本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 以組織形式管理多個 Macie 帳戶
<a name="macie-accounts"></a>

如果您的 AWS 環境有多個帳戶，您可以建立環境中的 Amazon Macie 帳戶關聯，並以 Macie 中的組織身分集中管理這些帳戶。透過此組態，指定的 Macie 管理員可以評估和監控組織 Amazon Simple Storage Service (Amazon S3) 資料資產的整體安全狀態，並在組織的 S3 儲存貯體中探索敏感資料。管理員也可以大規模執行各種帳戶管理和管理任務，例如監控預估用量成本和評估帳戶配額。

在 Macie 中，組織由指定的 Macie 管理員帳戶和一或多個相關聯的成員帳戶組成。您可以透過兩種方式建立帳戶關聯，方法是整合 Macie 與 ， AWS Organizations 或在 Macie 中傳送和接受成員資格邀請。建議您將 Macie 與 整合 AWS Organizations。

AWS Organizations 是一種全域帳戶管理服務，可讓 AWS 管理員合併並集中管理多個帳戶 AWS 帳戶。它提供帳戶管理和合併帳單功能，旨在支援預算、安全和合規需求。它免費提供，並與多個 整合 AWS 服務，包括 Macie AWS Security Hub CSPM和 Amazon GuardDuty。若要進一步了解 ，請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

如果您偏好不使用 集中管理多個 Macie 帳戶 AWS Organizations，您可以改為使用成員資格邀請。如果您傳送邀請，且另一個帳戶接受邀請，則您的帳戶會成為另一個帳戶的 Macie 管理員帳戶。如果您收到並接受邀請，您的帳戶會成為 Macie 成員帳戶，而 Macie 管理員帳戶可以存取和管理 Macie 帳戶的特定設定、資料和資源。

**Topics**
+ [Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)
+ [使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)
+ [依邀請管理多個 Macie 帳戶](accounts-mgmt-invitations.md)

# Macie 管理員和成員帳戶關係
<a name="accounts-mgmt-relationships"></a>

如果您以組織身分集中管理多個 Amazon Macie 帳戶，Macie 管理員可以存取相關聯成員帳戶的 Amazon Simple Storage Service (Amazon S3) 庫存資料、政策調查結果以及特定 Macie 設定和資源。管理員也可以啟用自動敏感資料探索並執行敏感資料探索任務，以偵測成員帳戶擁有的 S3 儲存貯體中的敏感資料。特定任務的支援會根據 Macie 管理員帳戶是否透過邀請 AWS Organizations 或邀請與成員帳戶相關聯而有所不同。

下表提供有關 Macie 管理員和成員帳戶之間關係的詳細資訊。它指出每種帳戶類型的預設許可。若要進一步限制對 Macie 功能和操作的存取，您可以使用自訂 [AWS Identity and Access Management (IAM) 政策](security-iam.md)。

在 資料表中：
+ **自我**指出帳戶無法為任何相關聯的帳戶執行任務。
+ **任何** 表示帳戶可以為個別關聯帳戶執行任務。
+ **所有** 都表示帳戶可以執行任務，而任務會套用至所有相關聯的帳戶。

破折號 (–) 表示帳戶無法執行任務。


| 
| 
| **任務** | **透過 AWS Organizations** | **依邀請** | 
| --- |--- |--- |
| **管理員** | **成員** | **管理員** | **成員** | 
| --- |--- |--- |--- |
| Enable Macie | Any | – | Self | Self | 
| Review the organization's account inventory [1](#accounts-mgmt-relationships-note-inventory) | All | – | All | – | 
| Add a member account | Any | – | Any | – | 
| Review statistics and metadata for S3 buckets | All | Self | All | Self | 
| Review policy findings | All | Self | All | Self | 
| Suppress (archive) policy findings [2](#accounts-mgmt-relationships-note-suppress-policy) | All | – | All | – | 
| Publish policy findings [3](#accounts-mgmt-relationships-note-publish-policy) | Self | Self | Self | Self | 
| Configure a repository for sensitive data discovery results [4](#accounts-mgmt-relationships-note-sddr) | Self | Self | Self | Self | 
| Create and use allow lists | Self | Self | Self | Self | 
| Create and use custom data identifiers | Self | Self | Self | Self | 
| Configure automated sensitive data discovery settings | All | – | All | – | 
| Enable or disable automated sensitive data discovery | Any | – | Any | – | 
| Review automated sensitive data discovery statistics, data, and results [5](#accounts-mgmt-relationships-note-asdd-sdfs) | All | Self | All | Self | 
| Create and run sensitive data discovery jobs [6](#accounts-mgmt-relationships-note-jobs) | Any | Self | Any | Self | 
| Review the details of sensitive data discovery jobs [7](#accounts-mgmt-relationships-note-job-details) | Self | Self | Self | Self | 
| Review sensitive data findings [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Self | Self | Self | Self | 
| Suppress (archive) sensitive data findings [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Self | Self | Self | Self | 
| Publish sensitive data findings [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Self | Self | Self | Self | 
| Configure Macie to retrieve sensitive data samples for findings | Self | Self | Self | Self | 
| Retrieve sensitive data samples for findings [9](#accounts-mgmt-relationships-note-sdsamples) | Self | Self | Self | Self | 
| Configure publication destinations for findings | Self | Self | Self | Self | 
| Set the publication frequency for findings | All | Self | All | Self | 
| Create sample findings | Self | Self | Self | Self | 
| Review account quotas and estimated usage costs | All | Self | All | Self | 
| Suspend Macie [10](#accounts-mgmt-relationships-note-suspend) | Any | – | Any | Self | 
| Disable Macie [11](#accounts-mgmt-relationships-note-disable) | Self | Self | Self | Self | 
| Remove (disassociate) a member account | Any | – | Any | – | 
| Disassociate from an administrator account | – | – | – | Self | 
| Delete an association with another account [12](#accounts-mgmt-relationships-note-delete) | Any | – | Any | Self | 

1. <a name="accounts-mgmt-relationships-note-inventory"></a>中的組織管理員 AWS Organizations 可以檢閱組織中的所有帳戶，包括尚未啟用 Macie 的帳戶。邀請型組織的管理員只能檢閱他們新增至庫存的帳戶。

1. <a name="accounts-mgmt-relationships-note-suppress-policy"></a>只有管理員可以隱藏政策調查結果。如果管理員建立禁止規則，Macie 會將規則套用至組織中所有帳戶的政策調查結果，除非規則設定為排除特定帳戶。如果成員建立禁止規則，Macie 不會將規則套用至成員帳戶的政策問題清單。

1. <a name="accounts-mgmt-relationships-note-publish-policy"></a>只有擁有受影響資源的帳戶才能發佈資源的政策調查結果 AWS Security Hub CSPM。管理員和成員帳戶都會自動將受影響資源的政策調查結果發佈至 Amazon EventBridge。

1. <a name="accounts-mgmt-relationships-note-sddr"></a>如果管理員啟用自動敏感資料探索或設定任務來分析成員帳戶擁有的 S3 儲存貯體中的物件，Macie 會將敏感資料探索結果存放在管理員帳戶的儲存庫中。

1. <a name="accounts-mgmt-relationships-note-asdd-sdfs"></a>只有管理員可以存取自動化敏感資料探索產生的敏感資料調查結果。管理員和成員都可以檢閱自動化敏感資料探索為成員帳戶產生的其他資料類型。

1. <a name="accounts-mgmt-relationships-note-jobs"></a>成員可以設定任務，僅在其帳戶擁有的 S3 儲存貯體中分析物件。管理員可以設定任務來分析其帳戶擁有或成員帳戶擁有之儲存貯體中的物件。如需如何套用配額和計算多帳戶任務成本的資訊，請參閱 [了解預估用量成本](account-mgmt-costs-calculations.md)。

1. <a name="accounts-mgmt-relationships-note-job-details"></a>只有建立任務的帳戶才能存取任務的詳細資訊。這包括 S3 儲存貯體庫存中的任務相關詳細資訊。

1. <a name="accounts-mgmt-relationships-note-jobs-sdfs"></a>只有建立任務的帳戶可以存取、隱藏或發佈任務產生的敏感資料調查結果。只有管理員可以存取、隱藏或發佈自動化敏感資料探索產生的敏感資料調查結果。

1. <a name="accounts-mgmt-relationships-note-sdsamples"></a>如果敏感資料調查結果適用於成員帳戶擁有的 S3 物件，管理員可能可以擷取調查結果報告的敏感資料範例。這取決於調查結果的來源，以及管理員帳戶和成員帳戶中的組態設定和資源。如需詳細資訊，請參閱[擷取敏感資料範例的組態選項](findings-retrieve-sd-options.md)。

1. <a name="accounts-mgmt-relationships-note-suspend"></a>若要讓管理員暫停 Macie 自己的帳戶，管理員必須先取消其帳戶與所有成員帳戶的關聯。

1. <a name="accounts-mgmt-relationships-note-disable"></a>若要讓管理員為自己的帳戶停用 Macie，管理員必須先取消其帳戶與所有成員帳戶的關聯，並刪除其帳戶與所有這些帳戶之間的關聯。中的組織管理員 AWS Organizations 可以與組織的管理帳戶合作，將不同的帳戶指定為管理員帳戶。

   若要讓 AWS Organizations 組織的成員停用 Macie，管理員必須先取消成員帳戶與其管理員帳戶的關聯。在以邀請為基礎的組織中，成員可以取消其帳戶與其管理員帳戶的關聯，然後停用 Macie。

1. <a name="accounts-mgmt-relationships-note-delete"></a>中的組織管理員 AWS Organizations 可以在取消帳戶與其管理員帳戶的關聯之後，刪除與成員帳戶的關聯。帳戶會繼續出現在管理員的帳戶庫存中，但其狀態表示其不是成員帳戶。在以邀請為基礎的組織中，管理員和成員可以在取消其帳戶與另一個帳戶的關聯之後，刪除與其他帳戶的關聯。然後，另一個帳戶停止出現在其帳戶庫存中。

# 使用 管理多個 Macie 帳戶 AWS Organizations
<a name="accounts-mgmt-ao"></a>

如果您使用 AWS Organizations 集中管理多個 AWS 帳戶，則可以整合 Amazon Macie 與 AWS Organizations，然後集中管理組織中帳戶的 Macie。透過此組態，指定的 Macie 管理員最多可為 10，000 個帳戶啟用和管理 Macie。管理員也可以存取 Amazon Simple Storage Service (Amazon S3) 清查資料，並在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需管理員可執行之任務的詳細資訊，請參閱[Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。

AWS Organizations 是一種全域帳戶管理服務，可讓 AWS 管理員合併並集中管理多個帳戶 AWS 帳戶。它提供帳戶管理和合併帳單功能，旨在支援預算、安全和合規需求。它免費提供，並與多個 整合 AWS 服務，包括 Macie AWS Security Hub CSPM和 Amazon GuardDuty。若要進一步了解 ，請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

若要將 Macie 與 整合 AWS Organizations，請先將 帳戶指定為組織的委派 Macie 管理員帳戶。Macie 管理員接著會為組織中的其他帳戶啟用 Macie，將這些帳戶新增為 Macie 成員帳戶，並設定帳戶的 Macie 設定和資源。

**提示**  
如果您已使用邀請將 Macie 管理員帳戶與成員帳戶建立關聯，則可以將該帳戶指定為組織中的委派 Macie 管理員帳戶 AWS Organizations。如果您這樣做，所有目前關聯的成員帳戶都會保留成員身分，而且您可以使用 充分利用管理帳戶的好處 AWS Organizations。如需詳細資訊，請參閱[從以邀請為基礎的組織轉換](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations)。

本節中的主題說明如何將 Macie 與 整合， AWS Organizations 以及如何管理組織中帳戶的 Macie。

**Topics**
+ [考量事項和建議](accounts-mgmt-ao-notes.md)
+ [整合和設定組織](accounts-mgmt-ao-integrate.md)
+ [檢閱組織帳戶](accounts-mgmt-ao-review.md)
+ [管理成員帳戶](accounts-mgmt-ao-administer.md)
+ [變更管理員帳戶](accounts-mgmt-ao-admin-change.md)
+ [停用與 的整合 AWS Organizations](accounts-mgmt-ao-disable.md)

# 搭配 使用 Macie 的考量事項 AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

將 Amazon Macie 與 整合 AWS Organizations 並在 Macie 中設定您的組織之前，請考慮下列要求和建議。此外，請確定您了解 [Macie 管理員與成員帳戶之間的關係](accounts-mgmt-relationships.md)。

**Topics**
+ [指定管理員帳戶](#accounts-mgmt-ao-notes-admin-designate)
+ [變更或移除管理員帳戶指定](#accounts-mgmt-ao-notes-admin-remove)
+ [新增和移除成員帳戶](#accounts-mgmt-ao-notes-members-manage)
+ [從以邀請為基礎的組織轉換](#accounts-mgmt-ao-notes-transition-invitations)

## 指定 Macie 管理員帳戶
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

當您判斷哪個帳戶應該是組織的委派 Macie 管理員帳戶時，請記住下列事項：
+ 組織只能有一個委派的 Macie 管理員帳戶。
+ 帳戶不能同時是 Macie 管理員和成員帳戶。
+ 只有組織的 AWS Organizations 管理帳戶可以指定組織的委派 Macie 管理員帳戶。只有管理帳戶之後才能變更或移除該指定。
+ 組織的 AWS Organizations 管理帳戶也可以是組織的委派 Macie 管理員帳戶。不過，我們不建議根據 AWS 安全最佳實務和最低權限原則進行此組態。基於帳單目的有權存取管理帳戶的使用者，可能與基於資訊安全目的而需要存取 Macie 的使用者不同。

  如果您偏好此組態，則必須在至少一個 中為組織的管理帳戶啟用 Macie， AWS 區域 才能將帳戶指定為委派的 Macie 管理員帳戶。否則，帳戶將無法存取和管理成員帳戶的 Macie 設定和資源。
+ 與之不同 AWS Organizations，Macie 是區域性服務。這表示 Macie 管理員帳戶的指定是區域指定。這也表示 Macie 管理員和成員帳戶之間的關聯是區域性的。例如，如果管理帳戶在美國東部 （維吉尼亞北部） 區域指定 Macie 管理員帳戶，則 Macie 管理員只能管理該區域中成員帳戶的 Macie。

  若要集中管理多個 Macie 帳戶 AWS 區域，管理帳戶必須登入組織目前使用或將使用 Macie 的每個區域，然後在每個區域中指定 Macie 管理員帳戶。Macie 管理員接著可以在每個區域中設定組織。如需目前可使用 Macie 的區域清單，請參閱《》中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。
+ 一個帳戶一次只能與一個 Macie 管理員帳戶建立關聯。如果您的組織在多個區域中使用 Macie，則指定的 Macie 管理員帳戶在所有這些區域中都必須相同。不過，您組織的管理帳戶必須在每個區域中分別指定管理員帳戶。
+ 帳戶一次只能是一個組織的委派 Macie 管理員帳戶。如果您在 中管理多個組織 AWS Organizations，您必須為每個組織指定不同的 Macie 管理員帳戶。這是因為 AWS Organizations 要求 - 帳戶一次只能是一個組織的成員。

