本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 管理多個 Macie 帳戶 AWS Organizations
<a name="accounts-mgmt-ao"></a>

如果您使用 AWS Organizations 集中管理多個 AWS 帳戶，則可以整合 Amazon Macie 與 AWS Organizations，然後集中管理組織中帳戶的 Macie。透過此組態，指定的 Macie 管理員最多可為 10，000 個帳戶啟用和管理 Macie。管理員也可以存取 Amazon Simple Storage Service (Amazon S3) 清查資料，並在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需管理員可執行之任務的詳細資訊，請參閱[Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。

AWS Organizations 是一種全域帳戶管理服務，可讓 AWS 管理員合併並集中管理多個帳戶 AWS 帳戶。它提供帳戶管理和合併帳單功能，旨在支援預算、安全和合規需求。它免費提供，並與多個 整合 AWS 服務，包括 Macie AWS Security Hub CSPM和 Amazon GuardDuty。若要進一步了解 ，請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

若要將 Macie 與 整合 AWS Organizations，請先將 帳戶指定為組織的委派 Macie 管理員帳戶。Macie 管理員接著會為組織中的其他帳戶啟用 Macie，將這些帳戶新增為 Macie 成員帳戶，並設定帳戶的 Macie 設定和資源。

**提示**  
如果您已使用邀請將 Macie 管理員帳戶與成員帳戶建立關聯，則可以將該帳戶指定為組織中的委派 Macie 管理員帳戶 AWS Organizations。如果您這樣做，所有目前關聯的成員帳戶都會保留成員身分，而且您可以使用 充分利用管理帳戶的好處 AWS Organizations。如需詳細資訊，請參閱[從以邀請為基礎的組織轉換](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations)。

本節中的主題說明如何將 Macie 與 整合， AWS Organizations 以及如何管理組織中帳戶的 Macie。

**Topics**
+ [考量事項和建議](accounts-mgmt-ao-notes.md)
+ [整合和設定組織](accounts-mgmt-ao-integrate.md)
+ [檢閱組織帳戶](accounts-mgmt-ao-review.md)
+ [管理成員帳戶](accounts-mgmt-ao-administer.md)
+ [變更管理員帳戶](accounts-mgmt-ao-admin-change.md)
+ [停用與 的整合 AWS Organizations](accounts-mgmt-ao-disable.md)

# 搭配 使用 Macie 的考量事項 AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

將 Amazon Macie 與 整合 AWS Organizations 並在 Macie 中設定您的組織之前，請考慮下列要求和建議。此外，請確定您了解 [Macie 管理員與成員帳戶之間的關係](accounts-mgmt-relationships.md)。

**Topics**
+ [指定管理員帳戶](#accounts-mgmt-ao-notes-admin-designate)
+ [變更或移除管理員帳戶指定](#accounts-mgmt-ao-notes-admin-remove)
+ [新增和移除成員帳戶](#accounts-mgmt-ao-notes-members-manage)
+ [從以邀請為基礎的組織轉換](#accounts-mgmt-ao-notes-transition-invitations)

## 指定 Macie 管理員帳戶
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

當您判斷哪個帳戶應該是組織的委派 Macie 管理員帳戶時，請記住下列事項：
+ 組織只能有一個委派的 Macie 管理員帳戶。
+ 帳戶不能同時是 Macie 管理員和成員帳戶。
+ 只有組織的 AWS Organizations 管理帳戶可以指定組織的委派 Macie 管理員帳戶。只有管理帳戶之後才能變更或移除該指定。
+ 組織的 AWS Organizations 管理帳戶也可以是組織的委派 Macie 管理員帳戶。不過，我們不建議根據 AWS 安全最佳實務和最低權限原則進行此組態。基於帳單目的有權存取管理帳戶的使用者，可能與基於資訊安全目的而需要存取 Macie 的使用者不同。

  如果您偏好此組態，則必須在至少一個 中為組織的管理帳戶啟用 Macie， AWS 區域 才能將帳戶指定為委派的 Macie 管理員帳戶。否則，帳戶將無法存取和管理成員帳戶的 Macie 設定和資源。
+ 與之不同 AWS Organizations，Macie 是區域性服務。這表示 Macie 管理員帳戶的指定是區域指定。這也表示 Macie 管理員和成員帳戶之間的關聯是區域性的。例如，如果管理帳戶在美國東部 （維吉尼亞北部） 區域指定 Macie 管理員帳戶，則 Macie 管理員只能管理該區域中成員帳戶的 Macie。

  若要集中管理多個 Macie 帳戶 AWS 區域，管理帳戶必須登入組織目前使用或將使用 Macie 的每個區域，然後在每個區域中指定 Macie 管理員帳戶。Macie 管理員接著可以在每個區域中設定組織。如需目前可使用 Macie 的區域清單，請參閱《》中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。
+ 一個帳戶一次只能與一個 Macie 管理員帳戶建立關聯。如果您的組織在多個區域中使用 Macie，則指定的 Macie 管理員帳戶在所有這些區域中都必須相同。不過，您組織的管理帳戶必須在每個區域中分別指定管理員帳戶。
+ 帳戶一次只能是一個組織的委派 Macie 管理員帳戶。如果您在 中管理多個組織 AWS Organizations，您必須為每個組織指定不同的 Macie 管理員帳戶。這是因為 AWS Organizations 要求 - 帳戶一次只能是一個組織的成員。

如果 Macie 管理員的 AWS 帳戶 被暫停、隔離或關閉，所有相關聯的 Macie 成員帳戶都會自動移除為 Macie 成員帳戶，但 Macie 會繼續為帳戶啟用。如果已啟用一或多個成員帳戶的[自動敏感資料探索](discovery-asdd.md)，則會針對帳戶停用。這也會停用存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動探索時所產生和直接提供的其他資訊。若要還原對此資料的存取，必須在 30 天內執行下列動作：

1. Macie 管理員的 AWS 帳戶 已還原。

1.  AWS Organizations 管理帳戶會再次將帳戶指定為 Macie 管理員帳戶。

1. Macie 管理員會設定組織，並再次為適當的帳戶啟用自動探索。

30 天後，Macie 會永久刪除先前產生並直接提供的資料，同時為適用的帳戶執行自動探索。

## 變更或移除 Macie 管理員帳戶的指定
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

只有組織的 AWS Organizations 管理帳戶可以變更或移除組織的委派 Macie 管理員帳戶的指定。

如果管理帳戶變更或移除指定：
+ 所有相關聯的成員帳戶會移除為 Macie 成員帳戶，但 Macie 會繼續為帳戶啟用。這些帳戶會成為獨立的 Macie 帳戶。若要暫停或停止使用 Macie，成員帳戶的使用者必須暫停 （暫停） 或停用 （停止） Macie。
+ 已為其啟用的每個帳戶停用自動敏感資料探索。這也會停用存取統計資料、庫存資料，以及 Macie 在為每個帳戶執行自動探索時產生和直接提供的其他資訊。若要還原對此資料的存取權，管理帳戶必須在 30 天內再次指定相同的 Macie 管理員帳戶。此外，Macie 管理員必須在 30 天內再次設定組織，並重新啟用每個帳戶的自動探索。30 天後，資料會過期，Macie 會將其永久刪除。

