Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Integrazione e configurazione di un'organizzazione in Macie
<a name="accounts-mgmt-ao-integrate"></a>

Per iniziare a utilizzare Amazon Macie con AWS Organizations, l'account di AWS Organizations gestione dell'organizzazione designa un account come account amministratore Macie delegato per l'organizzazione. Ciò abilita Macie come servizio affidabile in. AWS Organizations Inoltre, abilita Macie nell'account Regione AWS amministratore designato e consente all'account amministratore designato di abilitare e gestire Macie per altri account dell'organizzazione in quella regione. *Per informazioni su come vengono concesse queste autorizzazioni, consulta [Using AWS Organizations with other Servizi AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) nella Guida per l'AWS Organizations utente.*

L'amministratore delegato di Macie configura quindi l'organizzazione in Macie, principalmente aggiungendo gli account dell'organizzazione come account membri Macie nella regione. L'amministratore può quindi accedere a determinate impostazioni, dati e risorse di Macie per quegli account in quella regione. Possono anche eseguire il rilevamento automatico di dati sensibili ed eseguire processi di rilevamento di dati sensibili per rilevare dati sensibili nei bucket Amazon Simple Storage Service (Amazon S3) di proprietà degli account.

Questo argomento spiega come designare un amministratore Macie delegato per un'organizzazione e come aggiungere gli account dell'organizzazione come account membri di Macie. Prima di eseguire queste attività, assicurati di comprendere la [relazione tra l'amministratore di Macie](accounts-mgmt-relationships.md) e gli account dei membri. È anche una buona idea rivedere [le considerazioni e i consigli](accounts-mgmt-ao-notes.md) sull'utilizzo di Macie con. AWS Organizations

**Topics**
+ [Passaggio 1: verifica le autorizzazioni](#accounts-mgmt-ao-admin-designate-permissions)
+ [Fase 2: Designare l'account amministratore delegato di Macie](#accounts-mgmt-ao-admin-designate)
+ [Passaggio 3: abilitare e aggiungere automaticamente nuovi account dell'organizzazione](#accounts-mgmt-ao-members-autoenable)
+ [Passaggio 4: abilitare e aggiungere gli account aziendali esistenti](#accounts-mgmt-ao-members-add-existing)

Per integrare e configurare l'organizzazione in più regioni, l'account di AWS Organizations gestione e l'amministratore Macie delegato ripetono questi passaggi in ogni regione aggiuntiva.

## Passaggio 1: verifica le tue autorizzazioni
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

Prima di designare l'account amministratore delegato Macie per la tua organizzazione, verifica che tu (come utente dell'account di AWS Organizations gestione) sia autorizzato a eseguire la seguente azione Macie:. `macie2:EnableOrganizationAdminAccount` Questa azione consente di designare l'account amministratore Macie delegato per l'organizzazione utilizzando Macie.

Verifica inoltre di avere il permesso di eseguire le seguenti azioni: AWS Organizations 
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

Queste azioni ti consentono di: recuperare informazioni sulla tua organizzazione, integrare Macie con AWS Organizations, recuperare le informazioni con AWS Organizations cui Servizi AWS hai effettuato l'integrazione e designare un account amministratore Macie delegato per la tua organizzazione.

Per concedere queste autorizzazioni, includi la seguente dichiarazione in una policy AWS Identity and Access Management (IAM) per il tuo account:

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

Se desideri designare il tuo account di AWS Organizations gestione come account amministratore Macie delegato per l'organizzazione, il tuo account necessita anche dell'autorizzazione per eseguire la seguente azione IAM:. `CreateServiceLinkedRole` Questa azione ti consente di abilitare Macie per l'account di gestione. Tuttavia, in base alle migliori pratiche di AWS sicurezza e al principio del privilegio minimo, non è consigliabile eseguire questa operazione.

Se decidi di concedere questa autorizzazione, aggiungi la seguente dichiarazione alla politica IAM per il tuo account di AWS Organizations gestione:

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::{{111122223333}}:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

Nell'estratto conto, sostituiscilo {{111122223333}} con l'ID dell'account di gestione.

Se desideri amministrare Macie in modalità opt-in Regione AWS (regione disabilitata per impostazione predefinita), aggiorna anche il valore per il principale del servizio Macie nell'`Resource`elemento e nella condizione. `iam:AWSServiceName` Il valore deve specificare il codice regionale per la regione. *Ad esempio, per amministrare Macie nella regione del Medio Oriente (Bahrein), che ha il codice regionale me-south-1, procedi come segue:*
+ Nell'elemento, sostituisci `Resource`

  `arn:aws:iam::{{111122223333}}:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  con

  `arn:aws:iam::{{111122223333}}:role/aws-service-role/macie.{{me-south-1}}.amazonaws.com/AWSServiceRoleForAmazonMacie`

  Dove {{111122223333}} specifica l'ID dell'account di gestione e {{me-south-1}} specifica il codice regionale per la regione.
+ Nella `iam:AWSServiceName` condizione, sostituisci `macie.amazonaws.com` con`macie.{{me-south-1}}.amazonaws.com`, dove {{me-south-1}} specifica il codice regionale per la regione.