如果 Macie 管理員的 AWS 帳戶 被暫停、隔離或關閉，所有相關聯的 Macie 成員帳戶都會自動移除為 Macie 成員帳戶，但 Macie 會繼續為帳戶啟用。如果已啟用一或多個成員帳戶的[自動敏感資料探索](discovery-asdd.md)，則會針對帳戶停用。這也會停用存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動探索時所產生和直接提供的其他資訊。若要還原對此資料的存取，必須在 30 天內執行下列動作：

1. Macie 管理員的 AWS 帳戶 已還原。

1.  AWS Organizations 管理帳戶會再次將帳戶指定為 Macie 管理員帳戶。

1. Macie 管理員會設定組織，並再次為適當的帳戶啟用自動探索。

30 天後，Macie 會永久刪除先前產生並直接提供的資料，同時為適用的帳戶執行自動探索。

## 變更或移除 Macie 管理員帳戶的指定
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

只有組織的 AWS Organizations 管理帳戶可以變更或移除組織的委派 Macie 管理員帳戶的指定。

如果管理帳戶變更或移除指定：
+ 所有相關聯的成員帳戶會移除為 Macie 成員帳戶，但 Macie 會繼續為帳戶啟用。這些帳戶會成為獨立的 Macie 帳戶。若要暫停或停止使用 Macie，成員帳戶的使用者必須暫停 （暫停） 或停用 （停止） Macie。
+ 已為其啟用的每個帳戶停用自動敏感資料探索。這也會停用存取統計資料、庫存資料，以及 Macie 在為每個帳戶執行自動探索時產生和直接提供的其他資訊。若要還原對此資料的存取權，管理帳戶必須在 30 天內再次指定相同的 Macie 管理員帳戶。此外，Macie 管理員必須在 30 天內再次設定組織，並重新啟用每個帳戶的自動探索。30 天後，資料會過期，Macie 會將其永久刪除。

## 新增和移除 Macie 成員帳戶
<a name="accounts-mgmt-ao-notes-members-manage"></a>

當您新增、移除和以其他方式管理組織的成員帳戶時，請記住下列事項：
+ Macie 管理員帳戶可以與每個帳戶中不超過 10，000 個 Macie 成員帳戶建立關聯 AWS 區域。如果您的組織超過此配額，Macie 管理員將無法新增成員帳戶，除非他們移除區域中現有成員帳戶的必要數量。當組織符合此配額時，我們會為其帳戶建立 AWS Health 事件來通知 Macie 管理員。我們也傳送電子郵件到與其帳戶相關聯的地址。

  如果您是組織的 Macie 管理員，您可以使用 Amazon Macie 主控台上的帳戶頁面或 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作，來判斷目前有多少成員**帳戶**與您的帳戶相關聯。如需詳細資訊，請參閱[檢閱組織的 Macie 帳戶](accounts-mgmt-ao-review.md)。
+ 一個帳戶一次只能與一個 Macie 管理員帳戶建立關聯。這表示如果帳戶已與 中組織的 Macie 管理員帳戶相關聯，則無法接受來自另一個帳戶的 Macie 邀請 AWS Organizations。

  同樣地，如果帳戶已接受邀請， 中組織的 Macie 管理員 AWS Organizations 就無法將該帳戶新增為 Macie 成員帳戶。帳戶必須先取消與其目前以邀請為基礎的管理員帳戶的關聯。
+ 若要將 AWS Organizations 管理帳戶新增為 Macie 成員帳戶，管理帳戶的使用者必須先為帳戶啟用 Macie。Macie 管理員不允許為管理帳戶啟用 Macie。
+ 如果 Macie 管理員移除 Macie 成員帳戶：
  + Macie 會繼續為帳戶啟用。帳戶會成為獨立的 Macie 帳戶。若要暫停或停止使用 Macie，帳戶的使用者必須暫停 （暫停） 或停用 （停止） Macie。
  + 如果已啟用，則會停用帳戶的自動敏感資料探索。這也會停用存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動探索時產生和直接提供的其他資訊。
+ 成員帳戶無法與其 Macie 管理員帳戶取消關聯。只有 Macie 管理員可以將帳戶移除為 Macie 成員帳戶。

## 從以邀請為基礎的組織轉換
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

如果您已使用 Macie 成員資格邀請將 Macie 管理員帳戶與成員帳戶建立關聯，建議您將該帳戶指定為組織的委派 Macie 管理員帳戶 AWS Organizations。這可簡化從以邀請為基礎的組織的轉換。

如果您這樣做，目前所有相關聯的成員帳戶都會繼續成為成員。如果成員帳戶是您組織的一部分 AWS Organizations，帳戶的關聯會自動從**邀請**變更為 Macie 中的 **Via AWS Organizations**。如果成員帳戶不是 中組織的一部分 AWS Organizations，則帳戶的關聯會繼續為**邀請**。在這兩種情況下，帳戶會繼續與委派的 Macie 管理員帳戶建立關聯，做為成員帳戶。對於敏感資料探索，這也表示帳戶可以繼續存取 Macie 產生和直接提供的統計資料和其他資料，同時為帳戶執行自動敏感資料探索。此外，如果 Macie 管理員設定敏感資料探索任務來分析帳戶的資料，後續任務執行將繼續包含帳戶擁有的資源。

我們建議您使用此方法，因為帳戶無法同時與多個 Macie 管理員帳戶建立關聯。如果您指定不同的帳戶做為組織的 Macie 管理員帳戶 AWS Organizations，則指定的管理員將無法透過邀請管理已與其他 Macie 管理員帳戶相關聯的帳戶。每個成員帳戶必須先取消與其目前以邀請為基礎的管理員帳戶的關聯。您組織的 Macie 管理員接著 AWS Organizations 可以將帳戶新增為 Macie 成員帳戶，並開始管理帳戶。

將 Macie 與 整合， AWS Organizations 並在 Macie 中設定組織後，您可以選擇為組織指定不同的 Macie 管理員帳戶。您也可以繼續使用邀請來關聯和管理不屬於您組織的成員帳戶 AWS Organizations。

# 在 Macie 中整合和設定組織
<a name="accounts-mgmt-ao-integrate"></a>

若要開始使用 Amazon Macie 搭配 AWS Organizations，組織的 AWS Organizations 管理帳戶會將帳戶指定為組織的委派 Macie 管理員帳戶。這可讓 Macie 成為 中的受信任服務 AWS Organizations。它還為指定的管理員帳戶在目前的 AWS 區域 中啟用 Macie，並允許指定的管理員帳戶為該區域中組織中的其他帳戶啟用和管理 Macie。如需如何授予這些許可的資訊，請參閱*AWS Organizations 《 使用者指南*》中的[使用 AWS Organizations 搭配其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 。

委派的 Macie 管理員接著會在 Macie 中設定組織，主要是透過將組織的帳戶新增為區域中的 Macie 成員帳戶。然後，管理員可以存取該區域中這些帳戶的特定 Macie 設定、資料和資源。他們也可以執行自動敏感資料探索和執行敏感資料探索任務，以偵測帳戶擁有的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的敏感資料。

本主題說明如何指定組織的委派 Macie 管理員，以及如何將組織的帳戶新增為 Macie 成員帳戶。執行這些任務之前，請確定您了解 [Macie 管理員和成員帳戶之間的關係](accounts-mgmt-relationships.md)。也建議您檢閱搭配使用 Macie 的[考量事項和建議](accounts-mgmt-ao-notes.md) AWS Organizations。

**Topics**
+ [步驟 1：驗證您的許可](#accounts-mgmt-ao-admin-designate-permissions)
+ [步驟 2：指定委派的 Macie 管理員帳戶](#accounts-mgmt-ao-admin-designate)
+ [步驟 3：自動啟用和新增組織帳戶](#accounts-mgmt-ao-members-autoenable)
+ [步驟 4：啟用和新增現有的組織帳戶](#accounts-mgmt-ao-members-add-existing)

若要在多個區域中整合和設定組織， AWS Organizations 管理帳戶和委派 Macie 管理員會在每個額外的區域中重複這些步驟。

## 步驟 1：驗證您的許可
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

在您為組織指定委派的 Macie 管理員帳戶之前，請確認您 （做為 AWS Organizations 管理帳戶的使用者） 可執行下列 Macie 動作：`macie2:EnableOrganizationAdminAccount`。此動作可讓您使用 Macie 為組織指定委派的 Macie 管理員帳戶。

同時確認您可執行下列 AWS Organizations 動作：
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

這些動作可讓您：擷取組織的相關資訊；將 Macie 與 整合 AWS Organizations；擷取 AWS 服務 已與之整合的資訊 AWS Organizations；以及為您的組織指定委派 Macie 管理員帳戶。

若要授予這些許可，請在您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式：

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

如果您想要將 AWS Organizations 管理帳戶指定為組織的委派 Macie 管理員帳戶，則您的帳戶也需要執行下列 IAM 動作的許可：`CreateServiceLinkedRole`。此動作可讓您為管理帳戶啟用 Macie。不過，根據 AWS 安全最佳實務和最低權限原則，我們不建議您這麼做。

如果您決定授予此許可，請將下列陳述式新增至 AWS Organizations 管理帳戶的 IAM 政策：

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

在 陳述式中，將 *111122223333* 取代為管理帳戶的帳戶 ID。

如果您想要在加入 AWS 區域 （預設為停用的區域） 中管理 Macie，也請在 `Resource`元素和 `iam:AWSServiceName`條件中更新 Macie 服務主體的值。值必須指定區域的區域代碼。例如，若要管理中東 （巴林） 區域中具有區域碼 *me-south-1* 的 Macie，請執行下列動作：
+ 在 `Resource`元素中，取代

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  取代為

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  其中 *111122223333* 指定管理帳戶的帳戶 ID，而 *me-south-1* 指定區域的區域代碼。
+ 在 `iam:AWSServiceName`條件中，將 取代`macie.amazonaws.com`為 `macie.me-south-1.amazonaws.com`，其中 *me-south-1* 指定區域的區域代碼。

如需目前可使用 Macie 的區域清單和每個區域代碼，請參閱 中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。若要判斷區域是否為選擇加入區域，請參閱*AWS 帳戶管理 《 使用者指南*》[AWS 區域 中的在您的帳戶中啟用或停用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) 。

## 步驟 2：指定組織的委派 Macie 管理員帳戶
<a name="accounts-mgmt-ao-admin-designate"></a>

驗證許可後，您 （以 AWS Organizations 管理帳戶的使用者身分） 可以為組織指定委派的 Macie 管理員帳戶。

**指定組織的委派 Macie 管理員帳戶**  
若要為您的組織指定委派 Macie 管理員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有 AWS Organizations 管理帳戶的使用者才能執行此任務。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台指定委派的 Macie 管理員帳戶。

**指定委派的 Macie 管理員帳戶**

1.  AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要為組織指定委派 Macie 管理員帳戶的區域。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 根據目前區域中的管理帳戶是否啟用 Macie，執行下列其中一項操作：
   + 如果 Macie 未啟用，請在歡迎頁面上選擇**開始使用**。
   + 如果啟用 Macie，請在導覽窗格中選擇**設定**。

1. 在**委派管理員**下，輸入您要指定為 Macie 管理員帳戶的 的 AWS 帳戶 12 位數帳戶 ID。

1. 選擇**委派**。

在您要將組織與 Macie 整合的每個額外區域中重複上述步驟。您必須在每個區域中指定相同的 Macie 管理員帳戶。

------
#### [ API ]

若要以程式設計方式指定委派的 Macie 管理員帳戶，請使用 Amazon Macie API 的 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作。若要在多個區域中指定帳戶，請提交您要將組織與 Macie 整合之每個區域的指定。您必須在每個區域中指定相同的 Macie 管理員帳戶。

當您提交指定時，請使用必要的 `adminAccountId` 參數來指定 AWS 帳戶 要指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。同時，請確定您指定了套用指定的區域。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 指定 Macie 管理員帳戶，請執行 [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) 命令。針對 `admin-account-id` 參數，指定 AWS 帳戶 要指定之 的 12 位數帳戶 ID。使用 `region` 參數來指定套用指定的區域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

其中 *us-east-1* 是指定適用的區域 （美國東部 （維吉尼亞北部） 區域），而 *111122223333* 是帳戶要指定的帳戶 ID。

------

在您為組織指定 Macie 管理員帳戶之後，Macie 管理員就可以開始在 Macie 中設定組織。

## 步驟 3：自動啟用和新增組織帳戶做為 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-autoenable"></a>

根據預設，當帳戶新增至您的組織時，不會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶不會自動新增為 Macie 成員帳戶。帳戶會出現在 Macie 管理員的帳戶庫存中。不過，Macie 不一定會為帳戶啟用，而且 Macie 管理員不一定會存取帳戶的 Macie 設定、資料和資源。

如果您是組織的委派 Macie 管理員，您可以變更此組態設定。您可以為組織開啟自動啟用。如果您這樣做，當帳戶新增至您的組織時，系統會自動為新帳戶啟用 Macie AWS Organizations。此外，帳戶會自動與您的 Macie 管理員帳戶建立關聯，做為成員帳戶。開啟此設定不會影響組織中現有的帳戶。若要為現有帳戶啟用和管理 Macie，您必須手動將帳戶新增為 Macie 成員帳戶。[下一個步驟](#accounts-mgmt-ao-members-add-existing)說明如何執行此操作。

**注意**  
如果您開啟自動啟用，請注意下列例外狀況。如果新帳戶已與不同的 Macie 管理員帳戶建立關聯，Macie 不會自動將該帳戶新增為組織中的成員帳戶。帳戶必須先取消與其目前 Macie 管理員帳戶的關聯，才能成為您在 Macie 中組織的一部分。然後，您可以手動新增帳戶。若要識別發生這種情況的帳戶，您可以[檢閱組織的帳戶庫存](accounts-mgmt-ao-review.md)。

**自動啟用和新增組織帳戶做為 Macie 成員帳戶**  
若要自動啟用新帳戶並將其新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

------
#### [ Console ]

若要使用 主控台執行此任務，您必須執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您有這些許可，請依照下列步驟自動啟用和新增組織帳戶做為 Macie 成員帳戶。

**自動啟用和新增組織帳戶**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要自動啟用的區域，並將新帳戶新增為 Macie 成員帳戶。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**帳戶**頁面**的新帳戶**區段中，選擇**編輯**。