## 新增和移除 Macie 成員帳戶
<a name="accounts-mgmt-ao-notes-members-manage"></a>

當您新增、移除和以其他方式管理組織的成員帳戶時，請記住下列事項：
+ Macie 管理員帳戶可以與每個帳戶中不超過 10，000 個 Macie 成員帳戶建立關聯 AWS 區域。如果您的組織超過此配額，Macie 管理員將無法新增成員帳戶，除非他們移除區域中現有成員帳戶的必要數量。當組織符合此配額時，我們會為其帳戶建立 AWS Health 事件來通知 Macie 管理員。我們也傳送電子郵件到與其帳戶相關聯的地址。

  如果您是組織的 Macie 管理員，您可以使用 Amazon Macie 主控台上的帳戶頁面或 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作，來判斷目前有多少成員**帳戶**與您的帳戶相關聯。如需詳細資訊，請參閱[檢閱組織的 Macie 帳戶](accounts-mgmt-ao-review.md)。
+ 一個帳戶一次只能與一個 Macie 管理員帳戶建立關聯。這表示如果帳戶已與 中組織的 Macie 管理員帳戶相關聯，則無法接受來自另一個帳戶的 Macie 邀請 AWS Organizations。

  同樣地，如果帳戶已接受邀請， 中組織的 Macie 管理員 AWS Organizations 就無法將該帳戶新增為 Macie 成員帳戶。帳戶必須先取消與其目前以邀請為基礎的管理員帳戶的關聯。
+ 若要將 AWS Organizations 管理帳戶新增為 Macie 成員帳戶，管理帳戶的使用者必須先為帳戶啟用 Macie。Macie 管理員不允許為管理帳戶啟用 Macie。
+ 如果 Macie 管理員移除 Macie 成員帳戶：
  + Macie 會繼續為帳戶啟用。帳戶會成為獨立的 Macie 帳戶。若要暫停或停止使用 Macie，帳戶的使用者必須暫停 （暫停） 或停用 （停止） Macie。
  + 如果已啟用，則會停用帳戶的自動敏感資料探索。這也會停用存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動探索時產生和直接提供的其他資訊。
+ 成員帳戶無法與其 Macie 管理員帳戶取消關聯。只有 Macie 管理員可以將帳戶移除為 Macie 成員帳戶。

## 從以邀請為基礎的組織轉換
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

如果您已使用 Macie 成員資格邀請將 Macie 管理員帳戶與成員帳戶建立關聯，建議您將該帳戶指定為組織的委派 Macie 管理員帳戶 AWS Organizations。這可簡化從以邀請為基礎的組織的轉換。

如果您這樣做，目前所有相關聯的成員帳戶都會繼續成為成員。如果成員帳戶是您組織的一部分 AWS Organizations，帳戶的關聯會自動從**邀請**變更為 Macie 中的 **Via AWS Organizations**。如果成員帳戶不是 中組織的一部分 AWS Organizations，則帳戶的關聯會繼續為**邀請**。在這兩種情況下，帳戶會繼續與委派的 Macie 管理員帳戶建立關聯，做為成員帳戶。對於敏感資料探索，這也表示帳戶可以繼續存取 Macie 產生和直接提供的統計資料和其他資料，同時為帳戶執行自動敏感資料探索。此外，如果 Macie 管理員設定敏感資料探索任務來分析帳戶的資料，後續任務執行將繼續包含帳戶擁有的資源。

我們建議您使用此方法，因為帳戶無法同時與多個 Macie 管理員帳戶建立關聯。如果您指定不同的帳戶做為組織的 Macie 管理員帳戶 AWS Organizations，則指定的管理員將無法透過邀請管理已與其他 Macie 管理員帳戶相關聯的帳戶。每個成員帳戶必須先取消與其目前以邀請為基礎的管理員帳戶的關聯。您組織的 Macie 管理員接著 AWS Organizations 可以將帳戶新增為 Macie 成員帳戶，並開始管理帳戶。

將 Macie 與 整合， AWS Organizations 並在 Macie 中設定組織後，您可以選擇為組織指定不同的 Macie 管理員帳戶。您也可以繼續使用邀請來關聯和管理不屬於您組織的成員帳戶 AWS Organizations。

# 在 Macie 中整合和設定組織
<a name="accounts-mgmt-ao-integrate"></a>

若要開始使用 Amazon Macie 搭配 AWS Organizations，組織的 AWS Organizations 管理帳戶會將帳戶指定為組織的委派 Macie 管理員帳戶。這可讓 Macie 成為 中的受信任服務 AWS Organizations。它還為指定的管理員帳戶在目前的 AWS 區域 中啟用 Macie，並允許指定的管理員帳戶為該區域中組織中的其他帳戶啟用和管理 Macie。如需如何授予這些許可的資訊，請參閱*AWS Organizations 《 使用者指南*》中的[使用 AWS Organizations 搭配其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 。

委派的 Macie 管理員接著會在 Macie 中設定組織，主要是透過將組織的帳戶新增為區域中的 Macie 成員帳戶。然後，管理員可以存取該區域中這些帳戶的特定 Macie 設定、資料和資源。他們也可以執行自動敏感資料探索和執行敏感資料探索任務，以偵測帳戶擁有的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的敏感資料。

本主題說明如何指定組織的委派 Macie 管理員，以及如何將組織的帳戶新增為 Macie 成員帳戶。執行這些任務之前，請確定您了解 [Macie 管理員和成員帳戶之間的關係](accounts-mgmt-relationships.md)。也建議您檢閱搭配使用 Macie 的[考量事項和建議](accounts-mgmt-ao-notes.md) AWS Organizations。

**Topics**
+ [步驟 1：驗證您的許可](#accounts-mgmt-ao-admin-designate-permissions)
+ [步驟 2：指定委派的 Macie 管理員帳戶](#accounts-mgmt-ao-admin-designate)
+ [步驟 3：自動啟用和新增組織帳戶](#accounts-mgmt-ao-members-autoenable)
+ [步驟 4：啟用和新增現有的組織帳戶](#accounts-mgmt-ao-members-add-existing)

