-costs.md)，则可以访问个人成员账户的估算费用明细。

除了管理员和成员账户常见的任务外，您还可以为组织执行各种管理任务。

**Topics**
+ [添加成员账户](#accounts-mgmt-ao-members-add)
+ [暂停成员账户的 Macie](#accounts-mgmt-ao-members-suspend)
+ [删除成员账户](#accounts-mgmt-ao-members-remove)

作为组织的 Macie 管理员，您可以使用 Amazon Macie 控制台或 Amazon Macie API 来执行这些任务。如果您更喜欢使用控制台，则必须允许您执行以下 AWS Organizations 操作：`organizations:ListAccounts`。此操作允许您检索和显示有关 AWS Organizations中属于您的组织的账户的信息。

## 向组织添加 Macie 成员账户
<a name="accounts-mgmt-ao-members-add"></a>

在部分情况下，您可能需要手动添加账户作为 Amazon Macie 成员账户。对于您之前作为成员账户删除（取消关联）的账户，情况就是这样。如果您没有将 Macie 配置为在 AWS Organizations中向您的组织中添加账户时[自动启用和添加新的成员账户](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable)，也会出现这种情况。

当您将一个账户添加为 Macie 成员账户时：
+ 如果该地区尚未启用 Macie AWS 区域，则当前账户已启用 Macie。
+ 该账户作为该区域的成员账户与您的 Macie 管理员账户关联。成员账户不会收到您在账户之间建立这种关系的邀请或其他通知。
+ 该区域的账户可能已启用自动敏感数据发现。这取决于您为组织指定的配置设置。有关更多信息，请参阅 [配置自动敏感数据发现](discovery-asdd-account-manage.md)。

请注意，您无法添加已与另一个 Macie 管理员账户关联的账户。该账户必须先解除与其当前管理员账户的关联。此外，除非已为该账户启用 Macie，否则您无法将该 AWS Organizations 管理账户添加为成员账户。要了解其他要求，请参阅[将 Macie 搭配使用时的注意事项 AWS Organizations](accounts-mgmt-ao-notes.md)。

**将 Macie 成员账户添加到组织**  
要将一个或多个 Macie 成员账户添加到您的组织，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台添加一个或多个 Macie 成员账户。

**添加 Macie 成员账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要在其中添加成员账户的区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示与您的账户关联的账户表。

1. （可选）要更轻松地识别 AWS Organizations 中属于您的组织但不是 Macie 成员账户的账户，请使用**现有账户**表上方的筛选框添加以下筛选条件：
   + **类型 = 组织**
   + **状态 = 不是成员**

   要同时显示您之前删除并可能想要添加为成员账户的账户，还需要添加**状态 = 已删除**筛选条件。

1. 在**现有账户**表中，选中要添加为成员账户的每个账户对应的复选框。

1. 在**操作**菜单上，选择**添加成员**。

1. 确认您要添加所选账户作为成员账户。

确认选择后，账户清单中选定账户的状态将更改为**正在启用**，然后更改为**启用**。

要在其他地区添加成员账户，请在每个其他地区重复上述步骤。

------
#### [ API ]

要以编程方式添加一个或多个 Macie 成员账户，请使用亚马逊 Macie API 的[CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。

提交请求时，请使用支持的参数为要添加的每个 AWS 账户 账户指定 12 位数的账户 ID 和电子邮件地址。此外，请指定请求适用的区域。要在其他地区添加账户，请在每个其他地区提交您的申请。

要检索要添加的账户的账户 ID 和电子邮件地址，您可以将 API 的[ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)操作输出与 Amazon Macie AWS Organizations API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作相关联。对于 Macie API 的 **ListMembers** 操作，请在请求中包含 `onlyAssociated` 参数并将参数的值设置为 `false`。如果操作成功，Macie 将返回一个 `members` 数组，该数组提供指定区域中与您的 Macie 管理员账户关联的所有账户的详细信息，包括当前不是成员账户的账户。注意数组中的以下内容：
+ 如果某个账户的 `relationshipStatus` 属性值不是 `Enabled` 或 `Paused`，则该账户与您的账户相关联，但它不是 Macie 成员账户。
+ 如果某个账户未包含在数组中，但包含在 AWS Organizations API 的 **ListAccounts** 操作的输出中，则该账户是 AWS Organizations 中您的组织的一部分，但它与您的账户无关联，因此不是 Macie 成员账户。

要使用 AWS Command Line Interface (AWS CLI) 添加成员帐户，请运行 [create-M](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) ember 命令。使用 `region` 参数指定要在其中添加账户的区域。使用 `account` 参数为要添加的每个账户指定账户 ID 和电子邮件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

哪里*us-east-1*是要将账户添加为成员账户的区域（美国东部（弗吉尼亚北部）区域），`account`参数指定账户的账户 ID (*123456789012*) 和电子邮件地址 (*janedoe@example.com*)。

如果您的请求成功，则指定账户的状态 (`relationshipStatus`) 将更改为您的账户清单中的`Enabled`。

------

## 暂停组织成员账户的 Macie
<a name="accounts-mgmt-ao-members-suspend"></a>

作为中组织的 Amazon Macie 管理员 AWS Organizations，您可以暂停组织中的成员账户 Macie。如果您这样做，您也可以在以后为该账户重新启用 Macie。

当您暂停成员账户的 Macie 时：
+ 在当前 AWS 区域中，Macie 无法访问该账户的 Amazon S3 数据，并停止提供有关该账户的 Amazon S3 数据的元数据。
+ Macie 停止在该区域中为账户执行所有活动。这包括监控 S3 存储桶的安全性和访问控制、执行自动敏感数据发现，以及运行当前正在进行的敏感数据发现作业。
+ Macie 会取消该账户在该区域创建的所有敏感数据发现作业。作业取消后无法恢复或重新启动。如果您创建的作业是为了分析成员账户拥有的数据，Macie 不会取消您的作业。相反，这些作业会跳过该账户拥有的资源。

暂停期间，Macie 会保留其在相应区域为该账户存储或维护的会话标识符、设置和资源。Macie 还会保留该地区账户的某些数据。例如，该账户的调查发现保持不变，最长可在 90 天内不受影响。如果为该账户启用了自动敏感数据发现，则现有结果也将保持不变，并且在长达 30 天内不会受到影响。当 Macie 在该地区的账户被暂停使用时，您的组织不会为该地区的账户收取 Macie 费用。

**若要暂停组织中成员账户的 Macie**  
要暂停组织中成员账户的 Macie，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台暂停成员账户的 Macie。

**暂停成员账户的 Macie**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要暂停 Macie 的成员账号所在区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示与您的账户关联的账户表。

1. 在**现有账户**表中，选中要暂停 Macie 的账户的复选框。

1. 在**操作**菜单上，选择**暂停 Macie**。

1. 确认您要暂停该账户的 Macie。

确认暂停后，账户清单中的账户状态会更改为**已暂停（已挂起）**。要在其他地区暂停该账户的 Macie，请在每个其他地区重复上述步骤。

要稍后为该账户重新启用 Macie，请返回主机上的 “**帐户**” 页面。选中该帐户的复选框，然后在 “**操作**” 菜单上选择 “**启用 Macie**”。要在其他区域为该账户重新启用 Macie，请在每个其他区域重复这些步骤。

------
#### [ API ]

要以编程方式暂停 Macie 的成员账户，请使用亚马逊 Macie API 的[UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)操作。您也可以使用此操作稍后为该账户重新启用 Macie。

提交请求时，请使用`id`参数为要暂停 Macie 的账户指定 12 位数的账户 ID。 AWS 账户 对于 `status` 参数，请指定 `PAUSED`。此外，请指定请求适用的区域。要在其他地区暂停使用 Macie 的账户，请在每个其他地区提交您的申请。

要检索账户的账户 ID，您可以使用亚马逊 Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。如果执行此操作，请考虑通过在请求中包含 `onlyAssociated` 参数来筛选结果。如果将此参数的值设置为 `true`，则 Macie 将返回一个 `members` 数组，该数组仅提供有关当前为成员账户的账户的详细信息。

要使用暂停 Macie 的成员账号 AWS CLI，请运行[update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)命令。使用`region`参数指定要在该账户中暂停 Macie 的区域。使用`id`参数指定账户的账户 ID。对于 `status` 参数，请指定 `PAUSED`。例如：

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

暂停 Macie 的区域（美国东部（弗吉尼亚北部）区域）在哪里*us-east-1*，*123456789012*是要暂停 Macie 的账户的账户 ID，`PAUSED`也是该账户的 Macie 新状态。

如果请求成功，Macie 将返回空响应，并且指定账户的状态将在账户清单中更改为 `Paused`。要稍后为该账户重新启用 Macie，请再次运行**update-member-session**命令并指定`ENABLED`参数。`status`

