本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 變更組織的 Macie 管理員帳戶 在 Amazon Macie 中[整合和設定](accounts-mgmt-ao-integrate.md) AWS Organizations 組織之後, AWS Organizations 管理帳戶可以將不同的帳戶指定為組織的委派 Macie 管理員帳戶。然後,新的 Macie 管理員可以再次在 Macie 中設定組織。 身為組織的 AWS Organizations 管理帳戶使用者,請先確認您符合下列許可要求,再為組織指定不同的 Macie 管理員帳戶: + 您必須擁有最初為組織指定 Macie 管理員帳戶所需的[相同許可](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions)。您也必須被允許執行下列 AWS Organizations 動作:`organizations:DeregisterDelegatedAdministrator`。此額外動作可讓您移除目前的指定項目。 + 如果您的帳戶目前是 Macie 成員帳戶,目前的 Macie 管理員必須將您的帳戶移除為 Macie 成員帳戶。否則,您將無法存取 Macie 操作來指定不同的管理員帳戶。指定新的管理員帳戶後,新的 Macie 管理員可以再次將您的帳戶新增為 Macie 成員帳戶。 如果您的組織在多個 中使用 Macie AWS 區域,也請確定您在組織使用 Macie 的每個區域中變更指定。委派的 Macie 管理員帳戶在所有這些區域中都必須相同。如果您在 中管理多個組織 AWS Organizations,也請注意,帳戶一次只能是一個組織的委派 Macie 管理員帳戶。若要了解其他需求,請參閱 [搭配 使用 Macie 的考量事項 AWS Organizations](accounts-mgmt-ao-notes.md)。 **注意** 當您為組織指定不同的 Macie 管理員帳戶時,也會停用存取現有的統計資料、庫存資料,以及 Macie 在為組織中的帳戶執行[自動敏感資料探索](discovery-asdd.md)時產生和直接提供的其他資訊。新的 Macie 管理員無法存取現有的資料。如果您變更指定,且新的 Macie 管理員啟用帳戶的自動探索,則 Macie 會在為帳戶執行自動探索時產生和維護新資料。 **變更 Macie 管理員帳戶的指定** 若要為您的組織指定不同的 Macie 管理員帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie 和 AWS Organizations APIs的組合。只有 AWS Organizations 管理帳戶的使用者可以變更其組織的指定。 ------ #### [ Console ] 請依照下列步驟,使用 Amazon Macie 主控台變更指定項目。 **變更指定項目** 1. AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。 1. 透過使用頁面右上角的選擇 AWS 區域 器,選擇您要變更指定的區域。 1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。 1. 根據目前區域中的管理帳戶是否啟用 Macie,執行下列其中一項操作: + 如果 Macie 未啟用,請在歡迎頁面上選擇**開始使用**。 + 如果啟用 Macie,請在導覽窗格中選擇**設定**。 1. 在**委派管理員**下,選擇**移除**。若要變更指定,您必須先移除目前的指定。 1. 確認您想要移除目前的指定。 1. 在**委派管理員**下,輸入 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。 1. 選擇**委派**。 在您整合 Macie 的每個額外區域中重複上述步驟 AWS Organizations。 ------ #### [ API ] 若要以程式設計方式變更指定,您可以使用 Amazon Macie API 的兩個操作和 AWS Organizations API 的一個操作。這是因為在提交新的指定 AWS Organizations 之前,您必須移除 Macie 和 中的目前指定。 若要移除目前的指定項目: 1. 使用 Macie API 的 [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作。針對必要的`adminAccountId`參數,指定目前指定為組織 Macie 管理員帳戶的 AWS 帳戶 12 位數帳戶 ID。 1. 使用 API 的 AWS Organizations [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。針對 `AccountId` 參數,指定目前指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。此值應與您在上述 Macie 請求中指定的帳戶 ID 相符。針對 `ServicePrincipal` 參數,指定 Macie 服務主體 (`macie.amazonaws.com`)。 移除目前的指定之後,請使用 Macie API 的 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作來提交新的指定。針對必要的`adminAccountId`參數,指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。 若要使用 AWS Command Line Interface (AWS CLI) 變更指定,請執行 Macie API 的 [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html) 命令和 AWS Organizations API 的 [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html) 命令。這些命令會 AWS Organizations分別移除 Macie 和 中的目前指定項目。針對 `admin-account-id`和 `account-id` 參數,指定 AWS 帳戶 要移除的 12 位數帳戶 ID,做為目前的 Macie 管理員帳戶。使用 `region` 參數來指定要套用移除的區域。例如: ``` C:\> aws macie2 disable-organization-admin-account --region {{us-east-1}} --admin-account-id {{111122223333}} && aws organizations deregister-delegated-administrator --region {{us-east-1}} --account-id {{111122223333}} --service-principal macie.amazonaws.com ``` 其中: + {{us-east-1}} 是套用移除的區域,美國東部 (維吉尼亞北部) 區域。 + {{111122223333}} 是做為 Macie 管理員帳戶移除的帳戶 ID。 + `macie.amazonaws.com` 是 Macie 服務主體。 移除目前的指定之後,請執行 Macie API 的 [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) 命令來提交新的指定。針對 `admin-account-id` 參數,指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。使用 `region` 參數來指定套用指定的區域。例如: ``` C:\> aws macie2 enable-organization-admin-account --region {{us-east-1}} --admin-account-id {{444455556666}} ``` 其中 {{us-east-1}} 是指定適用的區域 (美國東部 (維吉尼亞北部) 區域),而 {{444455556666}} 是要指定為新 Macie 管理員帳戶的帳戶 ID。 ------