若要在多個區域中整合和設定組織， AWS Organizations 管理帳戶和委派 Macie 管理員會在每個額外的區域中重複這些步驟。

## 步驟 1：驗證您的許可
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

在您為組織指定委派的 Macie 管理員帳戶之前，請確認您 （做為 AWS Organizations 管理帳戶的使用者） 可執行下列 Macie 動作：`macie2:EnableOrganizationAdminAccount`。此動作可讓您使用 Macie 為組織指定委派的 Macie 管理員帳戶。

同時確認您可執行下列 AWS Organizations 動作：
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

這些動作可讓您：擷取組織的相關資訊；將 Macie 與 整合 AWS Organizations；擷取 AWS 服務 已與之整合的資訊 AWS Organizations；以及為您的組織指定委派 Macie 管理員帳戶。

若要授予這些許可，請在您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式：

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

如果您想要將 AWS Organizations 管理帳戶指定為組織的委派 Macie 管理員帳戶，則您的帳戶也需要執行下列 IAM 動作的許可：`CreateServiceLinkedRole`。此動作可讓您為管理帳戶啟用 Macie。不過，根據 AWS 安全最佳實務和最低權限原則，我們不建議您這麼做。

如果您決定授予此許可，請將下列陳述式新增至 AWS Organizations 管理帳戶的 IAM 政策：

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

在 陳述式中，將 *111122223333* 取代為管理帳戶的帳戶 ID。

如果您想要在加入 AWS 區域 （預設為停用的區域） 中管理 Macie，也請在 `Resource`元素和 `iam:AWSServiceName`條件中更新 Macie 服務主體的值。值必須指定區域的區域代碼。例如，若要管理中東 （巴林） 區域中具有區域碼 *me-south-1* 的 Macie，請執行下列動作：
+ 在 `Resource`元素中，取代

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  取代為

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  其中 *111122223333* 指定管理帳戶的帳戶 ID，而 *me-south-1* 指定區域的區域代碼。
+ 在 `iam:AWSServiceName`條件中，將 取代`macie.amazonaws.com`為 `macie.me-south-1.amazonaws.com`，其中 *me-south-1* 指定區域的區域代碼。

如需目前可使用 Macie 的區域清單和每個區域代碼，請參閱 中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。若要判斷區域是否為選擇加入區域，請參閱*AWS 帳戶管理 《 使用者指南*》[AWS 區域 中的在您的帳戶中啟用或停用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) 。

## 步驟 2：指定組織的委派 Macie 管理員帳戶
<a name="accounts-mgmt-ao-admin-designate"></a>

驗證許可後，您 （以 AWS Organizations 管理帳戶的使用者身分） 可以為組織指定委派的 Macie 管理員帳戶。

**指定組織的委派 Macie 管理員帳戶**  
若要為您的組織指定委派 Macie 管理員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有 AWS Organizations 管理帳戶的使用者才能執行此任務。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台指定委派的 Macie 管理員帳戶。

**指定委派的 Macie 管理員帳戶**

1.  AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要為組織指定委派 Macie 管理員帳戶的區域。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 根據目前區域中的管理帳戶是否啟用 Macie，執行下列其中一項操作：
   + 如果 Macie 未啟用，請在歡迎頁面上選擇**開始使用**。
   + 如果啟用 Macie，請在導覽窗格中選擇**設定**。

1. 在**委派管理員**下，輸入您要指定為 Macie 管理員帳戶的 的 AWS 帳戶 12 位數帳戶 ID。

1. 選擇**委派**。

在您要將組織與 Macie 整合的每個額外區域中重複上述步驟。您必須在每個區域中指定相同的 Macie 管理員帳戶。

------
#### [ API ]

若要以程式設計方式指定委派的 Macie 管理員帳戶，請使用 Amazon Macie API 的 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作。若要在多個區域中指定帳戶，請提交您要將組織與 Macie 整合之每個區域的指定。您必須在每個區域中指定相同的 Macie 管理員帳戶。

當您提交指定時，請使用必要的 `adminAccountId` 參數來指定 AWS 帳戶 要指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。同時，請確定您指定了套用指定的區域。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 指定 Macie 管理員帳戶，請執行 [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) 命令。針對 `admin-account-id` 參數，指定 AWS 帳戶 要指定之 的 12 位數帳戶 ID。使用 `region` 參數來指定套用指定的區域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

其中 *us-east-1* 是指定適用的區域 （美國東部 （維吉尼亞北部） 區域），而 *111122223333* 是帳戶要指定的帳戶 ID。

------

在您為組織指定 Macie 管理員帳戶之後，Macie 管理員就可以開始在 Macie 中設定組織。

## 步驟 3：自動啟用和新增組織帳戶做為 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-autoenable"></a>

根據預設，當帳戶新增至您的組織時，不會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶不會自動新增為 Macie 成員帳戶。帳戶會出現在 Macie 管理員的帳戶庫存中。不過，Macie 不一定會為帳戶啟用，而且 Macie 管理員不一定會存取帳戶的 Macie 設定、資料和資源。

如果您是組織的委派 Macie 管理員，您可以變更此組態設定。您可以為組織開啟自動啟用。如果您這樣做，當帳戶新增至您的組織時，系統會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶會自動與您的 Macie 管理員帳戶建立關聯，做為成員帳戶。開啟此設定不會影響組織中現有的帳戶。若要為現有帳戶啟用和管理 Macie，您必須手動將帳戶新增為 Macie 成員帳戶。[下一個步驟](#accounts-mgmt-ao-members-add-existing)說明如何執行此操作。

**注意**  
如果您開啟自動啟用，請注意下列例外狀況。如果新帳戶已與不同的 Macie 管理員帳戶建立關聯，Macie 不會自動將該帳戶新增為組織中的成員帳戶。帳戶必須先取消與其目前 Macie 管理員帳戶的關聯，才能成為您在 Macie 中組織的一部分。然後，您可以手動新增帳戶。若要識別發生這種情況的帳戶，您可以[檢閱組織的帳戶庫存](accounts-mgmt-ao-review.md)。

**自動啟用和新增組織帳戶做為 Macie 成員帳戶**  
若要自動啟用新帳戶並將其新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

------
#### [ Console ]

若要使用 主控台執行此任務，您必須執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您有這些許可，請依照下列步驟自動啟用和新增組織帳戶做為 Macie 成員帳戶。

**自動啟用和新增組織帳戶**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要自動啟用的區域，並將新帳戶新增為 Macie 成員帳戶。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**帳戶**頁面**的新帳戶**區段中，選擇**編輯**。

1. 在**編輯新帳戶的設定**對話方塊中，選取**啟用 Macie**。

   若要同時為新成員帳戶自動啟用自動敏感資料探索，請選取**啟用自動敏感資料探索**。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

1. 選擇 **Save** (儲存)。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

若要後續變更這些設定，請重複上述步驟並清除每個設定的核取方塊。

------
#### [ API ]