------

## 从组织中删除 Macie 成员账户
<a name="accounts-mgmt-ao-members-remove"></a>

如果您想停止访问成员账户的 Amazon Macie 设置、数据和资源，可以将该账户作为 Macie 成员账户移除。为此，请取消该账户与 Macie 管理员账户的关联。请注意，只有您才能为成员账户执行此操作。 AWS Organizations 成员账户无法取消与其 Macie 管理员帐户的关联。

当您移除 Macie 成员账户时，Macie 在当前 AWS 区域中仍处于启用状态。但是，该账户已与您的 Macie 管理员账户取消关联，它成为独立的 Macie 账户。这意味着您将无法访问该账户的所有 Macie 设置、数据和资源，包括该账户 Amazon S3 数据的元数据和策略调查发现。这也意味着您无法再使用 Macie 发现账户拥有的 S3 存储桶中的敏感数据。如果您已创建敏感数据发现作业来执行此操作，则这些作业将跳过账户拥有的存储桶。如果您为账户启用了自动敏感数据发现，您和成员账户都将无法访问统计数据、库存数据以及 Macie 在为账户执行自动发现功能时生成和直接提供的其他信息。

移除 Macie 成员账户后，该账户将继续出现在您的账户库存中。Macie 不会通知账户所有者您已删除该账户。因此，请考虑与账户所有者联系，以确保他们开始管理其账户的设置和资源。

您可以稍后再将该账户添加到您的组织中。如果您这样做，并且在 30 天内再次为该账户启用自动敏感数据发现，那么您还可以重新获取 Macie 之前在对该账户执行自动发现时生成和直接提供的数据和信息的访问权限。此外，您现有任务的后续运行将再次开始包括账户的 S3 存储桶。

**从组织中删除 Macie 成员账户**  
要从您的组织中移除 Macie 成员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 主机删除 Macie 成员账户。

**移除 Macie 成员账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要移除成员账户的区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示与您的账户关联的账户表。

1. 在**现有账户**表中，选中要作为成员账户删除的账户的复选框。

1. 在**操作**菜单上，选择**取消关联账户**。

1. 确认您要作为成员账户移除的选定账户。

确认选择后，账户清单中的账户状态会更改为**已移除（已解除关联）**。

要删除其他区域的成员账户，请在每个其他地区重复上述步骤。

------
#### [ API ]

要以编程方式删除 Macie 成员账户，请使用亚马逊 Macie API 的[DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)操作。

提交请求时，使用`id`参数为要删除的成员账户指定 12 位数的 AWS 账户 ID。此外，请指定请求适用的区域。要移除其他区域的账户，请在每个其他区域提交您的申请。

要检索要删除的成员账户的账户 ID，您可以使用亚马逊 Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。如果执行此操作，请考虑通过在请求中包含 `onlyAssociated` 参数来筛选结果。如果将此参数的值设置为 `true`，则 Macie 将返回一个 `members` 数组，该数组仅提供有关当前是 Macie 成员账户的账户的详细信息。

要使用删除 Macie 成员帐户 AWS CLI，请运行[取消关联](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html)成员命令。使用 `region` 参数指定要移除账户的区域。使用 `id` 参数为要移除的成员账户指定账户 ID。例如：

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

哪里*us-east-1*是要删除账户的区域（美国东部（弗吉尼亚北部）区域），*123456789012*也是要删除账户的账户 ID。

如果请求成功，Macie 将返回空响应，并且指定账户的状态将在账户清单中更改为 `Removed`。

------

# 更改组织的 Macie 管理员账户
<a name="accounts-mgmt-ao-admin-change"></a>

在 Amazon Macie 中[整合并配置 AWS Organizations](accounts-mgmt-ao-integrate.md)组织后， AWS Organizations 管理账户可以将不同的账户指定为该组织委派的 Macie 管理员账户。然后，新的 Macie 管理员可以再次在 Macie 中配置组织。

作为组织 AWS Organizations 管理账户的用户，在为组织指定其他 Macie 管理员帐户之前，请先验证自己是否满足以下权限要求：
+ 您必须拥有最初为您的组织指定 Macie 管理员账户所需的[相同权限](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions)。还必须允许您执行以下 AWS Organizations 操作:`organizations:DeregisterDelegatedAdministrator`. 此附加操作允许您删除当前指定。
+ 如果您的账户目前是 Macie 成员账户，则当前 Macie 管理员必须将您的账户移除为 Macie 成员账户。否则，您将无法访问用于指定其他管理员账户的 Macie 操作。在您指定新的管理员账户后，新的 Macie 管理员可以再次将您的账户添加为 Macie 成员账户。

如果您的组织多次使用 Macie AWS 区域，还要确保更改组织使用 Macie 的每个地区的名称。所有这些区域中指定 Macie 管理员账户必须相同。如果您在中管理多个组织 AWS Organizations，另请注意，一个账户一次只能是为一个组织委托的 Macie 管理员帐户。要了解其他要求，请参阅[将 Macie 搭配使用时的注意事项 AWS Organizations](accounts-mgmt-ao-notes.md)。

**注意**  
为组织指定不同的 Macie 管理员账户时，还将禁止访问现有统计数据、库存数据以及 Macie 在对组织中的账户执行[自动敏感数据发现](discovery-asdd.md)时生成和直接提供的其他信息。新的 Macie 管理员无法访问现有数据。如果您更改了指定，并且新的 Macie 管理员启用了账户自动发现功能，则 Macie 会在执行账户自动发现时生成并维护新数据。

**更改 Macie 管理员帐户的名称**  
要为您的组织指定不同的 Macie 管理员账户，您可以使用 Amazon Macie 控制台或亚马逊 Macie 和的组合。 AWS Organizations APIs只有 AWS Organizations 管理账户的用户才能更改其组织的名称。

------
#### [ Console ]

按照以下步骤使用亚马逊 Macie 主机更改名称。

**要更改名称**

1. 使用您的 AWS Organizations 管理账户登录。 AWS 管理控制台 

1. 使用页面右上角的选择 AWS 区域 器，选择要更改名称的区域。

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 根据您的管理账户在当前区域中是否启用 Macie，执行以下操作之一：
   + 如果未启用 Macie，请在欢迎页面上选择**开始使用**。
   + 如果已启用 Macie，请在导航窗格中选择**设置**。

1. 在**指定管理员**下，选择**移除**。要更改指定，必须先删除当前指定。

1. 确认您要删除当前指定。

1. 在 “**委托管理员**” 下，输入 12 位数的账户 ID AWS 账户 ，以指定为该组织的新 Macie 管理员账户。

1. 选择 **Delegate（委派）**。

在您将 Macie 与 AWS Organizations集成的每个其他区域中重复上述步骤。

------
#### [ API ]

要以编程方式更改名称，您需要使用 Amazon Macie API 的两个操作和一个 API 的操作。 AWS Organizations 这是因为在提交新名称 AWS Organizations 之前，您必须移除 Macie 中的当前名称。

要删除当前指定：

1. 使用 Macie API 的[DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)操作。在必填`adminAccountId`参数中，为当前指定为组织的 Macie 管理员账户指 AWS 账户 定 12 位数的账户 ID。

1. 使用 AWS Organizations API 的[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)操作。在必填 `AccountId` 参数中，为当前被指定为组织 Macie 管理员账户的账户指定 12 位数的账户 ID。此值应与您在之前的 Macie 请求中指定的账户 ID 相匹配。对于 `ServicePrincipal` 参数，指定 Macie 服务主体 (`macie.amazonaws.com`)。

删除当前名称后，使用 Macie API 的[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)操作提交新的名称。在必填`adminAccountId`参数中，指定 12 位数的帐户 ID， AWS 账户 以指定为该组织的新 Macie 管理员帐户。

要使用 AWS Command Line Interface (AWS CLI) 更改名称，请运行 Macie API 的[disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html)命令和 API 的[deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html) AWS Organizations 命令。这些命令分别删除 Macie 和 AWS Organizations中的当前名称。在`admin-account-id`和`account-id`参数中，指定 AWS 账户 要删除的 12 位数帐户 ID 作为当前 Macie 管理员帐户。使用 `region` 参数指定移除所适用的区域。例如：

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

其中：
+ *us-east-1*是移除所适用的区域，即美国东部（弗吉尼亚北部）地区。
+ *111122223333*是要作为 Macie 管理员帐户移除的帐户的帐户 ID。
+ `macie.amazonaws.com` 是 Macie 的服务主体。

移除当前名称后，运行 Macie API 的[enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)命令提交新的名称。在`admin-account-id`参数中，指定 12 位数的帐户 ID， AWS 账户 以指定为该组织的新 Macie 管理员帐户。使用 `region` 参数指定该指定所适用的区域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

