本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Macie 中整合和設定組織
<a name="accounts-mgmt-ao-integrate"></a>

若要開始使用 Amazon Macie 搭配 AWS Organizations，組織的 AWS Organizations 管理帳戶會將帳戶指定為組織的委派 Macie 管理員帳戶。這可讓 Macie 成為 中的受信任服務 AWS Organizations。它還為指定的管理員帳戶在目前的 AWS 區域 中啟用 Macie，並允許指定的管理員帳戶為該區域中組織中的其他帳戶啟用和管理 Macie。如需如何授予這些許可的資訊，請參閱*AWS Organizations 《 使用者指南*》中的[使用 AWS Organizations 搭配其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 。

委派的 Macie 管理員接著會在 Macie 中設定組織，主要是透過將組織的帳戶新增為區域中的 Macie 成員帳戶。然後，管理員可以存取該區域中這些帳戶的特定 Macie 設定、資料和資源。他們也可以執行自動敏感資料探索和執行敏感資料探索任務，以偵測帳戶擁有的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的敏感資料。

本主題說明如何指定組織的委派 Macie 管理員，以及如何將組織的帳戶新增為 Macie 成員帳戶。執行這些任務之前，請確定您了解 [Macie 管理員和成員帳戶之間的關係](accounts-mgmt-relationships.md)。也建議您檢閱搭配使用 Macie 的[考量事項和建議](accounts-mgmt-ao-notes.md) AWS Organizations。

**Topics**
+ [步驟 1：驗證您的許可](#accounts-mgmt-ao-admin-designate-permissions)
+ [步驟 2：指定委派的 Macie 管理員帳戶](#accounts-mgmt-ao-admin-designate)
+ [步驟 3：自動啟用和新增組織帳戶](#accounts-mgmt-ao-members-autoenable)
+ [步驟 4：啟用和新增現有的組織帳戶](#accounts-mgmt-ao-members-add-existing)

若要在多個區域中整合和設定組織， AWS Organizations 管理帳戶和委派 Macie 管理員會在每個額外的區域中重複這些步驟。

## 步驟 1：驗證您的許可
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

在您為組織指定委派的 Macie 管理員帳戶之前，請確認您 （做為 AWS Organizations 管理帳戶的使用者） 可執行下列 Macie 動作：`macie2:EnableOrganizationAdminAccount`。此動作可讓您使用 Macie 為組織指定委派的 Macie 管理員帳戶。

同時確認您可執行下列 AWS Organizations 動作：
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

這些動作可讓您：擷取組織的相關資訊；將 Macie 與 整合 AWS Organizations；擷取 AWS 服務 已與之整合的資訊 AWS Organizations；以及為您的組織指定委派 Macie 管理員帳戶。

若要授予這些許可，請在您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式：

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

如果您想要將 AWS Organizations 管理帳戶指定為組織的委派 Macie 管理員帳戶，則您的帳戶也需要執行下列 IAM 動作的許可：`CreateServiceLinkedRole`。此動作可讓您為管理帳戶啟用 Macie。不過，根據 AWS 安全最佳實務和最低權限原則，我們不建議您這麼做。

如果您決定授予此許可，請將下列陳述式新增至 AWS Organizations 管理帳戶的 IAM 政策：

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

在 陳述式中，將 *111122223333* 取代為管理帳戶的帳戶 ID。

如果您想要在加入 AWS 區域 （預設為停用的區域） 中管理 Macie，也請在 `Resource`元素和 `iam:AWSServiceName`條件中更新 Macie 服務主體的值。值必須指定區域的區域代碼。例如，若要管理中東 （巴林） 區域中具有區域碼 *me-south-1* 的 Macie，請執行下列動作：
+ 在 `Resource`元素中，取代

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  取代為

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  其中 *111122223333* 指定管理帳戶的帳戶 ID，而 *me-south-1* 指定區域的區域代碼。
+ 在 `iam:AWSServiceName`條件中，將 取代`macie.amazonaws.com`為 `macie.me-south-1.amazonaws.com`，其中 *me-south-1* 指定區域的區域代碼。

如需目前可使用 Macie 的區域清單和每個區域代碼，請參閱 中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。若要判斷區域是否為選擇加入區域，請參閱*AWS 帳戶管理 《 使用者指南*》[AWS 區域 中的在您的帳戶中啟用或停用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) 。

## 步驟 2：指定組織的委派 Macie 管理員帳戶
<a name="accounts-mgmt-ao-admin-designate"></a>

驗證許可後，您 （以 AWS Organizations 管理帳戶的使用者身分） 可以為組織指定委派的 Macie 管理員帳戶。

**指定組織的委派 Macie 管理員帳戶**  
若要為您的組織指定委派 Macie 管理員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有 AWS Organizations 管理帳戶的使用者才能執行此任務。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台指定委派的 Macie 管理員帳戶。