若要以程式設計方式自動啟用和新增新的 Macie 成員帳戶，請使用 Amazon Macie API 的 [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html) 操作。當您提交請求時，請將 `autoEnable` 參數的值設定為 `true`。(預設值為 `false`。) 同時，請確定您指定請求套用的區域。若要在額外區域中自動啟用和新增新帳戶，請為每個額外區域提交請求。

如果您使用 AWS CLI 提交請求，請執行 [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html) 命令，並指定 `auto-enable` 參數以自動啟用和新增新帳戶。例如：

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

其中 *us-east-1* 是要在其中自動啟用和新增帳戶的區域，即美國東部 （維吉尼亞北部） 區域。

若要隨後變更此設定並自動停止啟用和新增帳戶，請再次執行相同的命令，並在每個適用的區域中使用 `no-auto-enable` 參數，而非 `auto-enable` 參數。

您也可以為新成員帳戶自動啟用自動敏感資料探索。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。若要自動為成員帳戶啟用此功能，請使用 [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。

------

## 步驟 4：啟用現有組織帳戶並將其新增為 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-add-existing"></a>

當您將 Macie 與 整合時 AWS Organizations，不會自動為您組織中的所有現有帳戶啟用 Macie。此外，帳戶不會自動關聯至委派的 Macie 管理員帳戶做為 Macie 成員帳戶。因此，在 Macie 中整合和設定組織的最後一個步驟是將現有的組織帳戶新增為 Macie 成員帳戶。當您將現有帳戶新增為 Macie 成員帳戶時，會自動為該帳戶啟用 Macie，而且您 （身為委派 Macie 管理員） 可以存取該帳戶的特定 Macie 設定、資料和資源。

請注意，您無法新增目前與另一個 Macie 管理員帳戶相關聯的帳戶。若要新增帳戶，請先與帳戶擁有者合作，取消帳戶與其目前管理員帳戶的關聯。此外，如果 Macie 目前為帳戶暫停，則無法新增現有帳戶。帳戶擁有者必須先重新啟用帳戶的 Macie。最後，如果您想要將 AWS Organizations 管理帳戶新增為成員帳戶，該帳戶的使用者必須先為帳戶啟用 Macie。

**啟用現有組織帳戶並將其新增為 Macie 成員帳戶**  
若要啟用現有組織帳戶並將其新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

------
#### [ Console ]

若要使用 主控台執行此任務，您必須執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您擁有這些許可，請依照下列步驟啟用並將現有帳戶新增為 Macie 成員帳戶。

**啟用和新增現有的組織帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要啟用的區域，並將現有帳戶新增為 Macie 成員帳戶。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您 Macie 帳戶相關聯的帳戶資料表。

   如果帳戶是組織中的一部分 AWS Organizations，則其**類型**為 **Via AWS Organizations**。如果帳戶已經是 Macie 成員帳戶，則其**狀態**為**已啟用**或**已暫停 （已暫停）**。

1. 在**現有帳戶**表格中，選取您要新增為 Macie 成員帳戶的每個帳戶的核取方塊。

1. 在**動作**功能表中，選擇**新增成員**。

1. 確認您要將選取的帳戶新增為成員帳戶。

在您確認新增選取的帳戶後，帳戶的狀態會變更為**啟用進行中**，然後**啟用**。新增成員帳戶後，您也可以為帳戶啟用自動敏感資料探索：在**現有帳戶**資料表中，選取每個帳戶的核取方塊以啟用該帳戶，然後在**動作**功能表上選擇**啟用自動敏感資料探索**。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式啟用和新增一或多個現有帳戶做為 Macie 成員帳戶，請使用 Amazon Macie API 的 [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。當您提交請求時，請使用支援的參數來指定 AWS 帳戶 要啟用和新增的每個 12 位數帳戶 ID 和電子郵件地址。同時指定請求套用的區域。若要在其他區域中啟用和新增現有帳戶，請為每個其他區域提交請求。

若要擷取 的帳戶 ID 和電子郵件地址 AWS 帳戶 以啟用和新增，您可以選擇使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。此操作提供與您的 Macie 帳戶相關聯的帳戶詳細資訊，包括非 Macie 成員帳戶的帳戶。如果帳戶 `relationshipStatus` 屬性的值不是 `Enabled`或 `Paused`，則帳戶不是 Macie 成員帳戶。

若要使用 啟用和新增一或多個現有帳戶 AWS CLI，請執行 [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) 命令。使用 `region` 參數來指定要在其中啟用和新增帳戶的 區域。使用 `account` 參數來指定 AWS 帳戶 每個要新增的帳戶 ID 和電子郵件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

其中 *us-east-1* 是啟用並將帳戶新增為 Macie 成員帳戶 （美國東部 （維吉尼亞北部） 區域） 的區域，而`account`參數會指定帳戶的帳戶 ID (*123456789012*) 和電子郵件地址 (*janedoe@example.com*)。

如果您的請求成功，指定帳戶的狀態 (`relationshipStatus`) 會在您的帳戶庫存`Enabled`中變更為 。

若要同時啟用一或多個帳戶的自動敏感資料探索，請使用 [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) 命令。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

------

# 檢閱組織的 Macie 帳戶
<a name="accounts-mgmt-ao-review"></a>

在 Amazon Macie 中[整合和設定](accounts-mgmt-ao-integrate.md) AWS Organizations 組織後，委派的 Macie 管理員可以存取組織在 Macie 中帳戶的清查。身為組織的 Macie 管理員，您可以使用此庫存來檢閱 中組織的 Macie 帳戶的統計資料和詳細資訊 AWS 區域。您也可以使用它來執行帳戶[的特定管理任務](accounts-mgmt-ao-administer.md)。

**檢閱組織的 Macie 帳戶**  
若要檢閱組織的帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。如果您偏好使用 主控台，您必須被允許執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示屬於您組織一部分的帳戶資訊 AWS Organizations。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台檢閱組織的 Macie 帳戶。

**檢閱組織的帳戶**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要檢閱組織帳戶的 區域。

1. 在導覽窗格中，選擇**帳戶**。

**帳戶**頁面會開啟並顯示彙總的統計資料，以及目前中與您的 Macie 帳戶相關聯的帳戶資料表 AWS 區域。

在**帳戶**頁面頂端，您會找到下列彙總統計資料。

**透過 AWS Organizations**  
**Active** 會報告透過 與您的帳戶相關聯的帳戶總數， AWS Organizations 且目前是組織中的 Macie 成員帳戶。這些帳戶已啟用 Macie，而您是帳戶的 Macie 管理員。  
**所有** 都會報告與您的帳戶相關聯的帳戶總數 AWS Organizations。這包括目前不是 Macie 成員帳戶的帳戶。它還包括 Macie 目前暫停使用的成員帳戶。