该名称适用的区域（美国东部（弗吉尼亚北部）区域）在哪里*us-east-1*，*444455556666*是指定为新 Macie 管理员账户的账户的账户 ID。

------

# 禁用 Macie 与的集成 AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

 AWS Organizations 组织与 Amazon Macie 集成后， AWS Organizations 管理账户随后可以禁用该集成。作为 AWS Organizations 管理帐户的用户，您可以通过在中禁用 Macie 的可信服务访问权限来实现此目的。 AWS Organizations

当您禁用 Macie 的可信服务访问权限时，会出现以下情况：
+ Macie失去了其作为受信任服务的地位. AWS Organizations
+ 该组织的 Macie 管理员账户无法访问所有 AWS 区域中的所有Macie 成员账户的所有 Macie 设置、数据和资源。
+ 所有 Macie 成员账户都将成为独立的 Macie 账户。如果在一个或多个区域为成员账户启用 Macie，则这些地区的账户将继续启用 Macie。但是，该账户不再与任何地区的 Macie 管理员账户关联。此外，该账户将无法访问统计数据、库存数据以及 Macie 在为账户执行自动敏感数据发现时生成和直接提供的其他信息。

有关禁用可信服务访问的结果的更多信息，请参阅*《AWS Organizations 用户指南》 AWS 服务*中的 “[AWS Organizations 与其他人一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)”。

**禁用 Macie 的信任服务访问权限**  
要禁用可信服务访问权限，您可以使用 AWS Organizations 控制台或 AWS Organizations API。只有 AWS Organizations 管理账户的用户才能禁用 Macie 的可信服务访问权限。有关所需权限的详细信息，请参阅*《AWS Organizations 用户指南》*中的[禁用可信访问所需的权限](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。

在禁用可信服务访问权限之前，可以选择与组织指定的 Macie 管理员合作，暂停或禁用成员账户的 Macie，并清理账户的 Macie 资源。

------
#### [ Console ]

要使用 AWS Organizations 控制台禁用可信服务访问权限，请按照以下步骤操作。

**禁用信任服务访问权限**

1.  AWS 管理控制台 使用您的 AWS Organizations 管理账户登录。

1. 打开 AWS Organizations 控制台，网址为[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。

1. 在导航窗格中，选择**服务**。

1. 在**集成服务**下，选择 **Amazon Macie**。

1. 选择 **Disable trusted access（禁用信任访问权限）**。

1. 确认您要禁用可信访问权限。

------
#### [ API ]

要以编程方式禁用可信服务访问权限，请使用 AWS Organizations API 的 “[禁用AWSService访问](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)” 操作。对于 `ServicePrincipal` 参数，指定 Macie 服务主体 (`macie.amazonaws.com`)。

要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 禁用可信服务访问权限，请运行 AWS Organizations API 的[disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)命令。对于 `service-principal` 参数，指定 Macie 服务主体 (`macie.amazonaws.com`)。例如：

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------

# 通过邀请管理多个 Macie 账户
<a name="accounts-mgmt-invitations"></a>

**注意**  
我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息，请参阅 [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

您可以通过两种方式集中管理多个 Amazon Macie 账户，即将 Macie 与会员邀请集成， AWS Organizations 或者使用会员邀请。如果您使用成员邀请，则指定的 Macie 管理员最多可管理 1000 个 Macie 账户。管理员还可以访问 Amazon Simple Storage Service (Amazon S3) 清单数据，并发现账户的 S3 存储桶中有敏感数据。有关管理员可执行任务的详细信息，请参阅 [Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。

在基于邀请的组织中，您可以通过在 Macie 中发送和接受成员邀请，将 Macie 账户相互关联。如果您发送邀请并被另一账户接受，则您将成为另一个账户的 Macie 管理员，而另一个账户将成为您组织的成员账户。如果您收到和接受邀请，则您的账户成为成员账户，Macie 管理员可访问您账户中指定的 Macie 设置、数据和资源。

如果您在 Macie 中创建基于邀请的组织，则随后可以[改为使用 AWS Organizations](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-transition-ao)。您也可以同时使用这两种方法管理多个 Macie 账户。例如，如果您的 AWS 环境包含测试账户，则可以将这些账户从您的组织中排除， AWS Organizations 并通过邀请单独管理它们。

本节介绍了如何创建和参与基于邀请的组织以及如何为组织执行各类管理任务。

**Topics**
+ [注意事项和建议](accounts-mgmt-invitations-notes.md)
+ [创建和管理组织](accounts-mgmt-invitations-administer.md)
+ [查看组织账户](accounts-mgmt-invitations-review.md)
+ [更改管理员账户](accounts-mgmt-invitations-admin-change.md)
+ [管理组织中的成员资格](accounts-mgmt-invitations-membership-manage.md)

# Macie 中基于邀请的组织的注意事项
<a name="accounts-mgmt-invitations-notes"></a>

**注意**  
我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息，请参阅 [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

在 Amazon Macie 中创建或开始管理基于邀请的组织之前，请考虑以下要求和建议。此外还应确保您了解 [Macie 管理员账户和成员账户之间的关系](accounts-mgmt-relationships.md)。

**Topics**
+ [选择 Macie 管理员账户](#accounts-mgmt-invitations-notes-admin-designate)
+ [发送邀请和管理 Macie 成员账户](#accounts-mgmt-invitations-notes-members-manage)
+ [回复和管理成员邀请](#accounts-mgmt-invitations-notes-invitations-manage)
+ [正在过渡到 AWS Organizations](#accounts-mgmt-invitations-notes-transition-ao)

## 选择 Macie 管理员账户
<a name="accounts-mgmt-invitations-notes-admin-designate"></a>

在确定哪个账户应为组织的 Macie 管理员账户时，请记住以下几点：
+ 一个组织只能有一个 Macie 管理员账户。
+ 一个账户不能同时是 Macie 管理员账户和成员账户。
+ Macie 是一项区域性服务。这意味着 Macie 管理员账户和成员账户之间的关联是区域性的，关联仅存在于从中 AWS 区域 发送和接受邀请的关联中。例如，如果 Macie 管理员向美国东部（弗吉尼亚州北部）区域发送邀请并且这些邀请被接受，Macie 管理员只能管理该区域中的成员账户。
+ 要集中管理多个 Macie 账户 AWS 区域，Macie 管理员必须登录该组织当前使用或计划使用 Macie 的每个区域，然后向每个区域的相应账户发送邀请。有关当前已推出 Macie 的所有区域的列表，请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和配额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。
+ 一个成员账户一次只能与一个 Macie 管理员账户关联。如果您的组织在多个区域使用 Macie，则在所有这些区域中的 Macie 管理员账户必须相同。但是，管理员和成员账户必须在每个地区分别发送和接受邀请。

如果 Macie 管理员的账户 AWS 账户 被暂停、隔离或关闭，则所有关联的成员账户都将作为成员账户自动删除，但仍会为这些账户启用 Macie。这些账户都将成为独立的 Macie 账户。如果成员账户启用了[自动敏感数据发现](discovery-asdd.md)，则该账户将禁用该功能。这也禁止了对统计数据、库存数据以及 Macie 在对账户进行自动发现时生成和直接提供的其他信息的访问。30 天后，这些数据就会过期，Macie 会将其永久删除。要在数据过期之前恢复对数据的访问权限，请恢复 Macie 管理员的 AWS 账户，然后使用该账户重新创建和配置组织。

## 发送邀请和管理 Macie 成员账户
<a name="accounts-mgmt-invitations-notes-members-manage"></a>

作为基于邀请的组织的 Macie 管理员，在组织中发送邀请和管理账户时，请记住以下几点：
+ 如果您发送邀请，相关数据可能会被传输 AWS 区域。之所以如此，是因为 Macie 使用仅在美国东部（弗吉尼亚州北部）地区运营的电子邮件验证服务来验证接收账户的电子邮件地址。
+ 您可以向任何活跃用户发送邀请 AWS 账户，包括尚未启用 Macie 的账户。但是，要接受或拒绝邀请，您必须在发出邀请的地区启用 Macie。
+ 在每个账户中 AWS 区域，一个 Macie 管理员账户只能通过邀请与不超过 1,000 个账户相关联。这包括尚未回复邀请的账户。如果您的账户满足此限额，则无法添加或邀请其他账户。要确定当前有多少账户与您的账户关联，您可以使用亚马逊 Macie 控制台上的**账户**页面或亚马逊 Macie [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)API 的操作。有关更多信息，请参阅 [查看基于邀请的组织的 Macie 账户](accounts-mgmt-invitations-review.md)。

  要减少关联账户的数量，您可以：删除与当前不是成员账户的账户的关联，删除必要数量的成员账户，或两者结合等。如果某个账户从您的组织辞职或拒绝您发出的邀请，则与您的账户关联的账户数量也会减少。
+ 一个账户一次只能与一个 Macie 管理员账户关联。这意味着如果一个账户已经与另一个 Macie 管理员账户关联，则该账户将无法接受您的邀请。该账户必须先解除与其当前 Macie 管理员账户的关联。
+ 在基于邀请的组织中，成员账户可以随时取消与其 Macie 管理员账户的关联。如果发生这种情况，则该账户将继续启用 Macie，但该账户将变为独立的 Macie 账户。如果成员账户与您的管理员账户取消关联，Macie 不会通知您。但是，该账户会继续出现在您的账户库存中，并且其状态为**成员已退出**。
+ 如果从组织中删除成员账户，Macie 将继续为该账户启用。账户成为独立的 Macie 账户。