**指定委派的 Macie 管理員帳戶**

1.  AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要為組織指定委派 Macie 管理員帳戶的區域。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 根據目前區域中的管理帳戶是否啟用 Macie，執行下列其中一項操作：
   + 如果 Macie 未啟用，請在歡迎頁面上選擇**開始使用**。
   + 如果啟用 Macie，請在導覽窗格中選擇**設定**。

1. 在**委派管理員**下，輸入您要指定為 Macie 管理員帳戶的 的 AWS 帳戶 12 位數帳戶 ID。

1. 選擇**委派**。

在您要將組織與 Macie 整合的每個額外區域中重複上述步驟。您必須在每個區域中指定相同的 Macie 管理員帳戶。

------
#### [ API ]

若要以程式設計方式指定委派的 Macie 管理員帳戶，請使用 Amazon Macie API 的 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作。若要在多個區域中指定帳戶，請提交您要將組織與 Macie 整合之每個區域的指定。您必須在每個區域中指定相同的 Macie 管理員帳戶。

當您提交指定時，請使用必要的 `adminAccountId` 參數來指定 AWS 帳戶 要指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。同時，請確定您指定了套用指定的區域。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 指定 Macie 管理員帳戶，請執行 [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) 命令。針對 `admin-account-id` 參數，指定 AWS 帳戶 要指定之 的 12 位數帳戶 ID。使用 `region` 參數來指定套用指定的區域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

其中 *us-east-1* 是指定適用的區域 （美國東部 （維吉尼亞北部） 區域），而 *111122223333* 是帳戶要指定的帳戶 ID。

------

在您為組織指定 Macie 管理員帳戶之後，Macie 管理員就可以開始在 Macie 中設定組織。

## 步驟 3：自動啟用和新增組織帳戶做為 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-autoenable"></a>

根據預設，當帳戶新增至您的組織時，不會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶不會自動新增為 Macie 成員帳戶。帳戶會出現在 Macie 管理員的帳戶庫存中。不過，Macie 不一定會為帳戶啟用，而且 Macie 管理員不一定會存取帳戶的 Macie 設定、資料和資源。

如果您是組織的委派 Macie 管理員，您可以變更此組態設定。您可以為組織開啟自動啟用。如果您這樣做，當帳戶新增至您的組織時，系統會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶會自動與您的 Macie 管理員帳戶建立關聯，做為成員帳戶。開啟此設定不會影響組織中現有的帳戶。若要為現有帳戶啟用和管理 Macie，您必須手動將帳戶新增為 Macie 成員帳戶。[下一個步驟](#accounts-mgmt-ao-members-add-existing)說明如何執行此操作。

**注意**  
如果您開啟自動啟用，請注意下列例外狀況。如果新帳戶已與不同的 Macie 管理員帳戶建立關聯，Macie 不會自動將該帳戶新增為組織中的成員帳戶。帳戶必須先取消與其目前 Macie 管理員帳戶的關聯，才能成為您在 Macie 中組織的一部分。然後，您可以手動新增帳戶。若要識別發生這種情況的帳戶，您可以[檢閱組織的帳戶庫存](accounts-mgmt-ao-review.md)。

**自動啟用和新增組織帳戶做為 Macie 成員帳戶**  
若要自動啟用新帳戶並將其新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

------
#### [ Console ]

若要使用 主控台執行此任務，您必須執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您有這些許可，請依照下列步驟自動啟用和新增組織帳戶做為 Macie 成員帳戶。

**自動啟用和新增組織帳戶**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要自動啟用的區域，並將新帳戶新增為 Macie 成員帳戶。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**帳戶**頁面**的新帳戶**區段中，選擇**編輯**。

1. 在**編輯新帳戶的設定**對話方塊中，選取**啟用 Macie**。

   若要同時為新成員帳戶自動啟用自動敏感資料探索，請選取**啟用自動敏感資料探索**。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

1. 選擇 **Save** (儲存)。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

若要後續變更這些設定，請重複上述步驟並清除每個設定的核取方塊。

------
#### [ API ]

若要以程式設計方式自動啟用和新增新的 Macie 成員帳戶，請使用 Amazon Macie API 的 [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html) 操作。當您提交請求時，請將 `autoEnable` 參數的值設定為 `true`。(預設值為 `false`。) 同時，請確定您指定請求套用的區域。若要在額外區域中自動啟用和新增新帳戶，請為每個額外區域提交請求。

如果您使用 AWS CLI 提交請求，請執行 [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html) 命令，並指定 `auto-enable` 參數以自動啟用和新增新帳戶。例如：