**依邀請**  
**Active** 會透過 Macie 邀請報告與您帳戶相關聯的帳戶總數，且目前是您組織中的 Macie 成員帳戶。這些帳戶不會透過 與您的帳戶建立關聯 AWS Organizations。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員，因為他們接受了您的 Macie 成員資格邀請。  
**所有** 都會報告 Macie 邀請與您帳戶相關聯的帳戶總數，包括尚未回應您邀請的帳戶。

**作用中/全部**  
**Active** 會報告 Macie 目前在您的組織中啟用的帳戶總數，包括您自己的帳戶。您透過 AWS Organizations 或 Macie 邀請，成為這些帳戶的 Macie 管理員。  
**所有** 都會透過 AWS Organizations Macie 邀請，以及您自己的帳戶，報告與您帳戶相關聯的帳戶總數。這包括屬於您組織一部分的帳戶 AWS Organizations ，目前不是 Macie 成員帳戶。它還包括尚未回應您 Macie 成員資格邀請的任何帳戶。

在表格中，您會找到目前區域中每個帳戶的詳細資訊。資料表包含所有透過 Macie 邀請 AWS Organizations 或透過 Macie 邀請與您的 Macie 帳戶相關聯的帳戶。

**帳戶 ID**  
的帳戶 ID 和電子郵件地址 AWS 帳戶。

**名稱**  
的帳戶名稱 AWS 帳戶。對於您自己的帳戶，以及任何透過 Macie 邀請與您的帳戶相關聯的帳戶，此值通常為 **N/A**。

**類型**  
帳戶如何與您的帳戶建立關聯，可透過 Macie AWS Organizations 邀請或透過 Macie 邀請建立關聯。對於您自己的帳戶，此值為**目前帳戶**。

**狀態**  
您的帳戶與帳戶之間的關係狀態。對於 AWS Organizations 組織中的帳戶 (**類型**為**透過 AWS Organizations**)，可能的值為：  
+ **帳戶已暫停** – AWS 帳戶 已暫停。
+ **已啟用** – 帳戶是 Macie 成員帳戶。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員。
+ **啟用進行中** – Macie 正在處理啟用和新增帳戶為 Macie 成員帳戶的請求。
+ **不是成員** – 該帳戶是您組織的一部分， AWS Organizations 但不是 Macie 成員帳戶。
+ **暫停 （已暫停）** – 帳戶是 Macie 成員帳戶，但 Macie 目前已暫停該帳戶。
+ **區域已停用** – 帳戶是 中組織的一部分， AWS Organizations 但目前的 區域已停用 AWS 帳戶。
+ **已移除 （已取消關聯）** – 帳戶先前是 Macie 成員帳戶，但隨後以成員帳戶身分移除。您取消帳戶與 Macie 管理員帳戶的關聯。Macie 會繼續為帳戶啟用。

**上次狀態更新**  
當您或關聯帳戶最近執行的動作會影響帳戶之間的關係。

**自動化敏感資料探索**  
帳戶目前是否啟用或停用自動敏感資料探索。

若要依特定欄位排序資料表，請選擇欄位的欄位標題。若要變更排序順序，請再次選擇欄標題。若要篩選資料表，請將游標放在篩選方塊中，然後新增欄位的篩選條件。若要進一步精簡結果，請新增其他欄位的篩選條件。

------
#### [ API ]

若要以程式設計方式檢閱組織的帳戶，請使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作，並指定您的請求套用的區域。若要檢閱其他區域中的帳戶，請在每個其他區域中提交您的請求。

當您提交請求時，請使用 `onlyAssociated` 參數來指定要包含在回應中的帳戶。根據預設，Macie 只會透過 AWS Organizations 或透過 Macie 邀請傳回指定區域中屬於 Macie 成員帳戶的帳戶詳細資訊。若要擷取與您的 Macie 帳戶相關聯的所有帳戶的這些詳細資訊，包括非成員帳戶的帳戶，請在請求中包含 `onlyAssociated` 參數，並將 參數的值設定為 `false`。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 檢閱組織的帳戶，請執行 [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) 命令。針對 `only-associated` 參數，指定要包含所有相關聯的帳戶，還是只包含 Macie 成員帳戶。若要僅包含成員帳戶，請省略此參數，或將參數的值設定為 `true`。若要包含所有帳戶，請將此值設為 `false`。例如：

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

其中 *us-east-1* 是請求套用的區域，即美國東部 （維吉尼亞北部） 區域。

如果您的請求成功，Macie 會傳回`members`陣列。陣列包含每個帳戶符合請求中指定條件的`member`物件。在該物件中， `relationshipStatus` 欄位會指出您的帳戶與指定區域中其他帳戶之間關係的目前狀態。對於 AWS Organizations 組織中的帳戶，可能的值為：
+ `AccountSuspended` – AWS 帳戶 已暫停。
+ `Created` – Macie 正在處理啟用和新增帳戶做為 Macie 成員帳戶的請求。
+ `Enabled` – 帳戶是 Macie 成員帳戶。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員。
+ `Paused` – 帳戶是 Macie 成員帳戶，但 Macie 目前已暫停 （暫停） 帳戶。
+ `RegionDisabled` – 帳戶是 中組織的一部分， AWS Organizations 但目前的 區域已停用 AWS 帳戶。
+ `Removed` – 該帳戶先前是 Macie 成員帳戶，但隨後被移除為成員帳戶。您取消帳戶與 Macie 管理員帳戶的關聯。Macie 會繼續為帳戶啟用。

如需 `member` 物件中其他欄位的資訊，請參閱《*Amazon Macie API 參考*》中的[成員](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)。

------

# 管理組織的 Macie 成員帳戶
<a name="accounts-mgmt-ao-administer"></a>

在 Amazon Macie 中[整合和設定](accounts-mgmt-ao-integrate.md) AWS Organizations 組織後，組織的委派 Macie 管理員可以存取成員帳戶的特定 Macie 設定、資料和資源。身為組織的 Macie 管理員，您可以使用 Macie 集中執行帳戶的特定帳戶管理和管理任務。例如，您可以：
+ 新增和移除帳戶做為 Macie 成員帳戶。
+ 管理個別帳戶的 Macie 狀態，例如為帳戶啟用或停用 Macie。
+ 監控個別帳戶和整個組織的 Macie 配額和預估用量成本。

您也可以檢閱 Macie 成員帳戶的 Amazon Simple Storage Service (Amazon S3) 清查資料和政策調查結果。您也可以在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需您可以執行之任務的詳細清單，請參閱 [Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。

根據預設，Macie 可讓您查看組織中所有 Macie 成員帳戶的相關資料和資源。您也可以向下切入以檢閱個別帳戶的資料和資源。例如，如果您[使用摘要儀表板](monitoring-s3-dashboard.md)來評估組織的 Amazon S3 安全狀態，您可以依帳戶篩選資料。同樣地，如果您[監控預估用量成本](account-mgmt-costs.md)，您可以存取個別成員帳戶的預估成本明細。