## 回复和管理成员邀请
<a name="accounts-mgmt-invitations-notes-invitations-manage"></a>

作为邀请的接收者或基于邀请的组织的成员，在回复和管理收到的邀请时，请记住以下几点：
+ 在接受邀请之前，请确保您[了解 Macie 管理员账户和成员账户之间的关系](accounts-mgmt-relationships.md)。
+ 您的账户一次只能与一个 Macie 管理员账户关联。如果您接受邀请并随后想加入其他组织（通过邀请或通过 AWS Organizations），则必须先取消您的账户与其当前 Macie 管理员帐户的关联。然后，您可以加入另一个组织。
+ 要接受或拒绝邀请，您必须在发出邀请的 AWS 区域 中启用 Macie。发送邀请的账户无法在该地区为您启用 Macie。拒绝邀请是可选的。如果您拒绝邀请，则可以选择在拒绝邀请后在适用的地区禁用 Macie。
+ 如果您是 Macie 管理员，则不能接受成为成员账户的邀请，一个账户不能同时是 Macie 管理员和成员账户。要成为成员账户，您必须先从当前组织中移除所有成员账户，从而取消账户与其所有成员账户的关联。
+ Macie 是一项区域性服务。如果您接受邀请，则您的账户与 Macie 管理员账户之间的关联是区域性的，关联仅存在于发出和接受邀请的所在地。 AWS 区域 
+ 如果您在多个区域中使用 Macie，则您的账户的 Macie 管理员账户必须在所有这些区域中相同。但是，Macie 管理员必须在每个区域分开向您发送邀请，并且您必须在每个区域分别接受邀请。
+ 您可以随时取消您的账户与 Macie 管理员账户的关联。同样，您的 Macie 管理员也可以随时从他们的组织中删除您的账户。如果出现任何一种情况：
  + Macie 继续为您的账户启用。您的账户成为独立的 Macie 账户。
  + 自动敏感数据发现已禁用（如果已启用）。这也禁止了对现有的统计数据、库存数据以及 Macie 在对您的账户进行自动发现时生成和直接提供的其他信息的访问。您可以再次启用账户的自动发现功能。不过，这无法恢复对现有数据的访问。相反，Macie 在对您的账户执行自动发现时生成和维护新数据。

## 正在过渡到 AWS Organizations
<a name="accounts-mgmt-invitations-notes-transition-ao"></a>

在 Macie 中创建基于邀请的组织后，可以改为使用。 AWS Organizations 为了简化过渡，我们建议您将现有的基于邀请的管理员账户指定为 AWS Organizations中组织的 Macie 管理员账户。

如果您这样做，则所有当前关联的成员账户都将继续成为成员。如果成员账户是组织的一部分 AWS Organizations，则该账户的关联会自动从 “**受邀请**” 更改为 Macie AWS Organizations中的 **Via**。如果成员账户不是组织的一部分 AWS Organizations，则该账户的关联仍为**受邀者**。在这两种情况下，账户都将继续作为成员账户与 Macie 管理员账户关联。对于敏感数据发现，这也意味着账户可以继续访问 Macie 生成和直接提供的统计数据和其他数据，同时对账户执行自动敏感数据发现。此外，如果 Macie 管理员配置敏感数据发现任务来分析账户的数据，则后续的作业运行将继续包括账户拥有的资源。

我们建议使用这种方法，因为一个成员账户一次只能与一个 Macie 管理员账户相关联。如果您将其他帐户指定为中组织的 Macie 管理员帐户 AWS Organizations，则指定的管理员将无法通过邀请管理已与其他 Macie 管理员帐户关联的帐户。每个成员账户必须首先与其当前的基于邀请的管理员账户解除关联。只有这样，该 AWS Organizations 组织的 Macie 管理员才能将成员帐户添加到其组织中，并开始为该帐户管理 Macie。

将 Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置您的组织后，您可以选择为该组织指定不同的 Macie 管理员帐户。您也可以继续使用邀请来关联和管理 AWS Organizations中不属于您的组织的成员账户。

有关将 Macie 与集成的信息 AWS Organizations，请参阅[使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

# 在 Macie 中创建和管理基于邀请的组织
<a name="accounts-mgmt-invitations-administer"></a>

**注意**  
我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息，请参阅 [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

要在 Amazon Macie 中创建基于邀请的组织，您首先要确定要使用哪个账户作为该组织的 Macie 管理员账户。然后，您可以使用该帐户添加成员帐户，即向其他人发送成员资格邀请 AWS 账户，邀请这些帐户作为当前的 Macie 成员帐户加入组织。 AWS 区域要在多个区域中创建组织，请从其他账户当前或计划使用 Macie 的每个区域发送成员资格邀请。

账户接受邀请后，就会成为 Macie 成员账户，并与相应地区的 Macie 管理员账户相关联。然后，Macie 管理员账户就可以访问该区域中成员账户的某些 Macie 设置、数据和资源。

作为基于邀请的组织的 Macie 管理员，您可以查看成员账户的 Amazon Simple Storage Service (Amazon S3) 清单数据和策略调查发现。您还可以启用自动敏感数据发现并运行敏感数据发现作业，以检测成员账户拥有的 S3 存储桶中的敏感数据。有关您可执行的任务的详细列表，请参阅 [Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。

默认情况下，Macie 可让您查看整个组织的相关数据和资源。您还可以深入查看组织内各个账户的数据和资源。例如，如果您[使用摘要控制面板](monitoring-s3-dashboard.md)来评测组织的 Amazon S3 安全状况，则可以按账户筛选数据。同样，如果您[监控估算使用成本](account-mgmt-costs.md)，则可以访问个人成员账户的估算费用明细。

除了管理员和成员账户共有的任务外，您还可以为组织集中执行各种管理任务。在执行这些任务之前，最好先查看一下在 Macie 中管理基于邀请的组织的[注意事项和建议](accounts-mgmt-invitations-notes.md)。

**Topics**
+ [添加成员账户](#accounts-mgmt-invitations-members-add)
+ [暂停成员账户的 Macie](#accounts-mgmt-invitations-members-suspend)
+ [删除成员账户](#accounts-mgmt-invitations-members-remove)
+ [删除与其他账户的关联](#accounts-mgmt-invitations-members-disassociate)

## 将 Macie 成员账户添加到基于邀请的组织
<a name="accounts-mgmt-invitations-members-add"></a>

作为基于邀请的组织的 Amazon Macie 管理员，您可以通过执行两个主要步骤将成员账户添加到您的组织：

1. 将账户添加到 Macie 的账户清单中。这会将账户与您的账户关联起来。

1. 向账户发送成员资格邀请。

受邀账户接受邀请后，它将成为您组织中的成员账户。

### 步骤 1：添加账户
<a name="accounts-mgmt-invitations-members-add-associate"></a>

要将一个或多个账户添加到您的账户清单中，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

借助 Amazon Macie 控制台，您可以一次添加一个账户，也可以通过上传逗号分隔值 (CSV) 文件来同时添加多个账户。请按照以下步骤使用控制台添加一个或多个账户。

**添加一个账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要在其中添加账户的区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示当前与您的账户关联的账户表。

1. 选择**添加账户**。

1. 在**输入账户详细信息**部分，选择**添加账户**。然后执行以下操作：
   + 在**账户 ID** 中，输入 AWS 账户 要添加的 12 位数账户 ID。
   + 在 “**电子邮件地址**” 中，输入 AWS 账户 要添加的电子邮件地址。

1. 选择**添加**。

1. 在页面底部，选择**下一步**。

Macie 会将该账户添加到您的账户清单中。该账户的类型为**通过邀请**，其状态为**已创建**。要在其他地区添加账户，请在每个其他地区重复上述步骤。

**要管理多个账户**

1. 使用文本编辑器创建 CSV 文件，如下所示：

   1. 添加以下标头作为文件的第一行：`Account ID,Email`

   1. 为每个账户创建一个新行，其中包含 AWS 账户 要添加的 12 位数账户 ID 和该账户的电子邮件地址。用逗号分隔各个条目，例如：`111111111111,janedoe@example.com`

      电子邮件地址必须和与 AWS 账户关联的电子邮件地址相匹配。

   1. 确认文件内容的格式如下例所示，其中包含三个账户所需的标头和信息：

      ```
      Account ID,Email
      111111111111,janedoe@example.com
      222222222222,jorgesouza@example.com
      333333333333,lijuan@example.com
      ```