1. 在**編輯新帳戶的設定**對話方塊中，選取**啟用 Macie**。

   若要同時為新成員帳戶自動啟用自動敏感資料探索，請選取**啟用自動敏感資料探索**。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

1. 選擇 **Save** (儲存)。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

若要後續變更這些設定，請重複上述步驟並清除每個設定的核取方塊。

------
#### [ API ]

若要以程式設計方式自動啟用和新增新的 Macie 成員帳戶，請使用 Amazon Macie API 的 [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html) 操作。當您提交請求時，請將 `autoEnable` 參數的值設定為 `true`。(預設值為 `false`。) 同時，請確定您指定請求套用的區域。若要在額外區域中自動啟用和新增新帳戶，請為每個額外區域提交請求。

如果您使用 AWS CLI 提交請求，請執行 [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html) 命令，並指定 `auto-enable` 參數以自動啟用和新增新帳戶。例如：

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

其中 *us-east-1* 是要在其中自動啟用和新增帳戶的區域，即美國東部 （維吉尼亞北部） 區域。

若要隨後變更此設定並自動停止啟用和新增帳戶，請再次執行相同的命令，並在每個適用的區域中使用 `no-auto-enable` 參數，而非 `auto-enable` 參數。

您也可以為新成員帳戶自動啟用自動敏感資料探索。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。若要自動為成員帳戶啟用此功能，請使用 [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。

------

## 步驟 4：啟用現有組織帳戶並將其新增為 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-add-existing"></a>

當您將 Macie 與 整合時 AWS Organizations，不會自動為您組織中的所有現有帳戶啟用 Macie。此外，帳戶不會自動關聯至委派的 Macie 管理員帳戶做為 Macie 成員帳戶。因此，在 Macie 中整合和設定組織的最後一個步驟是將現有的組織帳戶新增為 Macie 成員帳戶。當您將現有帳戶新增為 Macie 成員帳戶時，會自動為該帳戶啟用 Macie，而且您 （身為委派 Macie 管理員） 可以存取該帳戶的特定 Macie 設定、資料和資源。

請注意，您無法新增目前與另一個 Macie 管理員帳戶相關聯的帳戶。若要新增帳戶，請先與帳戶擁有者合作，取消帳戶與其目前管理員帳戶的關聯。此外，如果 Macie 目前為帳戶暫停，則無法新增現有帳戶。帳戶擁有者必須先重新啟用帳戶的 Macie。最後，如果您想要將 AWS Organizations 管理帳戶新增為成員帳戶，該帳戶的使用者必須先為帳戶啟用 Macie。

**啟用現有組織帳戶並將其新增為 Macie 成員帳戶**  
若要啟用現有組織帳戶並將其新增為 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。只有組織的委派 Macie 管理員才能執行此任務。

------
#### [ Console ]

若要使用 主控台執行此任務，您必須執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示組織中帳戶的相關資訊。如果您擁有這些許可，請依照下列步驟啟用並將現有帳戶新增為 Macie 成員帳戶。

**啟用和新增現有的組織帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要啟用的區域，並將現有帳戶新增為 Macie 成員帳戶。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您 Macie 帳戶相關聯的帳戶資料表。

   如果帳戶是組織中的一部分 AWS Organizations，則其**類型**為 **Via AWS Organizations**。如果帳戶已經是 Macie 成員帳戶，則其**狀態**為**已啟用**或**已暫停 （已暫停）**。

1. 在**現有帳戶**表格中，選取您要新增為 Macie 成員帳戶的每個帳戶的核取方塊。

1. 在**動作**功能表中，選擇**新增成員**。

1. 確認您要將選取的帳戶新增為成員帳戶。

在您確認新增選取的帳戶後，帳戶的狀態會變更為**啟用進行中**，然後**啟用**。新增成員帳戶後，您也可以為帳戶啟用自動敏感資料探索：在**現有帳戶**資料表中，選取每個帳戶的核取方塊以啟用該帳戶，然後在**動作**功能表上選擇**啟用自動敏感資料探索**。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

在您要在 Macie 中設定組織的每個額外區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式啟用和新增一或多個現有帳戶做為 Macie 成員帳戶，請使用 Amazon Macie API 的 [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。當您提交請求時，請使用支援的參數來指定 AWS 帳戶 要啟用和新增的每個 12 位數帳戶 ID 和電子郵件地址。同時指定請求套用的區域。若要在其他區域中啟用和新增現有帳戶，請為每個其他區域提交請求。

若要擷取 的帳戶 ID 和電子郵件地址 AWS 帳戶 以啟用和新增，您可以選擇使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。此操作提供與您的 Macie 帳戶相關聯的帳戶詳細資訊，包括非 Macie 成員帳戶的帳戶。如果帳戶 `relationshipStatus` 屬性的值不是 `Enabled`或 `Paused`，則帳戶不是 Macie 成員帳戶。

若要使用 啟用和新增一或多個現有帳戶 AWS CLI，請執行 [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) 命令。使用 `region` 參數來指定要在其中啟用和新增帳戶的 區域。使用 `account` 參數來指定 AWS 帳戶 每個要新增的帳戶 ID 和電子郵件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

其中 *us-east-1* 是啟用並將帳戶新增為 Macie 成員帳戶 （美國東部 （維吉尼亞北部） 區域） 的區域，而`account`參數會指定帳戶的帳戶 ID (*123456789012*) 和電子郵件地址 (*janedoe@example.com*)。

如果您的請求成功，指定帳戶的狀態 (`relationshipStatus`) 會在您的帳戶庫存`Enabled`中變更為 。

若要同時啟用一或多個帳戶的自動敏感資料探索，請使用 [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) 命令。如果您為帳戶啟用此功能，Macie 會持續從帳戶的 S3 儲存貯體選取範例物件，並分析物件以判斷是否包含敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

------

# 檢閱組織的 Macie 帳戶
<a name="accounts-mgmt-ao-review"></a>

在 Amazon Macie 中[整合和設定](accounts-mgmt-ao-integrate.md) AWS Organizations 組織後，委派的 Macie 管理員可以存取組織在 Macie 中帳戶的清查。身為組織的 Macie 管理員，您可以使用此庫存來檢閱 中組織的 Macie 帳戶的統計資料和詳細資訊 AWS 區域。您也可以使用它來執行帳戶[的特定管理任務](accounts-mgmt-ao-administer.md)。

**檢閱組織的 Macie 帳戶**  
若要檢閱組織的帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。如果您偏好使用 主控台，您必須被允許執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示屬於您組織一部分的帳戶資訊 AWS Organizations。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台檢閱組織的 Macie 帳戶。

**檢閱組織的帳戶**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要檢閱組織帳戶的 區域。

1. 在導覽窗格中，選擇**帳戶**。

**帳戶**頁面會開啟並顯示彙總的統計資料，以及目前中與您的 Macie 帳戶相關聯的帳戶資料表 AWS 區域。

在**帳戶**頁面頂端，您會找到下列彙總統計資料。

**透過 AWS Organizations**  
**Active** 會報告透過 與您的帳戶相關聯的帳戶總數， AWS Organizations 且目前是組織中的 Macie 成員帳戶。這些帳戶已啟用 Macie，而您是帳戶的 Macie 管理員。  
**所有** 都會報告與您的帳戶相關聯的帳戶總數 AWS Organizations。這包括目前不是 Macie 成員帳戶的帳戶。它還包括 Macie 目前暫停使用的成員帳戶。

**依邀請**  
**Active** 會透過 Macie 邀請報告與您帳戶相關聯的帳戶總數，且目前是您組織中的 Macie 成員帳戶。這些帳戶不會透過 與您的帳戶建立關聯 AWS Organizations。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員，因為他們接受了您的 Macie 成員資格邀請。  
**所有** 都會報告 Macie 邀請與您帳戶相關聯的帳戶總數，包括尚未回應您邀請的帳戶。

**作用中/全部**  
**Active** 會報告 Macie 目前在您的組織中啟用的帳戶總數，包括您自己的帳戶。您透過 AWS Organizations 或 Macie 邀請，成為這些帳戶的 Macie 管理員。  
**所有** 都會透過 AWS Organizations Macie 邀請，以及您自己的帳戶，報告與您帳戶相關聯的帳戶總數。這包括屬於您組織一部分的帳戶 AWS Organizations ，目前不是 Macie 成員帳戶。它還包括尚未回應您 Macie 成員資格邀請的任何帳戶。

在表格中，您會找到目前區域中每個帳戶的詳細資訊。資料表包含所有透過 Macie 邀請 AWS Organizations 或透過 Macie 邀請與您的 Macie 帳戶相關聯的帳戶。

**帳戶 ID**  
的帳戶 ID 和電子郵件地址 AWS 帳戶。

**名稱**  
的帳戶名稱 AWS 帳戶。對於您自己的帳戶，以及任何透過 Macie 邀請與您的帳戶相關聯的帳戶，此值通常為 **N/A**。

**類型**  
帳戶如何與您的帳戶建立關聯，可透過 Macie AWS Organizations 邀請或透過 Macie 邀請建立關聯。對於您自己的帳戶，此值為**目前帳戶**。

**狀態**  
您的帳戶與帳戶之間的關係狀態。對於 AWS Organizations 組織中的帳戶 (**類型**為**透過 AWS Organizations**)，可能的值為：  
+ **帳戶已暫停** – AWS 帳戶 已暫停。
+ **已啟用** – 帳戶是 Macie 成員帳戶。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員。
+ **啟用進行中** – Macie 正在處理啟用和新增帳戶為 Macie 成員帳戶的請求。
+ **不是成員** – 該帳戶是您組織的一部分， AWS Organizations 但不是 Macie 成員帳戶。
+ **暫停 （已暫停）** – 帳戶是 Macie 成員帳戶，但 Macie 目前已暫停該帳戶。
+ **區域已停用** – 帳戶是 中組織的一部分， AWS Organizations 但目前的 區域已停用 AWS 帳戶。
+ **已移除 （已取消關聯）** – 帳戶先前是 Macie 成員帳戶，但隨後以成員帳戶身分移除。您取消帳戶與 Macie 管理員帳戶的關聯。Macie 會繼續為帳戶啟用。

**上次狀態更新**  
當您或關聯帳戶最近執行的動作會影響帳戶之間的關係。

**自動化敏感資料探索**  
帳戶目前是否啟用或停用自動敏感資料探索。

若要依特定欄位排序資料表，請選擇欄位的欄位標題。若要變更排序順序，請再次選擇欄標題。若要篩選資料表，請將游標放在篩選方塊中，然後新增欄位的篩選條件。若要進一步精簡結果，請新增其他欄位的篩選條件。

------
#### [ API ]

若要以程式設計方式檢閱組織的帳戶，請使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作，並指定您的請求套用的區域。若要檢閱其他區域中的帳戶，請在每個其他區域中提交您的請求。

當您提交請求時，請使用 `onlyAssociated` 參數來指定要包含在回應中的帳戶。根據預設，Macie 只會透過 AWS Organizations 或透過 Macie 邀請傳回指定區域中屬於 Macie 成員帳戶的帳戶詳細資訊。若要擷取與您的 Macie 帳戶相關聯的所有帳戶的這些詳細資訊，包括非成員帳戶的帳戶，請在請求中包含 `onlyAssociated` 參數，並將 參數的值設定為 `false`。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 檢閱組織的帳戶，請執行 [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) 命令。針對 `only-associated` 參數，指定要包含所有相關聯的帳戶，還是只包含 Macie 成員帳戶。若要僅包含成員帳戶，請省略此參數，或將參數的值設定為 `true`。若要包含所有帳戶，請將此值設為 `false`。例如：

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

其中 *us-east-1* 是請求套用的區域，即美國東部 （維吉尼亞北部） 區域。

如果您的請求成功，Macie 會傳回`members`陣列。陣列包含每個帳戶符合請求中指定條件的`member`物件。在該物件中， `relationshipStatus` 欄位會指出您的帳戶與指定區域中其他帳戶之間關係的目前狀態。對於 AWS Organizations 組織中的帳戶，可能的值為：
+ `AccountSuspended` – AWS 帳戶 已暫停。
+ `Created` – Macie 正在處理啟用和新增帳戶做為 Macie 成員帳戶的請求。
+ `Enabled` – 帳戶是 Macie 成員帳戶。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員。
+ `Paused` – 帳戶是 Macie 成員帳戶，但 Macie 目前已暫停 （暫停） 帳戶。
+ `RegionDisabled` – 帳戶是 中組織的一部分， AWS Organizations 但目前的 區域已停用 AWS 帳戶。
+ `Removed` – 該帳戶先前是 Macie 成員帳戶，但隨後被移除為成員帳戶。您取消帳戶與 Macie 管理員帳戶的關聯。Macie 會繼續為帳戶啟用。

如需 `member` 物件中其他欄位的資訊，請參閱《*Amazon Macie API 參考*》中的[成員](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)。

------

# 管理組織的 Macie 成員帳戶
<a name="accounts-mgmt-ao-administer"></a>

在 Amazon Macie 中[整合和設定](accounts-mgmt-ao-integrate.md) AWS Organizations 組織後，組織的委派 Macie 管理員可以存取成員帳戶的特定 Macie 設定、資料和資源。身為組織的 Macie 管理員，您可以使用 Macie 集中執行帳戶的特定帳戶管理和管理任務。例如，您可以：
+ 新增和移除帳戶做為 Macie 成員帳戶。
+ 管理個別帳戶的 Macie 狀態，例如為帳戶啟用或停用 Macie。
+ 監控個別帳戶和整個組織的 Macie 配額和預估用量成本。

您也可以檢閱 Macie 成員帳戶的 Amazon Simple Storage Service (Amazon S3) 清查資料和政策調查結果。您也可以在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需您可以執行之任務的詳細清單，請參閱 [Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。

根據預設，Macie 可讓您查看組織中所有 Macie 成員帳戶的相關資料和資源。您也可以向下切入以檢閱個別帳戶的資料和資源。例如，如果您[使用摘要儀表板](monitoring-s3-dashboard.md)來評估組織的 Amazon S3 安全狀態，您可以依帳戶篩選資料。同樣地，如果您[監控預估用量成本](account-mgmt-costs.md)，您可以存取個別成員帳戶的預估成本明細。

除了管理員和成員帳戶常見的任務之外，您還可以為組織執行各種管理任務。

**Topics**
+ [新增成員帳戶](#accounts-mgmt-ao-members-add)
+ [暫停成員帳戶的 Macie](#accounts-mgmt-ao-members-suspend)
+ [移除成員帳戶](#accounts-mgmt-ao-members-remove)

身為組織的 Macie 管理員，您可以使用 Amazon Macie 主控台或 Amazon Macie API 來執行這些任務。如果您偏好使用 主控台，您必須允許 執行下列 AWS Organizations 動作：`organizations:ListAccounts`。此動作可讓您擷取和顯示屬於您組織一部分的帳戶相關資訊 AWS Organizations。