除了管理員和成員帳戶常見的任務之外，您還可以為組織執行各種管理任務。

**Topics**
+ [新增成員帳戶](#accounts-mgmt-ao-members-add)
+ [暫停成員帳戶的 Macie](#accounts-mgmt-ao-members-suspend)
+ [移除成員帳戶](#accounts-mgmt-ao-members-remove)

身為組織的 Macie 管理員，您可以使用 Amazon Macie 主控台或 Amazon Macie API 來執行這些任務。如果您偏好使用 主控台，您必須允許 執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示屬於您組織一部分的帳戶相關資訊 AWS Organizations。

## 將 Macie 成員帳戶新增至組織
<a name="accounts-mgmt-ao-members-add"></a>

在某些情況下，您可能需要手動將 帳戶新增為 Amazon Macie 成員帳戶。對於您先前移除 （取消關聯） 為成員帳戶的帳戶，這是這種情況。如果您未將 Macie 設定為在 中將[帳戶新增至組織時自動啟用和新增新成員](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable)帳戶，也會發生這種情況 AWS Organizations。

當您將帳戶新增為 Macie 成員帳戶時：
+ 如果 Macie 尚未在 區域中啟用 AWS 區域，則會為目前 中的帳戶啟用 Macie。
+ 帳戶會與您的 Macie 管理員帳戶建立關聯，做為 區域中的成員帳戶。成員帳戶不會收到您在帳戶之間建立此關係的邀請或其他通知。
+ 區域中的帳戶可能會啟用自動化敏感資料探索。這取決於您為組織指定的組態設定。如需詳細資訊，請參閱[設定自動敏感資料探索](discovery-asdd-account-manage.md)。

請注意，您無法新增已與其他 Macie 管理員帳戶相關聯的帳戶。帳戶必須先取消與其目前管理員帳戶的關聯。此外，您無法將 AWS Organizations 管理帳戶新增為成員帳戶，除非該帳戶已啟用 Macie。若要了解其他需求，請參閱 [搭配 使用 Macie 的考量事項 AWS Organizations](accounts-mgmt-ao-notes.md)。

**將 Macie 成員帳戶新增至組織**  
若要將一或多個 Macie 成員帳戶新增至您的組織，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增一或多個 Macie 成員帳戶。

**新增 Macie 成員帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要新增成員帳戶的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。

1. （選用） 若要更輕鬆地識別組織中屬於 且 AWS Organizations 不是 Macie 成員帳戶的帳戶，請使用**現有帳戶**資料表上方的篩選方塊來新增下列篩選條件：
   + **類型 = 組織**
   + **狀態 = 不是成員**

   若要同時顯示您先前移除並可能想要新增為成員帳戶的帳戶，也請新增**狀態 = 已移除**的篩選條件。

1. 在**現有帳戶**表格中，選取您要新增為成員帳戶的每個帳戶的核取方塊。

1. 在**動作**功能表中，選擇**新增成員**。

1. 確認您要將選取的帳戶新增為成員帳戶。

確認選擇後，所選帳戶的狀態會變更為**啟用進行中**，然後在您的帳戶庫存中**啟用**。

若要在其他區域中新增成員帳戶，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式新增一或多個 Macie 成員帳戶，請使用 Amazon Macie API 的 [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。

當您提交請求時，請使用支援的參數來指定您要新增的每個 12 位數帳戶 ID AWS 帳戶 和電子郵件地址。同時指定請求套用的區域。若要在其他區域中新增帳戶，請在每個其他區域中提交您的請求。

若要擷取要新增的帳戶 ID 和電子郵件地址，您可以將 AWS Organizations API 的 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) 操作輸出與 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作建立關聯。對於 Macie API **ListMembers**的操作，請在請求中包含 `onlyAssociated` 參數，並將 參數的值設定為 `false`。如果操作成功，Macie 會傳回`members`陣列，提供與指定區域中 Macie 管理員帳戶關聯之所有帳戶的詳細資訊，包括目前非成員帳戶的帳戶。請注意陣列中的下列項目：
+ 如果帳戶 `relationshipStatus` 屬性的值不是 `Enabled`或 `Paused`，則帳戶會與您的帳戶相關聯，但不是 Macie 成員帳戶。
+ 如果 帳戶未包含在陣列中，但包含在 AWS Organizations API **ListAccounts**操作的輸出中，則該帳戶是您組織 AWS Organizations 的一部分，但不會與您的帳戶相關聯，因此， 不是 Macie 成員帳戶。

若要使用 AWS Command Line Interface (AWS CLI) 新增成員帳戶，請執行 [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) 命令。使用 `region` 參數來指定要在其中新增帳戶的 區域。使用 `account` 參數來指定要新增的每個帳戶的帳戶 ID 和電子郵件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

其中 *us-east-1* 是將帳戶新增為成員帳戶 （美國東部 （維吉尼亞北部） 區域） 的區域，而`account`參數會指定帳戶的帳戶 ID (*123456789012*) 和電子郵件地址 (*janedoe@example.com*)。

如果您的請求成功，指定帳戶的狀態 (`relationshipStatus`) 會在您的帳戶庫存`Enabled`中變更為 。

------

## 暫停組織中成員帳戶的 Macie
<a name="accounts-mgmt-ao-members-suspend"></a>

身為 中組織的 Amazon Macie 管理員 AWS Organizations，您可以暫停組織中成員帳戶的 Macie。如果您這樣做，您也可以稍後為帳戶重新啟用 Macie。

當您暫停成員帳戶的 Macie 時：
+ Macie 無法存取並停止提供目前帳戶中 Amazon S3 資料的中繼資料 AWS 區域。
+ Macie 會停止為 區域中的帳戶執行所有活動。這包括監控 S3 儲存貯體的安全性和存取控制、執行自動敏感資料探索，以及執行目前正在進行的敏感資料探索任務。
+ Macie 會取消帳戶在 區域中建立的所有敏感資料探索任務。任務在取消後無法繼續或重新啟動。如果您建立任務來分析成員帳戶擁有的資料，Macie 不會取消您的任務。相反地，任務會略過帳戶擁有的資源。

暫停時，Macie 會保留工作階段識別符、設定和資源，以存放或維護適用區域中的帳戶。Macie 也會保留 區域中帳戶的特定資料。例如，帳戶的調查結果保持不變，且在長達 90 天內不會受到影響。如果已為帳戶啟用自動敏感資料探索，現有的結果也會保持不變，且不會受到影響長達 30 天。當 Macie 暫停該區域中的帳戶時，您的組織不會針對該區域中的帳戶產生 Macie 費用。