   1. 将该文件保存到您的计算机。

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要在其中添加账户的区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示当前与您的账户关联的账户表。

1. 选择**添加账户**。

1. 在**输入账户详细信息**部分，选择**上传列表 (CSV)**。

1. 选择**浏览**，然后选择已在步骤 1 中创建的 CSV 文件。

1. 选择**添加账户**。

1. 在页面底部，选择**下一步**。

Macie 会将这些账户添加到您的账户清单中。其类型为**通过邀请**，状态为**已创建**。要在其他区域添加账户，请在每个其他地区重复步骤 3 到 8。

------
#### [ API ]

要以编程方式添加一个或多个账户，请使用 Amazon Macie API 的[CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。提交请求时，请使用支持的参数为每个 AWS 账户 要添加的 12 位数账户 ID 和电子邮件地址指定。此外，请指定请求适用的区域。要在其他区域中添加账户，请在每个其他区域中提交请求。

要使用 AWS Command Line Interface (AWS CLI) 添加帐户，请运行 [create-](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) member 命令。使用 `region` 参数指定要添加账户的区域。使用`account`参数为每个 AWS 账户 要添加的账户 ID 和电子邮件地址指定账户 ID 和电子邮件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}
```

哪里*us-east-1*是要添加账户的区域（美国东部（弗吉尼亚北部）区域），`account`参数指定要添加账户的账户 ID (*111111111111**janedoe@example.com*) 和电子邮件地址 ()。

如果您的请求成功，Macie 会将每个账户添加到您的账户清单中，其状态为 `Created`，并且您会收到类似于以下内容的输出：

```
{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}
```

其中 `arn` 是为您的账户与您添加的账户之间的关联而创建的资源的 Amazon 资源名称（ARN）。在此示例中，`123456789012` 是创建关联的账户的账户 ID，`111111111111` 是已添加账户的账户 ID。

------

### 步骤 2：向账户发送成员资格邀请
<a name="accounts-mgmt-invitations-members-add-invite"></a>

将账户添加到账户清单后，您可以邀请该账户以 Macie 成员账户的身份加入您的组织。为此，请向该账户发送成员资格邀请。当您发送邀请时，如果收件人的账户已启用 Macie，则该账户的 Amazon Macie 控制台上会显示**账户**徽章和通知。Macie 还会为该账号创建 AWS Health 活动。

根据您是使用 Amazon Macie 控制台还是 API 发送邀请，Macie 还会将邀请发送到您在添加账户时为收件人账户指定的电子邮件地址。该电子邮件表明您希望成为他们账户的 Macie 管理员，其中包括您的 AWS 账户 账户 ID 和收件人的 AWS 账户账户 ID。该消息还说明了如何访问邀请。您可以选择在消息中添加自定义文本。

要向一个或多个账户发送成员资格邀请，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

请按照以下步骤使用 Amazon Macie 控制台发送成员资格邀请。

**发送成员资格邀请**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要发送邀请的区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示当前与您的账户关联的账户表。

1. 在**现有账户**表中，选中要向其发送邀请的每个账户对应的复选框。
**提示**  
为了更轻松地识别您已添加但尚未向其发送邀请的账户，您可以筛选该表。为此，请将光标放在表上方的筛选框中，然后选择**状态**。然后选择**状态 = 已创建**。

1. 在**操作**菜单上，选择**邀请**。

1. （可选）在**消息**框中，输入要包含在含有邀请的电子邮件中的任何自定义文本。该文本可包含多达 80 个字母数字字符。

1. 选择**邀请**。

要以其他方式发送邀请 AWS 区域，请在每个其他区域重复上述步骤。

发送邀请后，您账户清单中的收件人账户状态将更改为**正在进行电子邮件验证**。如果 Macie 可以验证账户的电子邮件地址，则该账户的状态随后会更改为**已邀请**。如果 Macie 无法验证地址，则账户的状态将更改为**电子邮件验证失败**。如果发生这种情况，请与账户所有者合作以获取正确的电子邮件地址。然后[删除账户之间的关联](#accounts-mgmt-invitations-members-disassociate)，再次[添加账户](#accounts-mgmt-invitations-members-add-associate)，并再次发送邀请。

当收件人接受邀请时，收件人的账户状态将在您的账户清单中更改为**已启用**。如果收件人拒绝接受邀请，则该收件人的账户将与您的账户解除关联，并从您的账户清单中移除。

------
#### [ API ]

要以编程方式发送邀请，请使用亚马逊 Macie API 的[CreateInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html)操作。提交请求时，请使用支持的参数为每个要 AWS 账户 向其发送邀请的 12 位数账户 ID 指定。账户 ID 必须与您的账户清单中某个账户的账户 ID 一致。否则将出错。此外，指定要从中发送邀请的区域。要从其他区域发送邀请，请在每个其他区域提交请求。

在请求中，您还可以指定是否以电子邮件形式发送邀请，以及是否在该消息中包含自定义文本。如果您选择发送电子邮件，Macie 会将邀请发送到您在将账户添加到账户清单时为该账户指定的电子邮件地址。要以电子邮件形式发送邀请，请省略 `disableEmailNotification` 参数或将参数值设置为 `false`。（默认值为 `false`。） 要在信息中添加自定义文本，请使用 `message` 参数指定要添加的文本。该文本可包含多达 80 个字母数字字符。

要使用发送邀请 AWS CLI，请运行 [create-](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-invitations.html) invities 命令。使用 `region` 参数指定要从中发送邀请的区域。使用 `account-ids` 参数为要向其发送邀请的每个 AWS 账户 指定账户 ID。例如：