## 將 Macie 成員帳戶新增至組織
<a name="accounts-mgmt-ao-members-add"></a>

在某些情況下，您可能需要手動將 帳戶新增為 Amazon Macie 成員帳戶。對於您先前移除 （取消關聯） 為成員帳戶的帳戶，這是這種情況。如果您未將 Macie 設定為在 中將[帳戶新增至組織時自動啟用和新增新成員](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable)帳戶，也會發生這種情況 AWS Organizations。

當您將帳戶新增為 Macie 成員帳戶時：
+ 如果 Macie 尚未在 區域中啟用 AWS 區域，則會為目前 中的帳戶啟用 Macie。
+ 帳戶會與您的 Macie 管理員帳戶建立關聯，做為 區域中的成員帳戶。成員帳戶不會收到您在帳戶之間建立此關係的邀請或其他通知。
+ 區域中的帳戶可能會啟用自動化敏感資料探索。這取決於您為組織指定的組態設定。如需詳細資訊，請參閱[設定自動敏感資料探索](discovery-asdd-account-manage.md)。

請注意，您無法新增已與其他 Macie 管理員帳戶相關聯的帳戶。帳戶必須先取消與其目前管理員帳戶的關聯。此外，您無法將 AWS Organizations 管理帳戶新增為成員帳戶，除非該帳戶已啟用 Macie。若要了解其他需求，請參閱 [搭配 使用 Macie 的考量事項 AWS Organizations](accounts-mgmt-ao-notes.md)。

**將 Macie 成員帳戶新增至組織**  
若要將一或多個 Macie 成員帳戶新增至您的組織，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增一或多個 Macie 成員帳戶。

**新增 Macie 成員帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要新增成員帳戶的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。

1. （選用） 若要更輕鬆地識別組織中屬於 且 AWS Organizations 不是 Macie 成員帳戶的帳戶，請使用**現有帳戶**資料表上方的篩選方塊來新增下列篩選條件：
   + **類型 = 組織**
   + **狀態 = 不是成員**

   若要同時顯示您先前移除並可能想要新增為成員帳戶的帳戶，也請新增**狀態 = 已移除**的篩選條件。

1. 在**現有帳戶**表格中，選取您要新增為成員帳戶的每個帳戶的核取方塊。

1. 在**動作**功能表中，選擇**新增成員**。

1. 確認您要將選取的帳戶新增為成員帳戶。

確認選擇後，所選帳戶的狀態會變更為**啟用進行中**，然後在您的帳戶庫存中**啟用**。

若要在其他區域中新增成員帳戶，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式新增一或多個 Macie 成員帳戶，請使用 Amazon Macie API 的 [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。

當您提交請求時，請使用支援的參數來指定您要新增的每個 12 位數帳戶 ID AWS 帳戶 和電子郵件地址。同時指定請求套用的區域。若要在其他區域中新增帳戶，請在每個其他區域中提交您的請求。

若要擷取要新增的帳戶 ID 和電子郵件地址，您可以將 AWS Organizations API 的 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) 操作輸出與 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作建立關聯。對於 Macie API **ListMembers**的操作，請在請求中包含 `onlyAssociated` 參數，並將 參數的值設定為 `false`。如果操作成功，Macie 會傳回`members`陣列，提供與指定區域中 Macie 管理員帳戶關聯之所有帳戶的詳細資訊，包括目前非成員帳戶的帳戶。請注意陣列中的下列項目：
+ 如果帳戶 `relationshipStatus` 屬性的值不是 `Enabled`或 `Paused`，則帳戶會與您的帳戶相關聯，但不是 Macie 成員帳戶。
+ 如果 帳戶未包含在陣列中，但包含在 AWS Organizations API **ListAccounts**操作的輸出中，則該帳戶是您組織 AWS Organizations 的一部分，但不會與您的帳戶相關聯，因此， 不是 Macie 成員帳戶。

若要使用 AWS Command Line Interface (AWS CLI) 新增成員帳戶，請執行 [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) 命令。使用 `region` 參數來指定要在其中新增帳戶的 區域。使用 `account` 參數來指定要新增的每個帳戶的帳戶 ID 和電子郵件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

其中 *us-east-1* 是將帳戶新增為成員帳戶 （美國東部 （維吉尼亞北部） 區域） 的區域，而`account`參數會指定帳戶的帳戶 ID (*123456789012*) 和電子郵件地址 (*janedoe@example.com*)。

如果您的請求成功，指定帳戶的狀態 (`relationshipStatus`) 會在您的帳戶庫存`Enabled`中變更為 。

------

## 暫停組織中成員帳戶的 Macie
<a name="accounts-mgmt-ao-members-suspend"></a>

身為 中組織的 Amazon Macie 管理員 AWS Organizations，您可以暫停組織中成員帳戶的 Macie。如果您這樣做，您也可以稍後為帳戶重新啟用 Macie。

當您暫停成員帳戶的 Macie 時：
+ Macie 無法存取並停止提供目前帳戶中 Amazon S3 資料的中繼資料 AWS 區域。
+ Macie 會停止為 區域中的帳戶執行所有活動。這包括監控 S3 儲存貯體的安全性和存取控制、執行自動敏感資料探索，以及執行目前正在進行的敏感資料探索任務。
+ Macie 會取消帳戶在 區域中建立的所有敏感資料探索任務。任務在取消後無法繼續或重新啟動。如果您建立任務來分析成員帳戶擁有的資料，Macie 不會取消您的任務。相反地，任務會略過帳戶擁有的資源。

暫停時，Macie 會保留工作階段識別符、設定和資源，以存放或維護適用區域中的帳戶。Macie 也會保留 區域中帳戶的特定資料。例如，帳戶的調查結果保持不變，且在長達 90 天內不會受到影響。如果已為帳戶啟用自動敏感資料探索，現有的結果也會保持不變，且不會受到影響長達 30 天。當 Macie 暫停該區域中的帳戶時，您的組織不會針對該區域中的帳戶產生 Macie 費用。

**暫停組織中成員帳戶的 Macie**  
若要暫停組織中成員帳戶的 Macie，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台暫停成員帳戶的 Macie。

**暫停成員帳戶的 Macie**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要為成員帳戶暫停 Macie 的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取要暫停 Macie 之帳戶的核取方塊。

1. 在**動作**功能表中，選擇**暫停 Macie**。

1. 確認您要暫停帳戶的 Macie。

確認停用後，帳戶庫存中的帳戶狀態會變更為**已暫停 （已暫停）**。若要在其他區域中暫停帳戶的 Macie，請在每個其他區域中重複上述步驟。

若要稍後重新啟用帳戶的 Macie，請返回 主控台上的**帳戶**頁面。選取帳戶的核取方塊，然後在**動作**功能表中選擇**啟用 Macie**。若要為其他區域中的帳戶重新啟用 Macie，請在每個其他區域中重複這些步驟。

------
#### [ API ]

若要以程式設計方式暫停成員帳戶的 Macie，請使用 Amazon Macie API 的 [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html) 操作。您也可以使用此操作來稍後為帳戶重新啟用 Macie。

當您提交請求時，請使用 `id` 參數來指定您要暫停 Macie 的 AWS 帳戶 的 12 位數帳戶 ID。針對 `status` 參數，請指定 `PAUSED`。同時指定請求套用的區域。若要為其他區域中的帳戶暫停 Macie，請在每個其他區域中提交您的請求。

若要擷取帳戶的帳戶 ID，您可以使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果您這樣做，請考慮在請求中包含 `onlyAssociated` 參數來篩選結果。如果您將此參數的值設定為 `true`，Macie 會傳回`members`陣列，僅提供目前為成員帳戶之帳戶的詳細資訊。

若要使用 暫停成員帳戶的 Macie AWS CLI，請執行 [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html) 命令。使用 `region` 參數來指定要在其中暫停帳戶的 Macie 的區域。使用 `id` 參數來指定帳戶的帳戶 ID。針對 `status` 參數，請指定 `PAUSED`。例如：

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

其中 *us-east-1* 是暫停 Macie （美國東部 （維吉尼亞北部） 區域） 的區域，*123456789012* 是暫停 Macie 帳戶的帳戶 ID，而 `PAUSED` 是 Macie 帳戶的新狀態。

如果您的請求成功，Macie 會傳回空的回應，並在您的帳戶庫存`Paused`中將指定帳戶的狀態變更為 。若要稍後為帳戶重新啟用 Macie，請再次執行 **update-member-session**命令，並為 `status` 參數指定 `ENABLED` 。

------

## 從組織移除 Macie 成員帳戶
<a name="accounts-mgmt-ao-members-remove"></a>

如果您想要停止存取成員帳戶的 Amazon Macie 設定、資料和資源，您可以將帳戶移除為 Macie 成員帳戶。您可以透過取消帳戶與 Macie 管理員帳戶的關聯來執行此操作。請注意，只有您可以為成員帳戶執行此操作。 AWS Organizations 成員帳戶無法與其 Macie 管理員帳戶取消關聯。

當您移除 Macie 成員帳戶時，Macie 仍為目前帳戶啟用 AWS 區域。不過，帳戶會與您的 Macie 管理員帳戶取消關聯，並成為獨立的 Macie 帳戶。這表示您無法存取帳戶的所有 Macie 設定、資料和資源，包括帳戶的 Amazon S3 資料的中繼資料和政策調查結果。這也表示您無法再使用 Macie 在帳戶擁有的 S3 儲存貯體中探索敏感資料。如果您已建立敏感資料探索任務來執行此操作，任務會略過帳戶擁有的儲存貯體。如果您為帳戶啟用了自動敏感資料探索，您和成員帳戶都會無法存取 Macie 在為帳戶執行自動探索時產生和直接提供的統計資料、庫存資料和其他資訊。

移除 Macie 成員帳戶後，帳戶會繼續出現在您的帳戶庫存中。Macie 不會通知帳戶的擁有者您已移除帳戶。因此，請考慮聯絡帳戶擁有者，以確保他們開始管理其帳戶的設定和資源。

您可以稍後再次將帳戶新增至您的組織。如果您這樣做，並在 30 天內再次為帳戶啟用自動敏感資料探索，您也可以在為帳戶執行自動探索時，重新取得 Macie 先前產生和直接提供的資料和資訊的存取權。此外，現有任務的後續執行會再次開始包含帳戶的 S3 儲存貯體。

**從組織移除 Macie 成員帳戶**  
若要從組織中移除 Macie 成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台移除 Macie 成員帳戶。

**移除 Macie 成員帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要移除成員帳戶的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取您要以成員帳戶身分移除之帳戶的核取方塊。

1. 在**動作**功能表中，選擇**取消帳戶關聯**。

1. 確認您想要將選取的帳戶移除為成員帳戶。

確認選擇後，帳戶庫存中的帳戶狀態會變更為**已移除 （已取消關聯）**。

若要移除其他區域中的成員帳戶，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式移除 Macie 成員帳戶，請使用 Amazon Macie API 的 [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html) 操作。

當您提交請求時，請使用 `id` 參數指定要移除之成員帳戶的 12 位數 AWS 帳戶 ID。同時指定請求套用的區域。若要移除其他區域中的帳戶，請在每個其他區域中提交您的請求。

若要擷取要移除之成員帳戶的帳戶 ID，您可以使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果您這樣做，請考慮在請求中包含 `onlyAssociated` 參數來篩選結果。如果您將此參數的值設定為 `true`，Macie 會傳回`members`陣列，僅提供目前為 Macie 成員帳戶之帳戶的詳細資訊。

若要使用 移除 Macie 成員帳戶 AWS CLI，請執行 [disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) 命令。使用 `region` 參數來指定要在其中移除帳戶的 區域。使用 `id` 參數指定要移除之成員帳戶的帳戶 ID。例如：

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

其中 *us-east-1* 是移除帳戶的區域 （美國東部 （維吉尼亞北部） 區域），而 *123456789012* 是帳戶要移除的帳戶 ID。

如果您的請求成功，Macie 會傳回空的回應，並在您的帳戶庫存`Removed`中將指定帳戶的狀態變更為 。

------

# 變更組織的 Macie 管理員帳戶
<a name="accounts-mgmt-ao-admin-change"></a>

在 Amazon Macie 中[整合和設定](accounts-mgmt-ao-integrate.md) AWS Organizations 組織之後， AWS Organizations 管理帳戶可以將不同的帳戶指定為組織的委派 Macie 管理員帳戶。然後，新的 Macie 管理員可以再次在 Macie 中設定組織。

身為組織的 AWS Organizations 管理帳戶使用者，請先確認您符合下列許可要求，再為組織指定不同的 Macie 管理員帳戶：
+ 您必須擁有最初為組織指定 Macie 管理員帳戶所需的[相同許可](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions)。您也必須被允許執行下列 AWS Organizations 動作：`organizations:DeregisterDelegatedAdministrator`。此額外動作可讓您移除目前的指定項目。
+ 如果您的帳戶目前是 Macie 成員帳戶，目前的 Macie 管理員必須將您的帳戶移除為 Macie 成員帳戶。否則，您將無法存取 Macie 操作來指定不同的管理員帳戶。指定新的管理員帳戶後，新的 Macie 管理員可以再次將您的帳戶新增為 Macie 成員帳戶。

如果您的組織在多個 中使用 Macie AWS 區域，也請確定您在組織使用 Macie 的每個區域中變更指定。委派的 Macie 管理員帳戶在所有這些區域中都必須相同。如果您在 中管理多個組織 AWS Organizations，也請注意，帳戶一次只能是一個組織的委派 Macie 管理員帳戶。若要了解其他需求，請參閱 [搭配 使用 Macie 的考量事項 AWS Organizations](accounts-mgmt-ao-notes.md)。

**注意**  
當您為組織指定不同的 Macie 管理員帳戶時，也會停用存取現有的統計資料、庫存資料，以及 Macie 在為組織中的帳戶執行[自動敏感資料探索](discovery-asdd.md)時產生和直接提供的其他資訊。新的 Macie 管理員無法存取現有的資料。如果您變更指定，且新的 Macie 管理員啟用帳戶的自動探索，則 Macie 會在為帳戶執行自動探索時產生和維護新資料。

**變更 Macie 管理員帳戶的指定**  
若要為您的組織指定不同的 Macie 管理員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie 和 AWS Organizations APIs的組合。只有 AWS Organizations 管理帳戶的使用者可以變更其組織的指定。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台變更指定項目。

**變更指定項目**

1.  AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要變更指定的區域。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 根據目前區域中的管理帳戶是否啟用 Macie，執行下列其中一項操作：
   + 如果 Macie 未啟用，請在歡迎頁面上選擇**開始使用**。
   + 如果啟用 Macie，請在導覽窗格中選擇**設定**。