**暫停組織中成員帳戶的 Macie**  
若要暫停組織中成員帳戶的 Macie，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台暫停成員帳戶的 Macie。

**暫停成員帳戶的 Macie**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要為成員帳戶暫停 Macie 的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取要暫停 Macie 之帳戶的核取方塊。

1. 在**動作**功能表中，選擇**暫停 Macie**。

1. 確認您要暫停帳戶的 Macie。

確認停用後，帳戶庫存中的帳戶狀態會變更為**已暫停 （已暫停）**。若要在其他區域中暫停帳戶的 Macie，請在每個其他區域中重複上述步驟。

若要稍後重新啟用帳戶的 Macie，請返回 主控台上的**帳戶**頁面。選取帳戶的核取方塊，然後在**動作**功能表中選擇**啟用 Macie**。若要為其他區域中的帳戶重新啟用 Macie，請在每個其他區域中重複這些步驟。

------
#### [ API ]

若要以程式設計方式暫停成員帳戶的 Macie，請使用 Amazon Macie API 的 [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html) 操作。您也可以使用此操作來稍後為帳戶重新啟用 Macie。

當您提交請求時，請使用 `id` 參數來指定您要暫停 Macie 的 AWS 帳戶 的 12 位數帳戶 ID。針對 `status` 參數，請指定 `PAUSED`。同時指定請求套用的區域。若要為其他區域中的帳戶暫停 Macie，請在每個其他區域中提交您的請求。

若要擷取帳戶的帳戶 ID，您可以使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果您這樣做，請考慮在請求中包含 `onlyAssociated` 參數來篩選結果。如果您將此參數的值設定為 `true`，Macie 會傳回`members`陣列，僅提供目前為成員帳戶之帳戶的詳細資訊。

若要使用 暫停成員帳戶的 Macie AWS CLI，請執行 [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html) 命令。使用 `region` 參數來指定要在其中暫停帳戶的 Macie 的區域。使用 `id` 參數來指定帳戶的帳戶 ID。針對 `status` 參數，請指定 `PAUSED`。例如：

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

其中 *us-east-1* 是暫停 Macie （美國東部 （維吉尼亞北部） 區域） 的區域，*123456789012* 是暫停 Macie 帳戶的帳戶 ID，而 `PAUSED` 是 Macie 帳戶的新狀態。

如果您的請求成功，Macie 會傳回空的回應，並在您的帳戶庫存`Paused`中將指定帳戶的狀態變更為 。若要稍後為帳戶重新啟用 Macie，請再次執行 **update-member-session**命令，並為 `status` 參數指定 `ENABLED` 。

------

## 從組織移除 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-remove"></a>

如果您想要停止存取成員帳戶的 Amazon Macie 設定、資料和資源，您可以將帳戶移除為 Macie 成員帳戶。您可以透過取消帳戶與 Macie 管理員帳戶的關聯來執行此操作。請注意，只有您可以為成員帳戶執行此操作。 AWS Organizations 成員帳戶無法與其 Macie 管理員帳戶取消關聯。

當您移除 Macie 成員帳戶時，Macie 仍為目前帳戶啟用 AWS 區域。不過，帳戶會與您的 Macie 管理員帳戶取消關聯，並成為獨立的 Macie 帳戶。這表示您無法存取帳戶的所有 Macie 設定、資料和資源，包括帳戶的 Amazon S3 資料的中繼資料和政策調查結果。這也表示您無法再使用 Macie 在帳戶擁有的 S3 儲存貯體中探索敏感資料。如果您已建立敏感資料探索任務來執行此操作，任務會略過帳戶擁有的儲存貯體。如果您為帳戶啟用了自動敏感資料探索，您和成員帳戶都會無法存取 Macie 在為帳戶執行自動探索時產生和直接提供的統計資料、庫存資料和其他資訊。

移除 Macie 成員帳戶後，帳戶會繼續出現在您的帳戶庫存中。Macie 不會通知帳戶的擁有者您已移除帳戶。因此，請考慮聯絡帳戶擁有者，以確保他們開始管理其帳戶的設定和資源。

您可以稍後再次將帳戶新增至您的組織。如果您這樣做，並在 30 天內再次為帳戶啟用自動敏感資料探索，您也可以在為帳戶執行自動探索時，重新取得 Macie 先前產生和直接提供的資料和資訊的存取權。此外，現有任務的後續執行會再次開始包含帳戶的 S3 儲存貯體。

**從組織移除 Macie 成員帳戶**  
若要從組織中移除 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台移除 Macie 成員帳戶。

**移除 Macie 成員帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要移除成員帳戶的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取您要以成員帳戶身分移除之帳戶的核取方塊。

1. 在**動作**功能表中，選擇**取消帳戶關聯**。

1. 確認您想要將選取的帳戶移除為成員帳戶。

確認選擇後，帳戶庫存中的帳戶狀態會變更為**已移除 （已取消關聯）**。

若要移除其他區域中的成員帳戶，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式移除 Macie 成員帳戶，請使用 Amazon Macie API 的 [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html) 操作。

當您提交請求時，請使用 `id` 參數指定要移除之成員帳戶的 12 位數 AWS 帳戶 ID。同時指定請求套用的區域。若要移除其他區域中的帳戶，請在每個其他區域中提交您的請求。

若要擷取要移除之成員帳戶的帳戶 ID，您可以使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果您這樣做，請考慮在請求中包含 `onlyAssociated` 參數來篩選結果。如果您將此參數的值設定為 `true`，Macie 會傳回`members`陣列，僅提供目前為 Macie 成員帳戶之帳戶的詳細資訊。

若要使用 移除 Macie 成員帳戶 AWS CLI，請執行 [disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) 命令。使用 `region` 參數來指定要在其中移除帳戶的 區域。使用 `id` 參數指定要移除之成員帳戶的帳戶 ID。例如：

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

其中 *us-east-1* 是移除帳戶的區域 （美國東部 （維吉尼亞北部） 區域），而 *123456789012* 是帳戶要移除的帳戶 ID。

如果您的請求成功，Macie 會傳回空的回應，並在您的帳戶庫存`Removed`中將指定帳戶的狀態變更為 。

------

# 變更組織的 Macie 管理員帳戶
<a name="accounts-mgmt-ao-admin-change"></a>

在 Amazon Macie 中[整合和設定](accounts-mgmt-ao-integrate.md) AWS Organizations 組織之後， AWS Organizations 管理帳戶可以將不同的帳戶指定為組織的委派 Macie 管理員帳戶。然後，新的 Macie 管理員可以再次在 Macie 中設定組織。