```
C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]
```

发送邀请的地区在*us-east-1*哪里（美国东部（弗吉尼亚北部）区域），`account-ids`参数指定了要向其发送邀请的三个账户的账户。 IDs 要将邀请作为电子邮件发送，还需包含 `no-disable-email-notification` 参数，并可选择包含 `message` 参数，以指定要添加到邮件中的自定义文本。

发送邀请后，每个收件人账户的状态将更改为 `EmailVerificationInProgress`。如果 Macie 可以验证账户的电子邮件地址，则该账户的状态随后会更改为 `Invited`。如果 Macie 无法验证地址，则账户的状态将更改为 `EmailVerificationFailed`。如果发生这种情况，请与账户所有者合作以获取正确的地址。然后[删除账户之间的关联](#accounts-mgmt-invitations-members-disassociate)，再次[添加账户](#accounts-mgmt-invitations-members-add-associate)，并再次发送邀请。

当收件人接受邀请时，收件人的账户状态将在您的账户清单中更改为 `Enabled`。如果收件人拒绝接受邀请，则该收件人的账户将与您的账户解除关联，并从您的账户清单中移除。

------

## 暂停使用基于邀请的组织中的成员账户的 Macie
<a name="accounts-mgmt-invitations-members-suspend"></a>

作为组织的 Amazon Macie 管理员，您可以在特定 AWS 区域 暂停组织中单个成员账户的 Macie。但请注意，暂停成员账户后，您无法为其重新启用 Macie。之后只有该账户的用户才能为该账户重新启用 Macie。

当您暂停成员账户的 Macie 时：
+ Macie 会失去对该区域中账户的 Amazon S3 数据的访问权限，并停止提供有关该账户的 Amazon S3 数据的元数据。
+ Macie 停止在该区域中为账户执行所有活动。这包括监控 S3 存储桶的安全性和访问控制、执行自动敏感数据发现，以及运行当前正在进行的敏感数据发现作业。
+ Macie 会取消该账户在该区域创建的所有敏感数据发现作业。作业取消后无法恢复或重新启动。如果您创建的作业是为了分析成员账户拥有的数据，Macie 不会取消您的作业。相反，这些作业会跳过该账户拥有的资源。

暂停期间，Macie 会保留其在相应区域为该账户存储或维护的 Macie 会话标识符、设置和资源。Macie 还会保留该地区账户的某些数据。例如，该账户的调查发现保持不变，最长可在 90 天内不受影响。如果为该账户启用了自动敏感数据发现，则现有结果也将保持不变，并且在长达 30 天内不会受到影响。在适用区域中使用 Macie 不会向该账户收费，而该区域中的账户会暂停 Macie。

**要暂停基于邀请的组织中成员账户的 Macie**  
要暂停基于邀请的组织中成员账户的 Macie，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台暂停成员账户的 Macie。

**暂停成员账户的 Macie**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要暂停 Macie 的成员账号所在区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示当前与您的账户关联的账户表。

1. 在**现有账户**表中，选中要暂停 Macie 的账户对应的复选框。

1. 在**操作**菜单上，选择**暂停 Macie**。

1. 确认您要暂停所选账户的 Macie。

确认暂停后，账户清单中的账户状态会更改为**已暂停（已挂起）**。

要在其他地区暂停该账户的 Macie，请在每个其他地区重复上述步骤。

------
#### [ API ]

要以编程方式暂停 Macie 的成员账户，请使用亚马逊 Macie API 的[UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)操作。提交请求时，使用`id`参数指定要暂停 Macie AWS 账户 的 12 位数账户 ID。对于`status`参数，请指定`PAUSED`为 Macie 的新状态。此外，请指定请求适用的区域。要在其他区域暂停 Macie，请在每个其他区域提交您的请求。

要检索成员账户的账户 ID，您可以使用亚马逊 Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。如果执行此操作，请考虑通过在请求中包含 `onlyAssociated` 参数来筛选结果。如果将此参数的值设置为 `true`，则 Macie 将返回一个 `members` 数组，该数组仅提供有关当前是管理员账户的成员账户的账户的详细信息。

要使用暂停 Macie 的成员账号 AWS CLI，请运行[update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)命令。使用`region`参数指定要暂停 Macie 的区域。使用`id`参数为要暂停 Macie 的账户指定账户 ID。对于 `status` 参数，请指定 `PAUSED`。例如：

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

暂停 Macie 的区域（美国东部（弗吉尼亚北部）区域）在哪里*us-east-1*，*123456789012*是要暂停 Macie 的账户的账户 ID，`PAUSED`也是该账户的 Macie 新状态。

如果请求成功，Macie 将返回空响应，并且指定账户的状态将在账户清单中更改为 `Paused`。

------

## 从基于邀请的组织中删除 Macie 成员账户
<a name="accounts-mgmt-invitations-members-remove"></a>

作为 Amazon Macie 管理员，您可以从您的组织中删除成员账户。为此，请取消该账户与 Macie 管理员账户的关联。

如果您移除成员账户，Macie 将继续为该账户启用，并且该账户会继续显示在您的账户清单中。但是，该账户将成为独立的 Macie 账户。当您移除账户时，Macie 不会通知账户的所有者。因此，请考虑与账户所有者联系，以确保他们开始管理其账户的设置和资源。

删除成员账户后，您将无法访问该账户的所有 Macie 设置、资源和数据。这包括账户拥有的 S3 存储桶的策略调查发现和元数据。此外，您无法再使用 Macie 发现账户拥有的 S3 存储桶中的敏感数据。如果您已创建敏感数据发现作业来执行此操作，则这些作业将跳过账户拥有的存储桶。如果您为账户启用了自动敏感数据发现，您和账户都将无法访问统计数据、库存数据以及 Macie 在为账户执行自动发现功能时生成和直接提供的其他信息。

删除成员账户后，您可以随后通过向该账户发送新邀请，将其再次添加到您的组织中。如果该账户接受了新的邀请，并且您在 30 天内为其启用了自动敏感数据发现功能，那么您还可以重新获取 Macie 之前在对该账户执行自动发现时生成和直接提供的数据和信息的访问权限。此外，您现有任务的后续运行将再次开始包括账户的 S3 存储桶。

如果您删除成员账户且不打算再次添加，您可以将其从您的账户清单中彻底删除。要了解如何操作，请参阅[删除与其他账户的关联](#accounts-mgmt-invitations-members-disassociate)。

**要从基于邀请的组织中删除成员账户**  
要从组织中删除帐员账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台删除成员账户。

**要删除成员账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要移除成员账户的区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示当前与您的账户关联的账户表。

1. 在**现有账户**表中，选中要删除的账户对应的复选框。

1. 在**操作**菜单上，选择**取消关联账户**。

1. 确认您要作为成员账户移除的选定账户。

确认选择后，账户清单中的账户状态会更改为**已移除（已解除关联）**。

要删除其他区域的成员账户，请在每个其他地区重复上述步骤。

------
#### [ API ]

要以编程方式删除成员账户，请使用亚马逊 Macie API 的[DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)操作。提交请求时，使用`id`参数为要删除的成员账户指定 12 位数的 AWS 账户 ID。此外，请指定请求适用的区域。要移除其他区域的账户，请在每个其他区域提交您的申请。

要检索要删除的账户的账户 ID，您可以使用亚马逊 Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。如果执行此操作，请考虑通过在请求中包含 `onlyAssociated` 参数来筛选结果。如果将此参数的值设置为 `true`，则 Macie 将返回一个 `members` 数组，该数组仅提供有关当前是您账户的成员账户的账户的详细信息。

要使用删除成员帐户，请运行 d [isassociat](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) e-member 命令。 AWS CLI使用 `region` 参数指定要移除账户的区域。使用 `id` 参数指定要删除的账户的账户 ID。例如：

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

哪里*us-east-1*是要删除账户的区域（美国东部（弗吉尼亚北部）区域），*123456789012*也是要删除账户的账户 ID。

如果请求成功，Macie 将返回空响应，并且指定账户的状态将在账户清单中更改为 `Removed`。

------

## 删除与其他账户的关联
<a name="accounts-mgmt-invitations-members-disassociate"></a>

在 Amazon Macie 中，将账户添加到账户清单后，您可以删除您的账户与其他账户之间的关联。您可以对库存中的任何账户执行此操作，但以下情况除外：
+ 属于 AWS Organizations中您的组织的账户。这种类型的关联 AWS Organizations 不是通过 Macie 控制的。
+ 接受 Macie 成员资格邀请以加入您的组织的成员账户。如果是这种情况，您必须先[删除成员账户](#accounts-mgmt-invitations-members-remove)，然后才能删除关联。

当您删除关联时，Macie 会从您的账户清单中移除该账户。如果随后要恢复关联，则必须再次添加该账户，就好像它是一个全新的账户一样。

**要删除与其他账户的关联**  
要删除您的账户与其他账户之间的关联，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

要使用 Amazon Macie 控制台删除与其他账户的关联，请执行以下步骤。

**要删除关联**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要删除关联的区域。

1. 在导航窗格中，选择**账户**。**账户**页面打开并显示当前与您的账户关联的账户表。

1. 在**现有账户**表中，选中要删除其关联的账户对应的复选框。

1. 在**操作** 菜单上，选择**删除**。

1. 确认要删除所选关联。

要删除其他区域中的关联，请在每个其他区域中重复上述步骤。

------
#### [ API ]

要以编程方式删除与其他账户的关联，请使用 Amazon Macie API 的[DeleteMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-id.html)操作。提交请求时，使用`id`参数指定 AWS 账户 要删除关联的 12 位数账户 ID。此外，请指定请求适用的区域。要删除其他区域中的关联，请在每个其他区域中提交您的请求。

要检索账户的账户 ID，您可以使用亚马逊 Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。如果执行此操作，请在请求中包含 `onlyAssociated` 参数，并将参数的值设置为 `false`。如果操作成功，Macie 将返回一个 `members` 数组，该数组提供有关与您的账户关联的所有账户的详细信息，包括当前不是成员账户的账户。

要使用删除与其他账户的关联 AWS CLI，请运行 [delete-](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-member.html) member 命令。使用`region`参数指定要删除关联的区域。使用`id`参数指定账户的账户 ID。例如：