1. 在**委派管理員**下，選擇**移除**。若要變更指定，您必須先移除目前的指定。

1. 確認您想要移除目前的指定。

1. 在**委派管理員**下，輸入 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

1. 選擇**委派**。

在您整合 Macie 的每個額外區域中重複上述步驟 AWS Organizations。

------
#### [ API ]

若要以程式設計方式變更指定，您可以使用 Amazon Macie API 的兩個操作和 AWS Organizations API 的一個操作。這是因為在提交新的指定 AWS Organizations 之前，您必須移除 Macie 和 中的目前指定。

若要移除目前的指定項目：

1. 使用 Macie API 的 [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作。針對必要的`adminAccountId`參數，指定目前指定為組織 Macie 管理員帳戶的 AWS 帳戶 12 位數帳戶 ID。

1. 使用 API 的 AWS Organizations [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。針對 `AccountId` 參數，指定目前指定為組織 Macie 管理員帳戶的 12 位數帳戶 ID。此值應與您在上述 Macie 請求中指定的帳戶 ID 相符。針對 `ServicePrincipal` 參數，指定 Macie 服務主體 (`macie.amazonaws.com`)。

移除目前的指定之後，請使用 Macie API 的 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) 操作來提交新的指定。針對必要的`adminAccountId`參數，指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。

若要使用 AWS Command Line Interface (AWS CLI) 變更指定，請執行 Macie API 的 [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html) 命令和 AWS Organizations API 的 [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html) 命令。這些命令會 AWS Organizations分別移除 Macie 和 中的目前指定項目。針對 `admin-account-id`和 `account-id` 參數，指定 AWS 帳戶 要移除的 12 位數帳戶 ID，做為目前的 Macie 管理員帳戶。使用 `region` 參數來指定要套用移除的區域。例如：

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

其中：
+ *us-east-1* 是套用移除的區域，美國東部 （維吉尼亞北部） 區域。
+ *111122223333* 是做為 Macie 管理員帳戶移除的帳戶 ID。
+ `macie.amazonaws.com` 是 Macie 服務主體。

移除目前的指定之後，請執行 Macie API 的 [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) 命令來提交新的指定。針對 `admin-account-id` 參數，指定 AWS 帳戶 要指定為組織新 Macie 管理員帳戶的 12 位數帳戶 ID。使用 `region` 參數來指定套用指定的區域。例如：

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

其中 *us-east-1* 是指定適用的區域 （美國東部 （維吉尼亞北部） 區域），而 *444455556666* 是要指定為新 Macie 管理員帳戶的帳戶 ID。

------

# 停用 Macie 與 的整合 AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

 AWS Organizations 組織與 Amazon Macie 整合後， AWS Organizations 管理帳戶隨後可以停用整合。身為 AWS Organizations 管理帳戶的使用者，您可以停用 Macie in 的受信任服務存取權來執行此操作 AWS Organizations。

當您停用 Macie 的受信任服務存取時，會發生下列情況：
+ Macie 失去其信任服務的狀態 AWS Organizations。
+ 組織的 Macie 管理員帳戶會失去所有 Macie 成員帳戶的所有 Macie 設定、資料和資源的存取權 AWS 區域。
+ 所有 Macie 成員帳戶都會成為獨立的 Macie 帳戶。如果 Macie 已在一或多個區域中為成員帳戶啟用，Macie 會繼續為這些區域中的帳戶啟用。不過，該帳戶不會再與任何區域中的 Macie 管理員帳戶相關聯。此外，帳戶會失去存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動敏感資料探索時所產生和直接提供的其他資訊。

如需停用受信任服務存取結果的詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[使用 AWS Organizations 搭配其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 。

**停用 Macie 的受信任服務存取**  
若要停用信任的服務存取，您可以使用 AWS Organizations 主控台或 AWS Organizations API。只有 AWS Organizations 管理帳戶的使用者才能停用 Macie 的受信任服務存取。如需所需許可的詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[停用信任存取所需的許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。

在您停用受信任的服務存取之前，您可以選擇與組織的委派 Macie 管理員合作，以暫停或停用成員帳戶的 Macie，以及清除帳戶的 Macie 資源。

------
#### [ Console ]

若要使用 AWS Organizations 主控台停用受信任的服務存取，請遵循下列步驟。

**若要停用受信任的服務存取**

1.  AWS 管理主控台 使用您的 AWS Organizations 管理帳戶登入 。

1. 在 https：//[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) 開啟 AWS Organizations 主控台。

1. 在導覽窗格中，選擇**服務**。

1. 在**整合式服務**下，選擇 **Amazon Macie**。

1. 選擇**停用受信任的存取**。

1. 確認您要停用信任的存取。

------
#### [ API ]

若要以程式設計方式停用受信任的服務存取，請使用 AWS Organizations API 的 [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) 操作。針對 `ServicePrincipal` 參數，指定 Macie 服務主體 (`macie.amazonaws.com`)。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 停用信任的服務存取，請執行 AWS Organizations API 的 [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 命令。針對 `service-principal` 參數，指定 Macie 服務主體 (`macie.amazonaws.com`)。例如：

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------

# 依邀請管理多個 Macie 帳戶
<a name="accounts-mgmt-invitations"></a>

**注意**  
建議使用 AWS Organizations 而非 Macie 邀請來管理成員帳戶。如需詳細資訊，請參閱[使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)。

您可以透過兩種方式集中管理多個 Amazon Macie 帳戶，方法是整合 Macie 與 AWS Organizations 或使用成員資格邀請。如果您使用成員資格邀請，則指定的 Macie 管理員可以管理最多 1，000 個帳戶的 Macie。管理員也可以存取 Amazon Simple Storage Service (Amazon S3) 清查資料，並在帳戶擁有的 S3 儲存貯體中探索敏感資料。如需管理員可執行之任務的詳細資訊，請參閱 [Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。

在以邀請為基礎的組織中，您可以透過在 Macie 中傳送和接受成員資格邀請，將 Macie 帳戶彼此建立關聯。如果您傳送邀請，且另一個帳戶接受該邀請，則您成為另一個帳戶的 Macie 管理員，而另一個帳戶成為組織中的成員帳戶。如果您收到並接受邀請，您的帳戶會成為成員帳戶，Macie 管理員可以存取您帳戶的特定 Macie 設定、資料和資源。

如果您在 Macie 中建立以邀請為基礎的組織，您之後可以改為[使用 。 AWS Organizations](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-transition-ao)您也可以同時使用這兩種方法來管理多個 Macie 帳戶。例如，如果您 AWS 的環境包含測試帳戶，您可以從 中的組織排除帳戶， AWS Organizations 並透過邀請分別管理這些帳戶。

本節中的主題說明如何建立和參與以邀請為基礎的組織，以及如何為組織執行各種管理任務。

**Topics**
+ [考量事項和建議](accounts-mgmt-invitations-notes.md)
+ [建立和管理組織](accounts-mgmt-invitations-administer.md)
+ [檢閱組織帳戶](accounts-mgmt-invitations-review.md)
+ [變更管理員帳戶](accounts-mgmt-invitations-admin-change.md)
+ [管理組織中的成員資格](accounts-mgmt-invitations-membership-manage.md)

# Macie 中邀請型組織的考量事項
<a name="accounts-mgmt-invitations-notes"></a>

**注意**  
建議使用 AWS Organizations 而非 Macie 邀請來管理成員帳戶。如需詳細資訊，請參閱[使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)。

在 Amazon Macie 中建立或開始管理以邀請為基礎的組織之前，請考慮下列要求和建議。此外，請確定您了解 [Macie 管理員與成員帳戶之間的關係](accounts-mgmt-relationships.md)。

**Topics**
+ [選擇 Macie 管理員帳戶](#accounts-mgmt-invitations-notes-admin-designate)
+ [傳送邀請和管理 Macie 成員帳戶](#accounts-mgmt-invitations-notes-members-manage)
+ [回應和管理成員資格邀請](#accounts-mgmt-invitations-notes-invitations-manage)
+ [轉換為 AWS Organizations](#accounts-mgmt-invitations-notes-transition-ao)

## 選擇 Macie 管理員帳戶
<a name="accounts-mgmt-invitations-notes-admin-designate"></a>

當您判斷哪個帳戶應該是組織的 Macie 管理員帳戶時，請記住下列事項：
+ 組織只能有一個 Macie 管理員帳戶。
+ 帳戶不能同時是 Macie 管理員和成員帳戶。
+ Macie 是區域性服務。這表示 Macie 管理員帳戶與成員帳戶之間的關聯是區域性的 - 關聯僅存在於 AWS 區域 邀請傳送和接受的 中。例如，如果 Macie 管理員在美國東部 （維吉尼亞北部） 區域傳送邀請並接受這些邀請，則 Macie 管理員只能管理該區域中的成員帳戶。
+ 若要集中管理多個 中的 Macie 帳戶 AWS 區域，Macie 管理員必須登入組織目前使用或計劃使用 Macie 的每個區域，並將邀請傳送至每個區域中的適當帳戶。如需目前可使用 Macie 的區域清單，請參閱《》中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。
+ 一個成員帳戶一次只能與一個 Macie 管理員帳戶建立關聯。如果您的組織在多個區域中使用 Macie，這表示所有這些區域中的 Macie 管理員帳戶必須相同。不過，管理員和成員帳戶必須在每個區域中分別傳送和接受邀請。

如果 Macie 管理員的 AWS 帳戶 被暫停、隔離或關閉，所有相關聯的成員帳戶都會自動移除為成員帳戶，但 Macie 會繼續為帳戶啟用。這些帳戶會成為獨立的 Macie 帳戶。如果已為成員帳戶啟用[自動敏感資料探索](discovery-asdd.md)，則會為該帳戶停用。這也會停用存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動探索時產生和直接提供的其他資訊。30 天後，此資料會過期，Macie 會將其永久刪除。若要在資料過期之前還原對資料的存取，請還原 Macie 管理員的 AWS 帳戶，然後使用該帳戶再次建立和設定組織。

## 傳送邀請和管理 Macie 成員帳戶
<a name="accounts-mgmt-invitations-notes-members-manage"></a>

身為邀請型組織的 Macie 管理員，當您傳送邀請和管理組織中的帳戶時，請謹記下列事項：
+ 如果您傳送邀請，相關資料可能會傳輸到 AWS 區域。這是因為 Macie 使用僅在美國東部 （維吉尼亞北部） 區域運作的電子郵件驗證服務來驗證接收帳戶的電子郵件地址。
+ 您可以向任何作用中的 傳送邀請 AWS 帳戶，包括尚未啟用 Macie 的帳戶。不過，若要接受或拒絕邀請，接收帳戶必須在傳送邀請的 區域中啟用 Macie。
+ 在每個帳戶中 AWS 區域，Macie 管理員帳戶可以透過邀請與不超過 1，000 個帳戶建立關聯。這包括尚未回應邀請的帳戶。如果您的帳戶符合此配額，則無法新增或邀請其他帳戶。若要判斷目前有多少帳戶與您的帳戶相關聯，您可以使用 Amazon Macie 主控台上的**帳戶**頁面或 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如需詳細資訊，請參閱[檢閱以邀請為基礎的組織的 Macie 帳戶](accounts-mgmt-invitations-review.md)。

  若要減少關聯帳戶的數量，您可以：刪除與目前非成員帳戶之帳戶的關聯、移除必要的成員帳戶數量，或兩者的組合。如果帳戶從您的組織退出或拒絕您傳送的邀請，也會減少與您帳戶相關聯的帳戶數量。
+ 一個帳戶一次只能與一個 Macie 管理員帳戶建立關聯。這表示如果帳戶已與其他 Macie 管理員帳戶建立關聯，則無法接受您的邀請。帳戶必須先取消與其目前 Macie 管理員帳戶的關聯。
+ 在以邀請為基礎的組織中，成員帳戶可以隨時取消與其 Macie 管理員帳戶的關聯。如果發生這種情況，則會繼續為帳戶啟用 Macie，但帳戶會成為獨立的 Macie 帳戶。如果成員帳戶與您的管理員帳戶取消關聯，Macie 不會通知您。不過，帳戶會繼續出現在您的帳戶庫存中，且狀態為**成員已退出**。
+ 如果您從組織移除成員帳戶，則會繼續為該帳戶啟用 Macie。帳戶會成為獨立的 Macie 帳戶。

## 回應和管理成員資格邀請
<a name="accounts-mgmt-invitations-notes-invitations-manage"></a>

身為邀請的收件人或邀請型組織的成員，當您回應和管理您收到的邀請時，請謹記下列事項：
+ 在您接受邀請之前，請確定您了解 [Macie 管理員與成員帳戶之間的關係](accounts-mgmt-relationships.md)。
+ 您的帳戶一次只能與一個 Macie 管理員帳戶建立關聯。如果您接受邀請並隨後想要加入另一個組織 （透過邀請或透過 AWS Organizations)，您必須先取消您的帳戶與其目前 Macie 管理員帳戶的關聯。然後，您可以加入另一個組織。
+ 若要接受或拒絕邀請，您必須在傳送邀請 AWS 區域 的 中啟用 Macie。傳送邀請的帳戶無法為您在該區域中啟用 Macie。拒絕邀請是選用的。如果您拒絕邀請，您可以在拒絕邀請後選擇性地停用適用區域中的 Macie。
+ 如果您是 Macie 管理員，則無法接受成為成員帳戶的邀請 - 帳戶不能同時是 Macie 管理員和成員帳戶。若要成為成員帳戶，您必須先從目前組織移除所有成員帳戶，將您的帳戶與其所有成員帳戶取消關聯。
+ Macie 是區域性服務。如果您接受邀請，則您的帳戶與 Macie 管理員帳戶之間的關聯為區域性 - 關聯僅在邀請 AWS 區域 傳送和接受的 中存在。
+ 如果您在多個區域中使用 Macie，您帳戶的 Macie 管理員帳戶在所有這些區域中都必須相同。不過，Macie 管理員必須在每個區域中分別傳送邀請給您，而且您必須在每個區域中分別接受邀請。
+ 您可以隨時取消帳戶與 Macie 管理員帳戶的關聯。同樣地，您的 Macie 管理員可以隨時將您的帳戶從組織中移除。如果發生任一情況：
  + Macie 會繼續為您的帳戶啟用。您的帳戶會成為獨立的 Macie 帳戶。
  + 如果已啟用，則會停用您帳戶的自動化敏感資料探索。這也會停用存取現有的統計資料、庫存資料，以及 Macie 在為您的帳戶執行自動探索時所產生和直接提供的其他資訊。您可以再次為您的帳戶啟用自動探索。不過，這不會還原對現有資料的存取。相反地，Macie 會在為您的帳戶執行自動探索時產生和維護新資料。

## 轉換為 AWS Organizations
<a name="accounts-mgmt-invitations-notes-transition-ao"></a>

在 Macie 中建立以邀請為基礎的組織之後，您可以 AWS Organizations 改為使用 。為了簡化轉換，我們建議您將現有的邀請型管理員帳戶指定為組織的 Macie 管理員帳戶 AWS Organizations。