身為組織的 AWS Organizations 管理帳戶使用者，請先確認您符合下列許可要求，再為組織指定不同的 Macie 管理員帳戶：
+ 您必須擁有最初為組織指定 Macie 管理員帳戶所需的[相同許可](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions)。您也必須被允許執行下列 AWS Organizations 動作：`organizations:DeregisterDelegatedAdministrator`。此額外動作可讓您移除目前的指定項目。
+ 如果您的帳戶目前是 Macie 成員帳戶，目前的 Macie 管理員必須將您的帳戶移除為 Macie 成員帳戶。否則，您將無法存取 Macie 操作來指定不同的管理員帳戶。指定新的管理員帳戶後，新的 Macie 管理員可以再次將您的帳戶新增為 Macie 成員帳戶。

如果您的組織在多個 中使用 Macie AWS 區域，也請確定您在組織使用 Macie 的每個區域中變更指定。委派的 Macie 管理員帳戶在所有這些區域中都必須相同。如果您在 中管理多個組織 AWS Organizations，也請注意，帳戶一次只能是一個組織的委派 Macie 管理員帳戶。若要了解其他需求，請參閱 [搭配 使用 Macie 的考量事項 AWS Organizations](accounts-mgmt-ao-notes.md)。

**注意**  
當您為組織指定不同的 Macie 管理員帳戶時，也會停用存取現有的統計資料、庫存資料，以及 Macie 在為組織中的帳戶執行[自動敏感資料探索](discovery-asdd.md)時產生和直接提供的其他資訊。新的 Macie 管理員無法存取現有的資料。如果您變更指定，且新的 Macie 管理員啟用帳戶的自動探索，則 Macie 會在為帳戶執行自動探索時產生和維護新資料。

**變更 Macie 管理員帳戶的指定**  
若要為您的組織指定不同的 Macie 管理員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie 和 AWS Organizations APIs的組合。只有 AWS Organizations 管理帳戶的使用者可以變更其組織的指定。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台變更指定項目。

**變更指定項目**

1.  AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要變更指定的區域。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 根據目前區域中的管理帳戶是否啟用 Macie，執行下列其中一項操作：
   + 如果 Macie 未啟用，請在歡迎頁面上選擇**開始使用**。
   + 如果啟用 Macie，請在導覽窗格中選擇**設定**。

1. 在**委派管理員**下，選擇**移除**。若要變更指定，您必須先移除目前的指定。

1. 確認您想要移除目前的指定。

1. 在**委派管理員**下，輸入 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

1. 選擇**委派**。

在您整合 Macie 的每個額外區域中重複上述步驟 AWS Organizations。

------
#### [ API ]

若要以程式設計方式變更指定，您可以使用 Amazon Macie API 的兩個操作和 AWS Organizations API 的一個操作。這是因為在提交新的指定 AWS Organizations 之前，您必須移除 Macie 和 中的目前指定。

若要移除目前的指定項目：

1. 使用 Macie API 的 [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作。針對必要的`adminAccountId`參數，指定目前指定為組織 Macie 管理員帳戶的 AWS 帳戶 12 位數帳戶 ID。

1. 使用 API 的 AWS Organizations [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。針對 `AccountId` 參數，指定目前指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。此值應與您在上述 Macie 請求中指定的帳戶 ID 相符。針對 `ServicePrincipal` 參數，指定 Macie 服務主體 (`macie.amazonaws.com`)。

移除目前的指定之後，請使用 Macie API 的 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作來提交新的指定。針對必要的`adminAccountId`參數，指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

若要使用 AWS Command Line Interface (AWS CLI) 變更指定，請執行 Macie API 的 [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html) 命令和 AWS Organizations API 的 [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html) 命令。這些命令會 AWS Organizations分別移除 Macie 和 中的目前指定項目。針對 `admin-account-id`和 `account-id` 參數，指定 AWS 帳戶 要移除的 12 位數帳戶 ID，做為目前的 Macie 管理員帳戶。使用 `region` 參數來指定要套用移除的區域。例如：

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

其中：
+ *us-east-1* 是套用移除的區域，美國東部 （維吉尼亞北部） 區域。
+ *111122223333* 是做為 Macie 管理員帳戶移除的帳戶 ID。
+ `macie.amazonaws.com` 是 Macie 服務主體。

移除目前的指定之後，請執行 Macie API 的 [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) 命令來提交新的指定。針對 `admin-account-id` 參數，指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。使用 `region` 參數來指定套用指定的區域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

其中 *us-east-1* 是指定適用的區域 （美國東部 （維吉尼亞北部） 區域），而 *444455556666* 是要指定為新 Macie 管理員帳戶的帳戶 ID。

------

# 停用 Macie 與 的整合 AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

 AWS Organizations 組織與 Amazon Macie 整合後， AWS Organizations 管理帳戶隨後可以停用整合。身為 AWS Organizations 管理帳戶的使用者，您可以停用 Macie in 的受信任服務存取權來執行此操作 AWS Organizations。

當您停用 Macie 的受信任服務存取時，會發生下列情況：
+ Macie 失去其信任服務的狀態 AWS Organizations。
+ 組織的 Macie 管理員帳戶會失去所有 Macie 成員帳戶的所有 Macie 設定、資料和資源的存取權 AWS 區域。
+ 所有 Macie 成員帳戶都會成為獨立的 Macie 帳戶。如果 Macie 已在一或多個區域中為成員帳戶啟用，Macie 會繼續為這些區域中的帳戶啟用。不過，該帳戶不會再與任何區域中的 Macie 管理員帳戶相關聯。此外，帳戶會失去存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動敏感資料探索時所產生和直接提供的其他資訊。

如需停用受信任服務存取結果的詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[使用 AWS Organizations 搭配其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 。

**停用 Macie 的受信任服務存取**  
若要停用信任的服務存取，您可以使用 AWS Organizations 主控台或 AWS Organizations API。只有 AWS Organizations 管理帳戶的使用者才能停用 Macie 的受信任服務存取。如需所需許可的詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[停用信任存取所需的許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。

在您停用受信任的服務存取之前，您可以選擇與組織的委派 Macie 管理員合作，以暫停或停用成員帳戶的 Macie，以及清除帳戶的 Macie 資源。

------
#### [ Console ]

若要使用 AWS Organizations 主控台停用受信任的服務存取，請遵循下列步驟。

**若要停用受信任的服務存取**

1.  AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。

1. 在 https：//[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) 開啟 AWS Organizations 主控台。

1. 在導覽窗格中，選擇**服務**。

1. 在**整合式服務**下，選擇 **Amazon Macie**。

1. 選擇**停用受信任的存取**。

1. 確認您要停用信任的存取。

------
#### [ API ]

若要以程式設計方式停用受信任的服務存取，請使用 AWS Organizations API 的 [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) 操作。針對 `ServicePrincipal` 參數，指定 Macie 服務主體 (`macie.amazonaws.com`)。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 停用信任的服務存取，請執行 AWS Organizations API 的 [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 命令。針對 `service-principal` 參數，指定 Macie 服務主體 (`macie.amazonaws.com`)。例如：

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------