Per un elenco delle regioni in cui Macie è attualmente disponibile e il codice regionale per ciascuna di esse, consulta gli [endpoint e le quote di Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) nel. *Riferimenti generali di AWS* *Per determinare se una regione è una regione a cui aderire, consulta [Attiva o disattiva Regioni AWS nel tuo account nella Guida](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) per l'utente.Gestione dell'account AWS *

## Passaggio 2: designare l'account amministratore Macie delegato per l'organizzazione
<a name="accounts-mgmt-ao-admin-designate"></a>

Dopo aver verificato le autorizzazioni, tu (come utente dell'account di AWS Organizations gestione) puoi designare l'account amministratore Macie delegato per la tua organizzazione.

**Per designare l'account amministratore Macie delegato per un'organizzazione**  
Per designare l'account amministratore delegato Macie per la tua organizzazione, puoi utilizzare la console Amazon Macie o l'API Amazon Macie. Solo un utente dell'account di AWS Organizations gestione può eseguire questa operazione.

------
#### [ Console ]

Segui questi passaggi per designare l'account amministratore delegato di Macie utilizzando la console Amazon Macie.

**Per designare l'account amministratore delegato di Macie**

1. Accedi all'account di gestione Console di gestione AWS utilizzando il tuo AWS Organizations account di gestione.

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri designare l'account amministratore Macie delegato per la tua organizzazione.

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Esegui una delle seguenti operazioni, a seconda che Macie sia abilitato per il tuo account di gestione nella regione corrente:
   + Se Macie non è abilitato, scegli **Inizia** nella pagina di benvenuto.
   + Se Macie è abilitato, scegli **Impostazioni** nel pannello di navigazione.

1. In **Amministratore delegato**, inserisci l'ID dell'account a 12 cifre per l'account Account AWS che desideri designare come account amministratore Macie.

1. Scegli **Delega**.

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri integrare la tua organizzazione con Macie. È necessario designare lo stesso account amministratore Macie in ciascuna di queste regioni.

------
#### [ API ]

Per designare l'account amministratore Macie delegato a livello di codice, utilizza il funzionamento [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)dell'API Amazon Macie. Per designare l'account in più regioni, invia la designazione per ogni regione in cui desideri integrare la tua organizzazione con Macie. È necessario designare lo stesso account amministratore Macie in ciascuna di queste regioni.

Quando invii la designazione, utilizza il `adminAccountId` parametro richiesto per specificare l'ID dell'account a 12 cifre da Account AWS designare come account amministratore Macie per l'organizzazione. Assicurati inoltre di specificare la regione a cui si riferisce la designazione.

Per designare l'account amministratore di Macie utilizzando [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), esegui il comando. [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) Per il `admin-account-id` parametro, specificate l'ID dell'account a 12 cifre da designare. Account AWS Utilizzate il `region` parametro per specificare la regione a cui si applica la designazione. Esempio:

```
C:\> aws macie2 enable-organization-admin-account --region {{us-east-1}} --admin-account-id {{111122223333}}
```

{{us-east-1}}Dov'è la regione a cui si applica la designazione (la regione Stati Uniti orientali (Virginia settentrionale)) e {{111122223333}} l'ID dell'account da designare.

------

Dopo aver designato l'account amministratore Macie per l'organizzazione, l'amministratore Macie può iniziare a configurare l'organizzazione in Macie.

## Passaggio 3: Abilita e aggiungi automaticamente nuovi account dell'organizzazione come account membri di Macie
<a name="accounts-mgmt-ao-members-autoenable"></a>

Per impostazione predefinita, Macie non è abilitato automaticamente per i nuovi account quando gli account vengono aggiunti all'organizzazione in AWS Organizations. Inoltre, gli account non vengono aggiunti automaticamente come account membri di Macie. Gli account vengono visualizzati nell'inventario degli account dell'amministratore di Macie. Tuttavia, Macie non è necessariamente abilitato per gli account e l'amministratore Macie non può necessariamente accedere alle impostazioni, ai dati e alle risorse di Macie per gli account.

Se sei l'amministratore delegato di Macie dell'organizzazione, puoi modificare questa impostazione di configurazione. Puoi attivare l'abilitazione automatica per la tua organizzazione. Se lo fai, Macie viene abilitato automaticamente per i nuovi account quando gli account vengono aggiunti alla tua organizzazione in. AWS Organizations Inoltre, gli account vengono associati automaticamente all'account amministratore Macie come account membro. L'attivazione di questa impostazione non influisce sugli account esistenti nell'organizzazione. Per abilitare e gestire Macie per gli account esistenti, devi aggiungere manualmente gli account come account membro Macie. Il [passaggio successivo](#accounts-mgmt-ao-members-add-existing) spiega come eseguire questa operazione.