如果您這樣做，所有目前關聯的成員帳戶都會繼續成為成員。如果成員帳戶是 組織的一部分 AWS Organizations，帳戶的關聯會自動從**邀請**變更為 Macie 中的 **Via AWS Organizations**。如果成員帳戶不屬於 中的組織 AWS Organizations，則該帳戶的關聯會繼續為**邀請**。在這兩種情況下，帳戶都會繼續以成員帳戶的形式與 Macie 管理員帳戶建立關聯。對於敏感資料探索，這也表示帳戶可以繼續存取 Macie 產生和直接提供的統計資料和其他資料，同時為帳戶執行自動敏感資料探索。此外，如果 Macie 管理員設定敏感資料探索任務來分析帳戶的資料，後續任務執行將繼續包含帳戶擁有的資源。

我們建議您使用此方法，因為成員帳戶一次只能與一個 Macie 管理員帳戶建立關聯。如果您將不同的帳戶指定為 中組織的 Macie 管理員帳戶 AWS Organizations，則指定的管理員將無法透過邀請管理已與其他 Macie 管理員帳戶相關聯的帳戶。每個成員帳戶必須先取消與其目前以邀請為基礎的管理員帳戶的關聯。只有在那時， AWS Organizations 組織的 Macie 管理員才能將成員帳戶新增至其組織，並開始管理帳戶的 Macie。

將 Macie 與 整合 AWS Organizations 並在 Macie 中設定組織之後，您可以選擇為組織指定不同的 Macie 管理員帳戶。您也可以繼續使用邀請來關聯和管理不屬於您組織的成員帳戶 AWS Organizations。

如需整合 Macie 與 的相關資訊 AWS Organizations，請參閱 [使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)。

# 在 Macie 中建立和管理以邀請為基礎的組織
<a name="accounts-mgmt-invitations-administer"></a>

**注意**  
建議使用 AWS Organizations 而非 Macie 邀請來管理成員帳戶。如需詳細資訊，請參閱[使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)。

若要在 Amazon Macie 中建立邀請型組織，請先決定您要成為組織的 Macie 管理員帳戶。然後，您可以使用該帳戶來新增成員帳戶，您可以將成員邀請傳送給其他帳戶 AWS 帳戶，邀請帳戶在目前的 中以 Macie 成員帳戶的形式加入組織 AWS 區域。若要在多個區域中建立組織，請從其他帳戶目前使用或計劃使用 Macie 的每個區域中傳送成員資格邀請。

當帳戶接受邀請時，它會成為與適用區域中 Macie 管理員帳戶相關聯的 Macie 成員帳戶。Macie 管理員帳戶接著可以存取該區域中成員帳戶的特定 Macie 設定、資料和資源。

身為邀請型組織的 Macie 管理員，您可以檢閱成員帳戶的 Amazon Simple Storage Service (Amazon S3) 清查資料和政策調查結果。您也可以啟用自動化敏感資料探索，並執行敏感資料探索任務，以偵測成員帳戶擁有的 S3 儲存貯體中的敏感資料。如需您可以執行之任務的詳細清單，請參閱 [Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。

根據預設，Macie 可讓您了解組織整體的相關資料和資源。您也可以向下切入，以檢閱組織中個別帳戶的資料和資源。例如，如果您[使用摘要儀表板](monitoring-s3-dashboard.md)來評估組織的 Amazon S3 安全狀態，您可以依帳戶篩選資料。同樣地，如果您[監控預估用量成本](account-mgmt-costs.md)，您可以存取個別成員帳戶的預估成本明細。

除了管理員和成員帳戶常見的任務之外，您還可以集中為您的組織執行各種管理任務。在您執行這些任務之前，最好先檢閱在 Macie 中管理邀請型組織的[考量事項和建議](accounts-mgmt-invitations-notes.md)。

**Topics**
+ [新增成員帳戶](#accounts-mgmt-invitations-members-add)
+ [暫停成員帳戶的 Macie](#accounts-mgmt-invitations-members-suspend)
+ [移除成員帳戶](#accounts-mgmt-invitations-members-remove)
+ [刪除與其他帳戶的關聯](#accounts-mgmt-invitations-members-disassociate)

## 將 Macie 成員帳戶新增至以邀請為基礎的組織
<a name="accounts-mgmt-invitations-members-add"></a>

身為邀請型組織的 Amazon Macie 管理員，您可以執行兩個主要步驟，將成員帳戶新增至您的組織：

1. 在 Macie 中將帳戶新增至您的帳戶庫存。這會將帳戶與您的帳戶建立關聯。

1. 傳送成員資格邀請給帳戶。

當帳戶接受您的邀請時，它會成為組織中的成員帳戶。

### 步驟 1：新增帳戶
<a name="accounts-mgmt-invitations-members-add-associate"></a>

若要將一或多個帳戶新增至您的帳戶庫存，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

使用 Amazon Macie 主控台，您可以一次新增一個帳戶，或透過上傳逗號分隔值 (CSV) 檔案同時新增多個帳戶。請依照下列步驟，使用 主控台新增一或多個帳戶。

**若要新增一個帳戶**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要新增帳戶的 區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示目前與您帳戶相關聯的帳戶資料表。

1. 選擇 **Add accounts (新增帳戶)**。

1. 在**輸入帳戶詳細資訊**區段中，選擇**新增帳戶**。然後執行下列動作：
   + 針對**帳戶 ID**，輸入 AWS 帳戶 要新增的 12 位數帳戶 ID。
   + 對於**電子郵件地址**，輸入 AWS 帳戶 要新增的電子郵件地址。

1. 選擇**新增**。

1. 請選擇頁面最下方的 **Next** (下一頁)。

Macie 會將帳戶新增至您的帳戶庫存。帳戶的類型為**邀請**，其狀態為**已建立**。若要在其他區域中新增帳戶，請在每個其他區域中重複上述步驟。

**新增多個帳戶**

1. 使用文字編輯器建立 CSV 檔案，如下所示：

   1. 新增下列標頭做為檔案的第一行： `Account ID,Email`

   1. 對於每個帳戶，建立一個新行，其中包含 AWS 帳戶 要新增的 的 12 位數帳戶 ID 和帳戶的電子郵件地址。以逗號分隔項目，例如： `111111111111,janedoe@example.com`

      電子郵件地址必須符合與 相關聯的電子郵件地址 AWS 帳戶。

   1. 確認檔案的內容格式如下列範例所示，其中包含三個帳戶的必要標頭和資訊：

      ```
      Account ID,Email
      111111111111,janedoe@example.com
      222222222222,jorgesouza@example.com
      333333333333,lijuan@example.com
      ```

   1. 將檔案儲存在電腦上。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的選擇 AWS 區域 器，選擇您要新增帳戶的 區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示目前與您帳戶相關聯的帳戶資料表。

1. 選擇 **Add accounts (新增帳戶)**。

1. 在**輸入帳戶詳細資訊**區段中，選擇**上傳清單 (CSV)**。

1. 選擇**瀏覽**，然後選取您在步驟 1 中建立的 CSV 檔案。

1. 選擇 **Add accounts (新增帳戶)**。

1. 請選擇頁面最下方的 **Next** (下一頁)。

Macie 會將帳戶新增至您的帳戶庫存。其類型為**邀請**，其狀態為**已建立**。若要在其他區域中新增帳戶，請在每個其他區域中重複步驟 3 到 8。

------
#### [ API ]

若要以程式設計方式新增一或多個帳戶，請使用 Amazon Macie API 的 [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。當您提交請求時，請使用支援的參數來指定 AWS 帳戶 要新增的每個 12 位數帳戶 ID 和電子郵件地址。同時指定請求套用的區域。若要在其他區域中新增帳戶，請在每個其他區域中提交請求。

若要使用 AWS Command Line Interface (AWS CLI) 新增帳戶，請執行 [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) 命令。使用 `region` 參數來指定要在其中新增帳戶的 區域。使用 `account` 參數來指定 AWS 帳戶 每個要新增的帳戶 ID 和電子郵件地址。例如：

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}
```

其中 *us-east-1* 是要在其中新增帳戶的區域 （美國東部 （維吉尼亞北部） 區域），而`account`參數會指定帳戶 ID (*111111111111*) 和電子郵件地址 (*janedoe@example.com*)，供帳戶新增。

如果您的請求成功，Macie 會將每個帳戶新增至狀態為 的帳戶庫存，`Created`您會收到類似以下的輸出：

```
{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}
```

其中 `arn`是為您的帳戶與您新增之帳戶之間的關聯所建立之資源的 Amazon Resource Name (ARN)。在此範例中， `123456789012` 是建立關聯的帳戶 ID，而 `111111111111`是新增帳戶的帳戶 ID。

------

### 步驟 2：傳送成員資格邀請給帳戶
<a name="accounts-mgmt-invitations-members-add-invite"></a>

將帳戶新增至帳戶庫存後，您可以邀請帳戶以 Macie 成員帳戶的形式加入您的組織。若要這樣做，請將成員資格邀請傳送至帳戶。當您傳送邀請時，如果帳戶已啟用 Macie，**帳戶**徽章和通知會顯示在收件人帳戶的 Amazon Macie 主控台上。Macie 也會為帳戶建立 AWS Health 事件。

根據您是否使用 Amazon Macie 主控台或 API 傳送邀請，Macie 也會將邀請傳送至您在新增帳戶時為收件人帳戶指定的電子郵件地址。電子郵件訊息指出您想要成為其帳戶的 Macie 管理員，並包含您 AWS 帳戶 和收件人的帳戶 ID AWS 帳戶。訊息也會說明如何存取邀請。您可以選擇將自訂文字新增至訊息。

若要傳送成員資格邀請給一或多個帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台傳送成員資格邀請。

**傳送成員資格邀請**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的選擇 AWS 區域 器，選擇您要傳送邀請的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示目前與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取您要傳送邀請的每個帳戶的核取方塊。
**提示**  
若要更輕鬆地識別您新增且尚未傳送邀請的帳戶，您可以篩選資料表。若要這樣做，請將游標放在資料表上方的篩選方塊中，然後選擇**狀態**。然後選擇**狀態 = 已建立**。

1. 在**動作**功能表中，選擇**邀請**。

1. （選用） 在**訊息**方塊中，輸入您要包含在包含邀請之電子郵件訊息中的任何自訂文字。文字最多可包含 80 個英數字元。

1. 選擇 **Invite** (邀請)。

若要額外傳送邀請 AWS 區域，請在每個額外區域中重複上述步驟。

傳送邀請後，收件人帳戶的狀態會變更為帳戶庫存中**正在進行的電子郵件驗證**。如果 Macie 可以驗證帳戶的電子郵件地址，帳戶的狀態隨後會變更為**已邀請**。如果 Macie 無法驗證地址，帳戶的狀態會變更為**電子郵件驗證失敗**。如果發生這種情況，請與帳戶擁有者合作以取得正確的電子郵件地址。然後[刪除帳戶之間的關聯](#accounts-mgmt-invitations-members-disassociate)，再次[新增帳戶](#accounts-mgmt-invitations-members-add-associate)，然後再次傳送邀請。

當收件人接受邀請時，收件人帳戶的狀態會在您的帳戶庫存中變更為**已啟用**。如果收件人拒絕邀請，則收件人的帳戶會與您的 帳戶取消關聯，並從您的帳戶庫存中移除。

------
#### [ API ]

若要以程式設計方式傳送邀請，請使用 Amazon Macie API 的 [CreateInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html) 操作。當您提交請求時，請使用支援的參數來指定每個 AWS 帳戶 要傳送邀請的 12 位數帳戶 ID。帳戶 ID 必須符合您帳戶庫存中帳戶的帳戶 ID。否則會發生錯誤。同時指定要傳送邀請的區域。若要從其他區域傳送邀請，請在每個其他區域中提交請求。

在您的請求中，您也可以指定是否以電子郵件訊息的形式傳送邀請，以及是否在該訊息中包含自訂文字。如果您選擇傳送電子郵件訊息，當您將帳戶新增至帳戶庫存時，Macie 會將邀請傳送至您為帳戶指定的電子郵件地址。若要以電子郵件訊息傳送邀請，請省略 `disableEmailNotification` 參數，或將 參數的值設定為 `false`。(預設值為 `false`。) 若要將自訂文字新增至訊息，請使用 `message` 參數指定要新增的文字。文字最多可包含 80 個英數字元。

若要使用 傳送邀請 AWS CLI，請執行 [create-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-invitations.html) 命令。使用 `region` 參數來指定要傳送邀請的區域。使用 `account-ids` 參數指定 AWS 帳戶 要傳送邀請之每個 的帳戶 ID。例如：