```
C:\> aws macie2 delete-member --region us-east-1 --id 123456789012
```

哪里*us-east-1*是要删除与其他账户关联的区域（美国东部（弗吉尼亚北部）区域），*123456789012*也是该账户的账户 ID。

如果请求成功，Macie 将返回空响应，并删除您的账户与其他账户之间的关联。之前关联的账户将从您的账户清单中移除。

------

# 查看基于邀请的组织的 Macie 账户
<a name="accounts-mgmt-invitations-review"></a>

**注意**  
我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息，请参阅 [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

如果您是基于邀请的组织的 Amazon Macie 管理员，Macie 会向您提供一份清单，列出您在使用 Macie 的每个 AWS 区域 中与 Macie 账户相关联的账户。您可以使用该清单查看组织的账户统计数据和详细信息。您还可以用它来[执行成员账户的某些管理任务](accounts-mgmt-invitations-administer.md)，并管理您的账户与其他账户之间的关系状态。

**要查看基于邀请的组织的账户**  
要查看组织中的账户，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台查看组织的账户。

**要查看组织的账户**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择您要查看组织账户的区域。

1. 在导航窗格中，选择**账户**。

**账户**页面将打开并显示汇总统计数据以及与当前 AWS 区域中的 Macie 账户关联的账户表。

在**账户**页面的顶部，您可以找到以下汇总统计数据。

**通过 AWS Organizations**  
如果您是中某个组织的 Macie 管理员 AWS Organizations，A **ctiv** e 会报告组织中通过您的账户关联 AWS Organizations 且当前是 Macie 成员账户的账户总数。已为这些账户启用 Macie，并且您是这些账户的 Macie 管理员。  
**所有**报告通过 AWS Organizations与您的账户关联的账户总数。这包括当前不是 Macie 成员账户的账户。其中还包括 Macie 目前被暂停的成员账户。

**通过邀请**  
**活动**报告基于邀请的组织中当前属于 Macie 成员账户的账户总数。已为这些账户启用 Macie，并且您是这些账户的 Macie 管理员，因为他们接受了您的成员资格邀请。  
**所有**报告通过 Macie 邀请与您的账户关联的账户总数，包括尚未回复您的邀请的账户。

**活动/全部**  
**活跃账户**报告 Macie 当前在您的组织中启用的账户总数，包括您自己的账户。您通过 AWS Organizations 或 Macie 邀请成为这些账户的 Macie 管理员。  
**全部**报告通过 AWS Organizations 或通过邀请与您的账户关联的账户总数，以及您自己的账户。这包括未回复您发出的 Macie 成员邀请的账户。它还包括通过 AWS Organizations 与您的帐户关联但目前不是 Macie 成员帐户的账户。

在表中，您将找到有关当前区域中每个账户的详细信息。该表包括通过 Macie 邀请或 AWS Organizations与您的 Macie 账户关联的所有账户。

**账户 ID**  
 AWS 账户的账户 ID 和电子邮件地址。

**名称**  
 AWS 账户的账户名称。对于您自己的账户以及通过邀请与您的账户关联的账户，该值通常**不适用**。

**Type**  
该账户如何通过邀请或通过 AWS Organizations与您的账户关联。对于您自己的账户，该值为**当前账户**。

**状态**  
您的账户与该账户之间的关系状态。对于基于邀请的组织（**类型**为**通过邀请**）中的账户，可能的值为：  
+ **账户已挂起** – AWS 账户 已挂起。
+ **已创建（邀请）**‬：您已添加账户，但尚未向其发送成员资格邀请。
+ **电子邮件验证失败**‬：您尝试向该账户发送成员资格邀请，但指定的电子邮件地址对该账户无效。
+ **电子邮件验证正在进行中**‬：您向该账户发送了成员资格邀请，Macie 正在处理该请求。
+ **已启用**‬：该账户是成员账户。已为该账户启用 Macie，并且您是该账户的 Macie 管理员。
+ **已邀请**‬：您向该账户发送了成员资格邀请，但该账户尚未响应您的邀请。
+ **成员已退出**‬：该账户以前是成员账户。但是，该账户通过取消与您的账户的关联而从您的组织辞职。
+ **已暂停（暂停）**‬：该账户是成员账户，但 Macie 目前已暂停该账户。
+ **区域已禁用**‬：当前区域 AWS 账户已禁用。
+ **已删除（取消关联）**‬：该账户以前是成员账户。但是，您通过取消将其与您的账户关联来将其作为成员账户删除。

**上次状态更新**  
当您或关联的账户最近执行了影响您账户之间关系的操作时。

**自动敏感数据发现**  
当前已为该账户启用还是禁用了自动敏感数据发现。

要按特定字段对表格进行排序，请选择该字段的列标题。若要更改排序顺序，请再次选择列标题。若要筛选表，请将光标放在筛选条件框中，然后为字段添加筛选条件。若要进一步优化结果，请为其他字段添加筛选条件。

------
#### [ API ]

要以编程方式查看贵组织的账户，请使用 Amazon Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作并指定您的请求适用的区域。要查看其他区域的详细信息，请在每个其他区域中提交您的请求。

提交请求时，请使用 `onlyAssociated` 参数指定要包含在响应中的账户。默认情况下，Macie 仅通过邀请或通过 AWS Organizations邀请返回指定地区的成员账户的详细信息。要检索所有关联账户（包括非成员账户）的详细信息，请在请求中包含 `onlyAssociated` 参数，并将该参数的值设置为 `false`。

要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 查看组织的账户，请运行 [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) 命令。对于 `only-associated` 参数，指定是包括所有关联账户还是仅包含成员账户。要仅包含成员账户，请省略此参数或将参数的值设置为 `true`。要包括所有账户，请将此值设置为 `false`。例如：

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

请求适用的地区在*us-east-1*哪里，即美国东部（弗吉尼亚北部）区域。

如果请求成功，Macie 将返回一个 `members` 数组。该数组包含满足请求中指定标准的每个账户的 `member` 对象。在该对象中，`relationshipStatus` 字段指示您的账户与指定区域中的其他账户之间的关联当前状态。对于基于邀请的组织中的账户，可能的值为：
+ `AccountSuspended`— AWS 账户 已暂停。
+ `Created`‬：您添加了账户，但尚未向其发送成员资格邀请。
+ `EmailVerificationFailed`：您尝试向该账户发送成员资格邀请，但指定的电子邮件地址对该账户无效。
+ `EmailVerificationInProgress`‬：您向该账户发送了成员资格邀请，Macie 正在处理该请求。
+ `Enabled`‬：该账户是成员账户。已为该账户启用 Macie，并且您是该账户的 Macie 管理员。
+ `Invited`‬：您向该账户发送了成员资格邀请，但该账户尚未响应您的邀请。
+ `Paused`‬：该账户是成员账户，但 Macie 当前已停用（暂停）该账户。
+ `RegionDisabled`‬：当前区域 AWS 账户已禁用。
+ `Removed`‬ – 该账户以前是成员账户。但是，您通过取消将其与您的账户关联来将其作为成员账户删除。
+ `Resigned`‬ – 该账户以前是成员账户。但是，该账户通过取消与您的账户的关联而从您的组织辞职。

有关 `member` 对象中其他字段的信息，请参阅 *Amazon Macie API 参考*中的[成员](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)。

------

# 更改基于邀请的组织的 Macie 管理员账户
<a name="accounts-mgmt-invitations-admin-change"></a>

**注意**  
我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息，请参阅 [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

在创建和建立基于邀请的组织后，您可以更改该组织的 Amazon Macie 管理员账户。为此，管理员和组织成员应执行以下步骤：

1. 当前的 Macie 管理员可选择导出组织的成员账户的当前清单。这可以帮助您确定应继续成为组织一部分的成员账户，从而简化过渡工作。

1. 当前 Macie 管理员从当前组织中[删除所有成员账户](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-remove)。这将使账户与当前管理员账户解除关联。账户将继续启用 Macie，但该账户将变为独立的 Macie 账户。
**重要**  
当前 Macie 管理员删除成员账户时，Macie 会自动禁用账户的自动敏感数据发现。这也导致无法访问统计数据、库存数据以及 Macie 在对账户进行自动发现时生成和直接提供的其他信息。完成向新组织的过渡后，新的 Macie 管理员就无法访问这些数据了。

1. 新的 Macie 管理员将[以前的成员账户添加到](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-add)新组织。这会将账户与新的管理员账户相关联。

1. 每个成员账户都接受加入新组织的邀请。该账户接受邀请后，就会成为新组织的成员账户。然后，新的 Macie 管理员就可以访问该账户的 Macie 设置、数据和资源。如果之前为该账户启用了自动敏感数据发现，则不包括 Macie 之前在对该账户执行自动发现功能时生成和直接提供的数据。相反，如果新的 Macie 管理员启用了账户自动发现功能，Macie 就会生成和维护该账户的新数据。

如果您的组织在多个区域中使用 Macie AWS 区域，请在每个区域中执行上述步骤。

要导出成员账户的当前清单，当前 Macie 管理员可以使用 Amazon Macie 控制台或 Amazon Macie API。使用控制台，当前管理员可以将数据导出到逗号分隔值 (CSV) 文件。然后，新管理员可以使用控制台上传 CSV 文件，并将所有账户（批量）添加到新组织。

**使用控制台导出成员账户数据**

1.  AWS 管理控制台 使用当前 Macie 管理员帐户登录。

1. 使用页面右上角的选择 AWS 区域 器，选择要导出数据的区域。

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择**账户**。**账户**页面将打开并显示与当前 Macie 管理员账户相关联的账户表。

1. （可选）要筛选账户表并仅显示组织中当前的成员账户的账户，请使用账户表上方的筛选条件框添加以下筛选条件：
   + **类型** = **邀请**
   + **状态** = **已启用**
   + **状态** = **已暂停**

1. 在表格中，选中要包含在导出数据中的每个成员帐户的复选框。

1. 选择**导出 CSV**。

1. 指定文件的名称和位置。

借助 Amazon Macie API，当前的 Macie 管理员可以检索 JSON 格式的数据。然后，新的 Macie 管理员可以使用该数据生成账户 IDs 和电子邮件地址列表，供账户添加和邀请加入新组织。要以 JSON 格式检索数据，请使用亚马逊 Macie API 的[ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)操作。如果操作成功，Macie 将返回一个 `members` 数组，该数组提供有关与管理员账户关联的所有账户的详细信息。如果账户当前是成员账户，则该账户的 `relationshipStatus` 属性值为 `Enabled` 或 `Paused`，该 `invitedAt` 属性指定了日期和时间。

# 在 Macie 管理组织中的成员资格
<a name="accounts-mgmt-invitations-membership-manage"></a>

**注意**  
我们建议使用邀请函 AWS Organizations 代替 Macie 来集中管理多个账户的 Macie。有关更多信息，请参阅 [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

如果您被邀请加入 Amazon Macie 中的组织，则可以选择接受或拒绝邀请。在 Macie 中，组织是作为一组相关账户进行集中管理的一组账户。一个组织由一个指定的 Macie 管理员账户和一个或多个关联的成员账户组成。

如果您接受邀请，您的账户将成为组织中的成员账户。当您接受邀请后，发送邀请的账户将成为您账户的 Macie 管理员账户，您将自己的账户与其他账户关联，并在账户之间启用管理员-成员关系。然后，Macie 管理员账户就可以访问适用的 AWS 区域中您账户的某些 Macie 设置、数据和资源。有关管理员账户可以执行的任务的详细信息，请参阅 [Macie 管理员和成员账户的关系](accounts-mgmt-relationships.md)。

如果您拒绝邀请，则您的 Macie 账户的当前状态和设置不会更改。

**Topics**
+ [回应成员资格邀请](#accounts-mgmt-invitations-respond)
+ [从管理员账户取消关联](#accounts-mgmt-invitations-disassociate-admin)

## 回应组织的成员资格邀请
<a name="accounts-mgmt-invitations-respond"></a>

当您收到加入某个组织的邀请时，Amazon Macie 会通过多种方式通知您。默认情况下，Macie 会以电子邮件的形式向您发送邀请。Macie还会为您创建 AWS Health 活动. AWS 账户如果您已经在发送邀请时使用了 Macie，Macie 还会在 Macie 主机上显示**账户**徽章和通知。 AWS 区域 

收到邀请后，您可以选择接受或拒绝邀请。在回应之前，请注意以下事项：
+ 您一次只能是一个组织的成员。如果您收到多个邀请，则只能接受一个邀请。或者，如果您已经是某个组织的成员，则必须先取消账户与其当前 Macie 管理员账户的关联，然后才能加入其他组织。
+ 如果您在多个地区使用 Macie，则您的账户在所有这些地区都必须拥有相同的 Macie 管理员账户。Macie 管理员必须从每个区域分开向您发送邀请，并且您必须在每个区域分别接受邀请。
+ 要接受或拒绝邀请，您必须在发出邀请的地区启用 Macie。拒绝邀请是可选的。如果您允许 Macie 拒绝邀请，则可以在拒绝邀请后在该地区[禁用 Macie](disable-macie.md)。这有助于确保您不会因为在该地区使用 Macie 而产生不必要的费用。
+ 如果您的账户启用了自动敏感数据发现，且您接受了邀请，则您将无法访问统计数据、库存数据以及 Macie 在对您的账户进行自动发现时生成并直接提供的其他信息。接受邀请后，您的 Macie 管理员可以为您的账户启用自动发现功能。不过，这无法恢复对现有数据的访问。相反，Macie 在对您的账户执行自动发现时生成和维护新数据。

有关其他注意事项，请参阅 [回复和管理成员邀请](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-invitations-manage)。

**若要回应组织的成员资格邀请**  
要回应成员资格邀请，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

请按照以下步骤使用 Amazon Macie 控制台回应成员资格邀请。

**若要回应成员资格邀请**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择您收到邀请的区域。

1. 如果您尚未在该区域启用 Macie，请选择**开始**，然后选择**启用 Macie**。在接受或拒绝邀请之前，必须启用 Macie。

1. 在导航窗格中，选择**账户**。

1. 在**管理员账户**下，执行以下操作之一：
   + 要接受邀请，请打开邀请旁边的**接受** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/tgl-gray-off.png))。然后选择**接受邀请**或**更新**，具体取决于您之前是否接受了其他邀请。
   + 要拒绝邀请，请选择邀请旁边的**拒绝邀请**，然后确认您要拒绝邀请。

如果您已收到并想在其他地区回复邀请，请在每个其他地区重复上述步骤。

------
#### [ API ]

要以编程方式回复邀请，请使用 Amazon Macie API 的[AcceptInvitation](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-accept.html)或[DeclineInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-decline.html)操作，具体取决于您要接受还是拒绝邀请。提交请求时，请务必指定发出邀请的区域。要回应其他区域的邀请，请在每个其他区域提交您的请求。

在`AcceptInvitation`请求中，使用`administratorAccountId`参数为发送邀请的人指定 12 位数 AWS 账户 的账户 ID。使用 `invitationId` 参数为要接受的邀请指定唯一的 ID。

在`DeclineInvitations`请求中，使用`accountIds`参数为发送拒绝邀请的用户指定 12 位数的账户 ID。 AWS 账户 

要检索 IDs，您可以使用亚马逊 Macie API 的[ListInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html)操作。如果操作成功，Macie 将返回一个 `invitations` 数组，其中提供有关您收到的邀请的详细信息，包括发送每个邀请的账户的 ID 和每个邀请的唯一 ID。如果邀请 `relationshipStatus` 属性的值为 `Invited`，则表示您尚未回复邀请。

要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 回应邀请，请运行[接受邀请](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/accept-invitation.html)或[拒绝邀请](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/decline-invitations.html)命令，具体取决于您要接受还是拒绝邀请。使用 `region` 参数指定发送邀请的区域。例如：