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

其中 *us-east-1* 是要在其中自動啟用和新增帳戶的區域，即美國東部 （維吉尼亞北部） 區域。

若要隨後變更此設定並自動停止啟用和新增帳戶，請再次執行相同的命令，並在每個適用的區域中使用 `no-auto-enable` 參數，而非 `auto-enable` 參數。

您也可以為新成員帳戶自動啟用自動敏感資料探索。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。若要自動為成員帳戶啟用此功能，請使用 [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。

------

## 步驟 4：啟用現有組織帳戶並將其新增為 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-add-existing"></a>

當您將 Macie 與 整合時 AWS Organizations，不會自動為您組織中的所有現有帳戶啟用 Macie。此外，帳戶不會自動關聯至委派的 Macie 管理員帳戶做為 Macie 成員帳戶。因此，在 Macie 中整合和設定組織的最後一個步驟是將現有的組織帳戶新增為 Macie 成員帳戶。當您將現有帳戶新增為 Macie 成員帳戶時，會自動為該帳戶啟用 Macie，而且您 （身為委派 Macie 管理員） 可以存取該帳戶的特定 Macie 設定、資料和資源。

請注意，您無法新增目前與另一個 Macie 管理員帳戶相關聯的帳戶。若要新增帳戶，請先與帳戶擁有者合作，取消帳戶與其目前管理員帳戶的關聯。此外，如果 Macie 目前為帳戶暫停，則無法新增現有帳戶。帳戶擁有者必須先重新啟用帳戶的 Macie。最後，如果您想要將 AWS Organizations 管理帳戶新增為成員帳戶，該帳戶的使用者必須先為帳戶啟用 Macie。

**啟用現有組織帳戶並將其新增為 Macie 成員帳戶**  
若要啟用現有組織帳戶並將其新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

------
#### [ Console ]

若要使用 主控台執行此任務，您必須執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您擁有這些許可，請依照下列步驟啟用並將現有帳戶新增為 Macie 成員帳戶。

**啟用和新增現有的組織帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要啟用的區域，並將現有帳戶新增為 Macie 成員帳戶。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您 Macie 帳戶相關聯的帳戶資料表。

   如果帳戶是組織中的一部分 AWS Organizations，則其**類型**為 **Via AWS Organizations**。如果帳戶已經是 Macie 成員帳戶，則其**狀態**為**已啟用**或**已暫停 （已暫停）**。

1. 在**現有帳戶**表格中，選取您要新增為 Macie 成員帳戶的每個帳戶的核取方塊。

1. 在**動作**功能表中，選擇**新增成員**。

1. 確認您要將選取的帳戶新增為成員帳戶。

在您確認新增選取的帳戶後，帳戶的狀態會變更為**啟用進行中**，然後**啟用**。新增成員帳戶後，您也可以為帳戶啟用自動敏感資料探索：在**現有帳戶**資料表中，選取每個帳戶的核取方塊以啟用該帳戶，然後在**動作**功能表上選擇**啟用自動敏感資料探索**。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式啟用和新增一或多個現有帳戶做為 Macie 成員帳戶，請使用 Amazon Macie API 的 [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。當您提交請求時，請使用支援的參數來指定 AWS 帳戶 要啟用和新增的每個 12 位數帳戶 ID 和電子郵件地址。同時指定請求套用的區域。若要在其他區域中啟用和新增現有帳戶，請為每個其他區域提交請求。

若要擷取 的帳戶 ID 和電子郵件地址 AWS 帳戶 以啟用和新增，您可以選擇使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。此操作提供與您的 Macie 帳戶相關聯的帳戶詳細資訊，包括非 Macie 成員帳戶的帳戶。如果帳戶 `relationshipStatus` 屬性的值不是 `Enabled`或 `Paused`，則帳戶不是 Macie 成員帳戶。

若要使用 啟用和新增一或多個現有帳戶 AWS CLI，請執行 [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) 命令。使用 `region` 參數來指定要在其中啟用和新增帳戶的 區域。使用 `account` 參數來指定 AWS 帳戶 每個要新增的帳戶 ID 和電子郵件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

其中 *us-east-1* 是啟用並將帳戶新增為 Macie 成員帳戶 （美國東部 （維吉尼亞北部） 區域） 的區域，而`account`參數會指定帳戶的帳戶 ID (*123456789012*) 和電子郵件地址 (*janedoe@example.com*)。

如果您的請求成功，指定帳戶的狀態 (`relationshipStatus`) 會在您的帳戶庫存`Enabled`中變更為 。

若要同時啟用一或多個帳戶的自動敏感資料探索，請使用 [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) 命令。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

------