```
C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]
```

其中 *us-east-1* 是從 （美國東部 （維吉尼亞北部） 區域） 傳送邀請的區域，而 `account-ids` 參數會指定三個要傳送邀請的帳戶 IDs。若要傳送邀請做為電子郵件訊息，請同時包含 `no-disable-email-notification` 參數，並選擇性地包含 `message` 參數以指定要新增至訊息的自訂文字。

傳送邀請後，每個收件人帳戶的狀態會變更為 `EmailVerificationInProgress`。如果 Macie 可以驗證帳戶的電子郵件地址，帳戶的狀態隨後會變更為 `Invited`。如果 Macie 無法驗證地址，帳戶的狀態會變更為 `EmailVerificationFailed`。如果發生這種情況，請與帳戶擁有者合作以取得正確的地址。然後[刪除帳戶之間的關聯](#accounts-mgmt-invitations-members-disassociate)，再次[新增帳戶](#accounts-mgmt-invitations-members-add-associate)，然後再次傳送邀請。

當收件人接受邀請時，收件人帳戶的狀態會在您的帳戶庫存`Enabled`中變更為 。如果收件人拒絕邀請，則收件人的帳戶會與您的 帳戶取消關聯，並從您的帳戶庫存中移除。

------

## 暫停邀請型組織中成員帳戶的 Macie
<a name="accounts-mgmt-invitations-members-suspend"></a>

身為組織的 Amazon Macie 管理員，您可以在組織中個別成員帳戶的特定 AWS 區域 中暫停 Macie。不過，請注意，在暫停成員帳戶之後，您無法為該帳戶重新啟用 Macie。之後，只有帳戶的使用者可以重新啟用帳戶的 Macie。

當您暫停成員帳戶的 Macie 時：
+ Macie 無法存取並停止提供 區域中帳戶 Amazon S3 資料的中繼資料。
+ Macie 會停止為區域中的帳戶執行所有活動。這包括監控 S3 儲存貯體的安全性和存取控制、執行自動敏感資料探索，以及執行目前正在進行的敏感資料探索任務。
+ Macie 會取消帳戶在 區域中建立的所有敏感資料探索任務。任務在取消後無法繼續或重新啟動。如果您建立任務來分析成員帳戶擁有的資料，Macie 不會取消您的任務。相反地，任務會略過帳戶擁有的資源。

暫停時，Macie 會保留 Macie 工作階段識別符、設定和資源，以存放或維護適用區域中的帳戶。Macie 也會保留 區域中帳戶的特定資料。例如，帳戶的調查結果保持不變，且在長達 90 天內不會受到影響。如果已為帳戶啟用自動敏感資料探索，現有的結果也會保持不變，且在長達 30 天內不會受到影響。帳戶在適用區域中使用 Macie 無需付費，而 Macie 在該區域中遭暫停。

**暫停邀請型組織中成員帳戶的 Macie**  
若要暫停邀請型組織中成員帳戶的 Macie，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台暫停成員帳戶的 Macie。

**暫停成員帳戶的 Macie**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要為成員帳戶暫停 Macie 的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示目前與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取您要暫停 Macie 之帳戶的核取方塊。

1. 在**動作**功能表中，選擇**暫停 Macie**。

1. 確認您要暫停所選帳戶的 Macie。

確認停用後，帳戶庫存中的帳戶狀態會變更為**已暫停 （已暫停）**。

若要在其他區域中暫停帳戶的 Macie，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式暫停成員帳戶的 Macie，請使用 Amazon Macie API 的 [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html) 操作。當您提交請求時，請使用 `id` 參數來指定您要暫停 Macie 的 的 AWS 帳戶 12 位數帳戶 ID。針對 `status` 參數，指定 `PAUSED`為 Macie 的新狀態。同時指定請求套用的區域。若要在其他區域中暫停 Macie，請在每個其他區域中提交您的請求。

若要擷取成員帳戶的帳戶 ID，您可以使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果您這樣做，請考慮在請求中包含 `onlyAssociated` 參數來篩選結果。如果您將此參數的值設定為 `true`，Macie 會傳回`members`陣列，僅提供目前為管理員帳戶成員帳戶之帳戶的詳細資訊。

若要使用 暫停成員帳戶的 Macie AWS CLI，請執行 [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html) 命令。使用 `region` 參數來指定要在其中暫停 Macie 的區域。使用 `id` 參數指定要暫停 Macie 之帳戶的帳戶 ID。針對 `status` 參數，請指定 `PAUSED`。例如：

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

其中 *us-east-1* 是暫停 Macie （美國東部 （維吉尼亞北部） 區域） 的區域，*123456789012* 是暫停 Macie 帳戶的帳戶 ID，而 `PAUSED` 是 Macie 帳戶的新狀態。

如果您的請求成功，Macie 會傳回空的回應，且您帳戶庫存`Paused`中指定帳戶的狀態會變更為 。

------

## 從以邀請為基礎的組織移除 Macie 成員帳戶
<a name="accounts-mgmt-invitations-members-remove"></a>

身為 Amazon Macie 管理員，您可以從組織移除成員帳戶。您可以透過取消帳戶與 Macie 管理員帳戶的關聯來執行此操作。

如果您移除成員帳戶，則會繼續為該帳戶啟用 Macie，且該帳戶繼續出現在您的帳戶庫存中。不過，帳戶會成為獨立的 Macie 帳戶。當您移除帳戶時，Macie 不會通知帳戶的擁有者。因此，請考慮聯絡帳戶擁有者，以確保他們開始管理其帳戶的設定和資源。

當您移除成員帳戶時，您將無法存取帳戶的所有 Macie 設定、資源和資料。這包括政策調查結果和帳戶擁有的 S3 儲存貯體中繼資料。此外，您無法再使用 Macie 在帳戶擁有的 S3 儲存貯體中探索敏感資料。如果您已建立敏感資料探索任務來執行此操作，任務會略過帳戶擁有的儲存貯體。如果您為帳戶啟用自動敏感資料探索，您和帳戶都會無法存取 Macie 在為帳戶執行自動探索時所產生和直接提供的統計資料、庫存資料和其他資訊。

移除成員帳戶之後，您可以向帳戶傳送新的邀請，再次將其新增至您的組織。如果帳戶接受新的邀請，且您在 30 天內為其啟用自動敏感資料探索，您也可以重新取得 Macie 在為帳戶執行自動探索時先前產生和直接提供的資料和資訊的存取權。此外，現有任務的後續執行會再次開始包含帳戶的 S3 儲存貯體。

如果您移除成員帳戶但不打算再次新增，則可以將其完全從帳戶庫存中移除。若要了解作法，請參閱[刪除與其他帳戶的關聯](#accounts-mgmt-invitations-members-disassociate)。

**從以邀請為基礎的組織移除成員帳戶**  
若要從您的組織移除成員帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台移除成員帳戶。

**移除成員帳戶**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的選擇 AWS 區域 器，選擇您要移除成員帳戶的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示目前與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取您要移除之帳戶的核取方塊。

1. 在**動作**功能表中，選擇**取消帳戶關聯**。

1. 確認您想要將選取的帳戶移除為成員帳戶。

確認選擇後，帳戶庫存中的帳戶狀態會變更為**已移除 （已取消關聯）**。

若要移除其他區域中的成員帳戶，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式移除成員帳戶，請使用 Amazon Macie API 的 [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html) 操作。當您提交請求時，請使用 `id` 參數指定要移除之成員帳戶的 12 位數 AWS 帳戶 ID。同時指定請求套用的區域。若要移除其他區域中的帳戶，請在每個其他區域中提交您的請求。

若要擷取要移除的帳戶 ID，您可以使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果您這樣做，請考慮在請求中包含 `onlyAssociated` 參數來篩選結果。如果您將此參數的值設定為 `true`，Macie 會傳回`members`陣列，僅提供目前為帳戶成員帳戶之帳戶的詳細資訊。

若要使用 移除成員帳戶 AWS CLI，請執行 [disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) 命令。使用 `region` 參數來指定要在其中移除帳戶的 區域。使用 `id` 參數來指定要移除的帳戶 ID。例如：

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

其中 *us-east-1* 是移除帳戶的區域 （美國東部 （維吉尼亞北部） 區域），而 *123456789012* 是帳戶要移除的帳戶 ID。

如果您的請求成功，Macie 會傳回空的回應，並在您的帳戶庫存`Removed`中將指定帳戶的狀態變更為 。

------

## 刪除與其他帳戶的關聯
<a name="accounts-mgmt-invitations-members-disassociate"></a>

在 Amazon Macie 中將帳戶新增至帳戶庫存後，您可以刪除帳戶與其他帳戶之間的關聯。您可以對庫存中的任何帳戶執行此操作，除了：
+ 您組織所屬的帳戶 AWS Organizations。這種類型的關聯是透過 AWS Organizations Macie 控制。
+ 接受加入您組織之 Macie 成員邀請的成員帳戶。如果是這種情況，您必須先[移除成員帳戶](#accounts-mgmt-invitations-members-remove)，才能刪除關聯。

當您刪除關聯時，Macie 會從您的帳戶庫存中移除帳戶。如果您想要後續還原關聯，您必須再次新增帳戶，就好像是全新的帳戶一樣。

**刪除與其他帳戶的關聯**  
若要刪除您的帳戶與其他帳戶之間的關聯，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

若要使用 Amazon Macie 主控台來刪除與其他帳戶的關聯，請遵循下列步驟。

**刪除關聯**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要刪除關聯的區域。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示目前與您帳戶相關聯的帳戶資料表。

1. 在**現有帳戶**表格中，選取您要刪除關聯之帳戶的核取方塊。

1. 在**操作**功能表上，選擇**刪除**。

1. 確認您想要刪除選取的關聯。

若要刪除其他區域中的關聯，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式刪除與其他帳戶的關聯，請使用 Amazon Macie API 的 [DeleteMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-id.html) 操作。當您提交請求時，請使用 `id` 參數來指定 AWS 帳戶 要與 刪除關聯的 12 位數帳戶 ID。同時指定請求套用的區域。若要刪除其他區域中的關聯，請在每個其他區域中提交您的請求。

若要擷取帳戶的帳戶 ID，您可以使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果您這樣做，請在請求中包含 `onlyAssociated` 參數，並將 參數的值設定為 `false`。如果操作成功，Macie 會傳回`members`陣列，提供與您的帳戶關聯之所有帳戶的詳細資訊，包括目前非成員帳戶的帳戶。

若要使用 刪除與其他帳戶的關聯 AWS CLI，請執行 [delete-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-member.html) 命令。使用 `region` 參數來指定要在其中刪除關聯的區域。使用 `id` 參數來指定帳戶的帳戶 ID。例如：