```
C:\> aws macie2 accept-invitation --region us-east-1 --administrator-account-id 123456789012 --invitation-id d8bdad0e203fd1242e0a4721bexample
```

哪里*us-east-1*是发送邀请的区域（美国东部（弗吉尼亚北部）区域），*123456789012*是发送邀请的账户的账户 ID，*d8bdad0e203fd1242e0a4721bexample*也是接受邀请的唯一 ID。

如果接受邀请的请求成功，Macie 会返回一个空的响应。如果拒绝邀请的请求成功，Macie 会返回一个空的 `unprocessedAccounts` 数组。

在您拒绝邀请后，该邀请将作为您的 Macie 账户的资源保留。您可以选择使用[DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html)操作将其删除，也可以使用删除[邀请 AWS CLI命令将其删除](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html)。

------

## 从 Macie 管理员账户取消关联
<a name="accounts-mgmt-invitations-disassociate-admin"></a>

如果您接受加入某组织 Amazon Macie 的邀请，则可以通过取消您的账户与其当前 Macie 管理员账户的关联来退出该组织。请注意，如果您的账户是 AWS Organizations 组织中的成员账户，则您无法执行此操作。要从 AWS Organizations 组织中辞职，请与您的 Macie 管理员合作，将您的帐户移除为 Macie 成员帐户。

如果您取消账户与其 Macie 管理员账户的关联，Macie 管理员将失去对您 Macie 账户的所有设置、数据和资源的访问权限。这包括您拥有的 Amazon S3 数据的元数据和策略调查发现。这也意味着管理员无法再通过执行自动敏感数据发现或运行敏感数据发现作业来分析您的 Amazon S3 数据。

当您取消关联账户后，Macie 将继续在相应区域为您的账户启用。但是，在区域中，您的账户将成为独立的 Macie 账户。在管理员的账户清单中，您的账户状态将更改为**成员已退出**。

**要解除与 Macie 管理员账户的关联**  
要取消您的账户与其当前 Macie 管理员账户的关联，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

使用 Amazon Macie 控制台，按照以下步骤取消您的账户与其 Macie 管理员账户的关联。

**要从管理员账户取消关联**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要取消账户与其管理员账户关联的区域。

1. 在导航窗格中，选择**账户**。

1. 在**管理员账户**下，关闭邀请旁边的**接受** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/tgl-blue-on.png))，然后选择**更新**。

该账户继续显示在**账户**页面上。如果您决定重新加入该组织，则可以使用此页面再次接受原始邀请。或者，您可以拒绝并删除邀请，这也会删除您的账户与其他账户之间的关联。为此，请选择**拒绝邀请**。

如果您想在其他区域取消账户与其 Macie 管理员账户的关联，请在每个其他区域重复上述步骤。

------
#### [ API ]

要以编程方式取消您的账户与其 Macie 管理员账户的关联，请使用亚马逊 Macie API 的[DisassociateFromAdministratorAccount](https://docs.aws.amazon.com/macie/latest/APIReference/administrator-disassociate.html)操作。提交请求时，请务必指定该请求适用的区域。要解除与其他区域的账户关联，请在每个其他区域提交您的请求。

要使用解除您的账户与其 Macie 管理员帐户的关联 AWS CLI，请运行命令。[disassociate-from-administrator-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-from-administrator-account.html)使用 `region` 参数指定要在其中解除账户关联的区域。

如果请求成功，Macie 将返回空响应。

取消与该账户的关联后，除非您将其删除，否则原始邀请将作为您的 Macie 账户的资源保留。如果您决定重新加入该组织，则可以使用此资源再次接受原始邀请。或者，您可以使用[DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html)操作删除邀请，或者使用删除邀请命令 AWS CLI来[删除邀请](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html)。如果您删除了邀请，您也删除了您的账户和另一个账户之间的关联。

------