```
C:\> aws macie2 delete-member --region us-east-1 --id 123456789012
```

其中 *us-east-1* 是刪除與其他 帳戶 （美國東部 （維吉尼亞北部） 區域的關聯的區域，而 *123456789012* 是帳戶的帳戶 ID。

如果您的請求成功，Macie 會傳回空的回應，並刪除您的帳戶與其他帳戶之間的關聯。先前關聯的帳戶會從您的帳戶庫存中移除。

------

# 檢閱以邀請為基礎的組織的 Macie 帳戶
<a name="accounts-mgmt-invitations-review"></a>

**注意**  
建議使用 AWS Organizations 而非 Macie 邀請來管理成員帳戶。如需詳細資訊，請參閱[使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)。

如果您是邀請型組織的 Amazon Macie 管理員，Macie 會在您使用 Macie AWS 區域 的每個 中提供與 Macie 帳戶相關聯的帳戶庫存。您可以使用此庫存來檢閱您組織的帳戶統計資料和詳細資訊。您也可以使用它來執行[成員帳戶的特定管理任務](accounts-mgmt-invitations-administer.md)，並管理帳戶與其他帳戶之間的關係狀態。

**檢閱邀請型組織的帳戶**  
若要檢閱組織中的帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台檢閱組織的帳戶。

**檢閱組織的帳戶**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要檢閱組織帳戶的 區域。

1. 在導覽窗格中，選擇**帳戶**。

**帳戶**頁面會開啟並顯示彙總統計資料，以及目前 中與您的 Macie 帳戶相關聯的帳戶資料表 AWS 區域。

在**帳戶**頁面頂端，您會找到下列彙總統計資料。

**透過 AWS Organizations**  
如果您是 中組織的 Macie 管理員 AWS Organizations，**Active** 會報告透過 與您的帳戶相關聯的帳戶總數， AWS Organizations 且目前是您組織中的 Macie 成員帳戶。Macie 已針對這些帳戶啟用，而您是帳戶的 Macie 管理員。  
**所有** 都會報告與您的帳戶相關聯的帳戶總數 AWS Organizations。這包括目前不是 Macie 成員帳戶的帳戶。它還包含 Macie 目前暫停的成員帳戶。

**依邀請**  
**Active** 會報告目前為邀請型組織中 Macie 成員帳戶的帳戶總數。Macie 已針對這些帳戶啟用，而您是帳戶的 Macie 管理員，因為他們已接受您的成員資格邀請。  
**所有** 都會報告 Macie 邀請與您帳戶相關聯的帳戶總數，包括尚未回應您邀請的帳戶。

**作用中/全部**  
**Active** 會報告 Macie 目前在您的組織中啟用的帳戶總數，包括您自己的帳戶。透過 或 Macie AWS Organizations 邀請，您是這些帳戶的 Macie 管理員。  
**所有** 都會透過 AWS Organizations 邀請或邀請，以及您自己的帳戶，報告與您帳戶相關聯的帳戶總數。這包括尚未回應 Macie 成員資格邀請的帳戶。它還包含透過 與您的帳戶相關聯的帳戶 AWS Organizations ，目前不是 Macie 成員帳戶。

在表格中，您可以找到目前區域中每個帳戶的詳細資訊。資料表包含透過 Macie 邀請或透過 與您的 Macie 帳戶相關聯的所有帳戶 AWS Organizations。

**帳戶 ID**  
的帳戶 ID 和電子郵件地址 AWS 帳戶。

**名稱**  
的帳戶名稱 AWS 帳戶。對於您自己的帳戶，以及透過邀請與您帳戶相關聯的帳戶，此值通常為 **N/A**。

**類型**  
帳戶如何透過邀請或透過 與您的帳戶建立關聯 AWS Organizations。對於您自己的帳戶，此值為**目前帳戶**。

**狀態**  
您的帳戶與帳戶之間的關係狀態。對於邀請型組織中的帳戶 (**類型**為**邀請**)，可能的值為：  
+ **帳戶已暫停** – AWS 帳戶 已暫停。
+ **已建立 （邀請）** – 您已新增帳戶，但尚未向其傳送成員資格邀請。
+ **電子郵件驗證失敗** – 您嘗試傳送成員資格邀請給帳戶，但指定的電子郵件地址對該帳戶無效。
+ **電子郵件驗證進行中** – 您已傳送成員資格邀請給帳戶，Macie 正在處理請求。
+ **已啟用** – 帳戶是成員帳戶。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員。
+ **已邀請** – 您已傳送成員資格邀請給帳戶，而帳戶尚未回應您的邀請。
+ **成員已離職** – 帳戶先前是成員帳戶。不過，帳戶會取消與帳戶的關聯，以從您的組織重新簽署。
+ **已暫停 （已暫停）** – 帳戶是成員帳戶，但 Macie 目前帳戶已暫停。
+ **區域已停用** – 目前區域已停用 AWS 帳戶。
+ **已移除 （取消關聯）** – 帳戶先前是成員帳戶。不過，您透過將其與帳戶取消關聯，將其移除為成員帳戶。

**上次狀態更新**  
當您或關聯帳戶最近執行的動作會影響您帳戶之間的關係。

**自動化敏感資料探索**  
帳戶目前是否啟用或停用自動敏感資料探索。

若要依特定欄位排序資料表，請選擇欄位的欄位標題。若要變更排序順序，請再次選擇欄標題。若要篩選資料表，請將游標放在篩選方塊中，然後新增欄位的篩選條件。若要進一步精簡結果，請新增其他欄位的篩選條件。

------
#### [ API ]

若要以程式設計方式檢閱組織的帳戶，請使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作，並指定您請求套用的區域。若要檢閱其他區域中的詳細資訊，請在每個其他區域中提交您的請求。

當您提交請求時，請使用 `onlyAssociated` 參數來指定要包含在回應中的帳戶。根據預設，Macie 只會透過邀請或透過 傳回屬於指定區域中成員帳戶之帳戶的詳細資訊 AWS Organizations。若要擷取所有關聯帳戶的詳細資訊，包括非成員帳戶的帳戶，請在請求中包含 `onlyAssociated` 參數，並將 參數的值設定為 `false`。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 檢閱組織的帳戶，請執行 [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) 命令。針對 `only-associated` 參數，指定要包含所有關聯帳戶還是只包含成員帳戶。若要僅包含成員帳戶，請省略此參數，或將參數的值設定為 `true`。若要包含所有帳戶，請將此值設定為 `false`。例如：

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

其中 *us-east-1* 是套用請求的區域，即美國東部 （維吉尼亞北部） 區域。

如果您的請求成功，Macie 會傳回`members`陣列。陣列包含每個帳戶符合請求中指定條件的`member`物件。在該物件中， `relationshipStatus` 欄位指出您的帳戶與指定區域中其他帳戶之間的關聯目前狀態。對於邀請型組織中的帳戶，可能的值為：
+ `AccountSuspended` – AWS 帳戶 已暫停。
+ `Created` – 您已新增帳戶，但尚未向其傳送成員資格邀請。
+ `EmailVerificationFailed` – 您嘗試傳送成員資格邀請給帳戶，但指定的電子郵件地址對該帳戶無效。
+ `EmailVerificationInProgress` – 您已傳送成員資格邀請給帳戶，Macie 正在處理請求。
+ `Enabled` – 帳戶是成員帳戶。Macie 已為帳戶啟用，而您是帳戶的 Macie 管理員。
+ `Invited` – 您已傳送成員資格邀請給帳戶，而帳戶尚未回應您的邀請。
+ `Paused` – 帳戶是成員帳戶，但 Macie 目前已暫停 （暫停） 該帳戶。
+ `RegionDisabled` – 目前 區域已停用 AWS 帳戶。
+ `Removed` – 帳戶先前是成員帳戶。不過，您透過將其與帳戶取消關聯，將其移除為成員帳戶。
+ `Resigned` – 帳戶先前是成員帳戶。不過，帳戶會取消與帳戶的關聯，以從您的組織重新簽署。

如需 `member` 物件中其他欄位的資訊，請參閱《*Amazon Macie API 參考*》中的[成員](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)。

------

# 變更以邀請為基礎的組織的 Macie 管理員帳戶
<a name="accounts-mgmt-invitations-admin-change"></a>

**注意**  
建議使用 AWS Organizations 而非 Macie 邀請來管理成員帳戶。如需詳細資訊，請參閱[使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)。

建立並建立以邀請為基礎的組織之後，您可以變更組織的 Amazon Macie 管理員帳戶。若要這樣做，管理員和組織成員應採取下列步驟：

1. 目前的 Macie 管理員可選擇性地匯出組織成員帳戶的目前庫存。這可協助您識別應繼續成為組織一部分的帳戶，以簡化轉換。

1. 目前的 Macie 管理員會從目前的組織[移除所有成員帳戶](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-remove)。這會取消帳戶與目前管理員帳戶的關聯。Macie 會繼續為帳戶啟用，但帳戶會成為獨立的 Macie 帳戶。
**重要**  
當目前的 Macie 管理員移除成員帳戶時，Macie 會自動停用帳戶的自動敏感資料探索。這也會停用存取統計資料、庫存資料，以及 Macie 在為帳戶執行自動探索時所產生和直接提供的其他資訊。當轉換到新組織完成時，新的 Macie 管理員無法存取此資料。

1. 新的 Macie 管理員[會將先前的成員帳戶](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-add)新增至新組織。這會將帳戶與新的管理員帳戶建立關聯。

1. 每個成員帳戶都會接受加入新組織的邀請。當帳戶接受邀請時，該帳戶會成為新組織中的成員帳戶。然後，新的 Macie 管理員可以存取帳戶的 Macie 設定、資料和資源。如果帳戶先前已啟用自動敏感資料探索，則不包含 Macie 在為帳戶執行自動探索時先前產生和直接提供的資料。相反地，如果新的 Macie 管理員啟用帳戶的自動探索，Macie 會產生和維護帳戶的新資料。

如果您的組織在多個 中使用 Macie AWS 區域，請在每個區域中執行上述步驟。

若要匯出成員帳戶的目前庫存，目前的 Macie 管理員可以使用 Amazon Macie 主控台或 Amazon Macie API。使用 主控台，目前的管理員可以將資料匯出至逗號分隔值 (CSV) 檔案。然後，新管理員可以使用 主控台上傳 CSV 檔案，並將所有帳戶 （大量） 新增至新組織。

**使用主控台匯出成員帳戶資料**

1.  AWS 管理主控台 使用目前的 Macie 管理員帳戶登入 。

1. 使用頁面右上角的選擇 AWS 區域 器，選擇您要匯出資料的 區域。

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中，選擇**帳戶**。**帳戶**頁面會開啟並顯示與目前 Macie 管理員帳戶相關聯的帳戶資料表。

1. （選用） 若要篩選資料表，並僅顯示目前為組織中成員帳戶的帳戶，請使用資料表上方的篩選方塊來新增下列篩選條件：
   + **類型** = **邀請**
   + **狀態** = **已啟用**
   + **狀態** = **已**暫停

1. 在表格中，選取要包含在匯出資料中的每個成員帳戶的核取方塊。

1. 選擇**匯出 CSV**。

1. 指定 檔案的名稱和位置。

使用 Amazon Macie API，目前的 Macie 管理員可以 JSON 格式擷取資料。然後，新的 Macie 管理員可以使用該資料來產生帳戶 IDs 和電子郵件地址的清單，以便新增和邀請新組織。若要擷取 JSON 格式的資料，請使用 Amazon Macie API 的 [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) 操作。如果操作成功，Macie 會傳回`members`陣列，提供與管理員帳戶相關聯之所有帳戶的詳細資訊。如果帳戶目前是成員帳戶，則帳戶的 `relationshipStatus` 屬性值為 `Enabled`或 `Paused`，而 `invitedAt` 屬性會指定日期和時間。

# 在 Macie 中管理組織中的成員資格
<a name="accounts-mgmt-invitations-membership-manage"></a>

**注意**  
建議使用 AWS Organizations 而非 Macie 邀請來集中管理多個帳戶的 Macie。如需詳細資訊，請參閱[使用 管理多個 Macie 帳戶 AWS Organizations](accounts-mgmt-ao.md)。

如果您受邀加入 Amazon Macie 中的組織，您可以選擇接受或拒絕邀請。在 Macie 中，組織是一組以一組相關帳戶集中管理的帳戶。組織包含一個指定的 Macie 管理員帳戶和一個或多個相關聯的成員帳戶。

如果您接受邀請，您的帳戶會成為組織中的成員帳戶。當您接受時，傳送邀請的帳戶會成為您帳戶的 Macie 管理員帳戶，您可以將您的帳戶與其他帳戶建立關聯，並在帳戶之間啟用管理員成員關係。Macie 管理員帳戶接著可以在適用的 中存取您帳戶的特定 Macie 設定、資料和資源 AWS 區域。如需管理員帳戶可執行之任務的詳細資訊，請參閱 [Macie 管理員和成員帳戶關係](accounts-mgmt-relationships.md)。

如果您拒絕邀請，不會變更 Macie 帳戶的目前狀態和設定。

**Topics**
+ [回應成員邀請](#accounts-mgmt-invitations-respond)
+ [取消與管理員帳戶的關聯](#accounts-mgmt-invitations-disassociate-admin)

## 回應組織的成員邀請
<a name="accounts-mgmt-invitations-respond"></a>

當您收到加入組織的邀請時，Amazon Macie 會以多種方式通知您。根據預設，Macie 會將邀請作為電子郵件訊息傳送給您。Macie 也會為您的 建立 AWS Health 事件 AWS 帳戶。如果您已在傳送邀請的 AWS 區域 中使用 Macie，Macie 也會在 Macie 主控台上顯示**帳戶**徽章和通知。

收到邀請後，您可以選擇接受或拒絕邀請。在您回應之前，請注意下列事項：
+ 您一次只能成為一個組織的成員。如果您收到多個邀請，您只能接受一個邀請。或者，如果您已經是組織的成員，您必須先取消帳戶與其目前 Macie 管理員帳戶的關聯，才能加入其他組織。
+ 如果您在多個區域中使用 Macie，您的帳戶在所有這些區域中都必須擁有相同的 Macie 管理員帳戶。Macie 管理員必須與每個區域分開傳送邀請給您，而且您必須在每個區域中分別接受邀請。
+ 若要接受或拒絕邀請，您必須在傳送邀請的 區域中啟用 Macie。拒絕邀請是選用的。如果您讓 Macie 拒絕邀請，您可以在拒絕邀請後停用區域中的 [Macie](disable-macie.md)。這有助於確保您在 區域中使用 Macie 不會產生不必要的費用。
+ 如果已為您的帳戶啟用自動敏感資料探索，且您接受邀請，您會失去存取 Macie 在為您的帳戶執行自動探索時產生和直接提供的統計資料、庫存資料和其他資訊。在您接受邀請後，Macie 管理員可以為您的帳戶啟用自動探索。不過，這不會還原對現有資料的存取。相反地，Macie 會在為您的帳戶執行自動探索時產生和維護新資料。

如需其他考量，請參閱 [回應和管理成員資格邀請](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-invitations-manage)。

**回應組織的成員資格邀請**  
若要回應成員資格邀請，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台回應成員資格邀請。

**回應成員資格邀請**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您收到邀請的區域。

1. 如果您尚未在 區域中啟用 Macie，請選擇**開始使用**，然後選擇**啟用 Macie**。您必須先啟用 Macie，才能接受或拒絕邀請。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**管理員帳戶**下，執行下列其中一項操作：
   + 若要接受邀請，請開啟邀請旁的**接受** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-gray-off.png))。然後，選擇**接受邀請**或**更新**，取決於您之前是否接受另一個邀請。
   + 若要拒絕邀請，請選擇**邀請旁的拒絕**邀請，然後確認您要拒絕邀請。

如果您收到並想要在其他區域中回應邀請，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式回應邀請，請根據您要接受或拒絕邀請，使用 Amazon Macie API 的 [AcceptInvitation](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-accept.html) 或 [DeclineInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-decline.html) 操作。當您提交請求時，請務必指定傳送邀請的區域。若要回應其他區域中的邀請，請在每個其他區域中提交您的請求。

在 `AcceptInvitation`請求中，使用 `administratorAccountId` 參數來指定傳送邀請之 AWS 帳戶 的 12 位數帳戶 ID。使用 `invitationId` 參數來指定要接受邀請的唯一 ID。

在`DeclineInvitations`請求中，使用 `accountIds` 參數來指定傳送拒絕邀請的 AWS 帳戶 的 12 位數帳戶 ID。

若要擷取 IDs，您可以使用 Amazon Macie API 的 [ListInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html) 操作。如果操作成功，Macie 會傳回`invitations`陣列，提供您已收到之邀請的詳細資訊，包括傳送每個邀請之帳戶的帳戶 ID，以及每個邀請的唯一 ID。如果邀請的 `relationshipStatus` 屬性值為 `Invited`，表示您尚未回應邀請。

若要使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 回應邀請，請執行 [accept-invitation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/accept-invitation.html) [s](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/decline-invitations.html)命令，取決於您是否要接受或拒絕邀請。使用 `region` 參數來指定傳送邀請的區域。例如：

```
C:\> aws macie2 accept-invitation --region us-east-1 --administrator-account-id 123456789012 --invitation-id d8bdad0e203fd1242e0a4721bexample
```

其中 *us-east-1* 是邀請傳送來源 （美國東部 （維吉尼亞北部） 區域） 的區域，*123456789012* 是傳送邀請之帳戶的帳戶 ID，而 *d8bdad0e203fd1242e0a4721bexample* 是邀請接受的唯一 ID。

如果接受邀請的請求成功，Macie 會傳回空的回應。如果拒絕邀請的請求成功，Macie 會傳回空`unprocessedAccounts`陣列。

拒絕邀請後，邀請會保留為 Macie 帳戶的資源。您可以使用 [DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html) 操作，或者對於 AWS CLI，使用 [delete-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html) 命令來選擇性地將其刪除。

------

## 取消與 Macie 管理員帳戶的關聯
<a name="accounts-mgmt-invitations-disassociate-admin"></a>

如果您接受在 Amazon Macie 中加入組織的邀請，您之後可以透過取消您的帳戶與其目前 Macie 管理員帳戶的關聯，從組織重新加入。請注意，如果您的帳戶是 AWS Organizations 組織中的成員帳戶，則無法執行此操作。若要從 AWS Organizations 組織重新登入，請與您的 Macie 管理員合作，將您的帳戶移除為 Macie 成員帳戶。

如果您取消帳戶與 Macie 管理員帳戶的關聯，Macie 管理員將無法存取 Macie 帳戶的所有設定、資料和資源。這包括您擁有的 Amazon S3 資料的中繼資料和政策調查結果。這也表示管理員無法再透過執行自動敏感資料探索或執行敏感資料探索任務來分析 Amazon S3 資料。

當您取消與帳戶的關聯時，Macie 會繼續為適用區域中的帳戶啟用。不過，您的帳戶會成為 區域中的獨立 Macie 帳戶。您帳戶的狀態會變更為管理員帳戶庫存中**已離職的成員**。

**取消與 Macie 管理員帳戶的關聯**  
若要取消您的帳戶與其目前 Macie 管理員帳戶的關聯，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台將您的帳戶與其 Macie 管理員帳戶取消關聯。

**取消與管理員帳戶的關聯**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要取消帳戶與其管理員帳戶關聯的區域。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**管理員帳戶**下，關閉邀請旁的**接受** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-blue-on.png))，然後選擇**更新**。

帳戶會繼續顯示在**帳戶**頁面上。如果您決定重新加入組織，您可以使用此頁面再次接受原始邀請。或者，您可以拒絕和刪除邀請，這也會刪除您的帳戶與其他帳戶之間的關聯。若要這樣做，請選擇**拒絕邀請**。

如果您想要在其他區域中取消帳戶與 Macie 管理員帳戶的關聯，請在每個其他區域中重複上述步驟。

------
#### [ API ]

若要以程式設計方式取消您的帳戶與其 Macie 管理員帳戶的關聯，請使用 Amazon Macie API 的 [DisassociateFromAdministratorAccount](https://docs.aws.amazon.com/macie/latest/APIReference/administrator-disassociate.html) 操作。當您提交請求時，請務必指定請求套用的區域。若要與其他區域中的帳戶取消關聯，請在每個其他區域中提交您的請求。

若要使用 取消您的帳戶與其 Macie 管理員帳戶的關聯 AWS CLI，請執行 [disassociate-from-administrator-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-from-administrator-account.html) 命令。使用 `region` 參數來指定要在其中與帳戶取消關聯的區域。

如果您的請求成功，Macie 會傳回空的回應。

取消與帳戶的關聯後，原始邀請會保留為 Macie 帳戶的資源，除非您將其刪除。如果您決定重新加入組織，您可以使用此資源再次接受原始邀請。或者，您可以使用 [DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html) 操作，或針對 刪除邀請命令 AWS CLI，來[刪除邀請](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html)。如果您刪除邀請，您也會刪除帳戶與其他帳戶之間的關聯。

------