**Nota**  
Se attivi l'attivazione automatica, tieni presente la seguente eccezione. Se un nuovo account è già associato a un altro account amministratore Macie, Macie non aggiunge automaticamente l'account come account membro dell'organizzazione. L'account deve dissociarsi dall'account amministratore Macie corrente prima di poter far parte dell'organizzazione in Macie. È quindi possibile aggiungere manualmente l'account. Per identificare gli account in cui ciò si verifica, puoi [esaminare l'inventario degli account della](accounts-mgmt-ao-review.md) tua organizzazione.

**Per abilitare e aggiungere automaticamente nuovi account dell'organizzazione come account membri di Macie**  
Per abilitare e aggiungere automaticamente nuovi account come account membro Macie, puoi utilizzare la console Amazon Macie o l'API Amazon Macie. Solo l'amministratore Macie delegato dell'organizzazione può eseguire questa operazione.

------
#### [ Console ]

Per eseguire questa operazione utilizzando la console, è necessario disporre del permesso di eseguire la seguente AWS Organizations azione:. `organizations:ListAccounts` Questa azione consente di recuperare e visualizzare informazioni sugli account della propria organizzazione. Se disponi di queste autorizzazioni, segui questi passaggi per abilitare e aggiungere automaticamente nuovi account dell'organizzazione come account membro di Macie.

**Per abilitare e aggiungere automaticamente nuovi account dell'organizzazione**

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri abilitare e aggiungere automaticamente nuovi account come account membro di Macie.

1. Dal riquadro di navigazione, selezionare **Accounts (Account)**.

1. **Nella pagina **Account**, nella sezione **Nuovi account**, scegli Modifica.**

1. Nella finestra di dialogo **Modifica le impostazioni per i nuovi account**, seleziona **Abilita Macie**.

   Per abilitare anche l'individuazione automatica dei dati sensibili per gli account dei nuovi membri, seleziona **Abilita il rilevamento automatico dei dati sensibili**. Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti campione dai bucket S3 dell'account e li analizza per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta [Esecuzione del rilevamento automatico di dati sensibili](discovery-asdd.md).

1. Scegli **Save** (Salva).

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri configurare la tua organizzazione in Macie.

Per modificare successivamente queste impostazioni, ripeti i passaggi precedenti e deseleziona la casella di controllo per ciascuna impostazione.

------
#### [ API ]

Per abilitare e aggiungere automaticamente nuovi account utente Macie a livello di codice, utilizza il [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html)funzionamento dell'API Amazon Macie. Quando invii la richiesta, imposta il valore del parametro su. `autoEnable` `true` Il valore predefinito è `false`. Assicurati inoltre di specificare la regione a cui si riferisce la richiesta. Per abilitare e aggiungere automaticamente nuovi account in altre regioni, invia la richiesta per ogni regione aggiuntiva.

Se utilizzi il AWS CLI per inviare la richiesta, esegui il [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)comando e specifica il `auto-enable` parametro per abilitare e aggiungere nuovi account automaticamente. Esempio:

```
$ aws macie2 update-organization-configuration --region {{us-east-1}} --auto-enable
```

{{us-east-1}}Dov'è la regione in cui abilitare e aggiungere automaticamente nuovi account, la regione Stati Uniti orientali (Virginia settentrionale).

Per modificare successivamente questa impostazione e interrompere l'attivazione e l'aggiunta automatica di nuovi account, esegui nuovamente lo stesso comando e utilizza il `no-auto-enable` parametro, anziché il `auto-enable` parametro, in ciascuna regione applicabile.

È inoltre possibile abilitare automaticamente l'individuazione automatica dei dati sensibili per gli account dei nuovi membri. Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti campione dai bucket S3 dell'account e li analizza per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta [Esecuzione del rilevamento automatico di dati sensibili](discovery-asdd.md). Per abilitare automaticamente questa funzionalità per gli account dei membri, utilizza l'[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operazione o, se utilizzi il, esegui il comando. AWS CLI[update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)

------

## Passaggio 4: abilitare e aggiungere gli account aziendali esistenti come account membri di Macie
<a name="accounts-mgmt-ao-members-add-existing"></a>

Quando integri Macie con AWS Organizations, Macie non viene abilitato automaticamente per tutti gli account esistenti nell'organizzazione. Inoltre, gli account non vengono associati automaticamente all'account amministratore delegato di Macie come account membri di Macie. Pertanto, il passaggio finale dell'integrazione e della configurazione dell'organizzazione in Macie consiste nell'aggiungere gli account dell'organizzazione esistenti come account membri di Macie. Quando aggiungi un account esistente come account membro Macie, Macie viene automaticamente abilitato per l'account e tu (in qualità di amministratore delegato di Macie) hai accesso a determinate impostazioni, dati e risorse di Macie per l'account.

Tieni presente che non puoi aggiungere un account attualmente associato a un altro account amministratore Macie. Per aggiungere l'account, contatta il proprietario dell'account per dissociare prima l'account dall'account amministratore corrente. Inoltre, non puoi aggiungere un account esistente se Macie è attualmente sospeso per l'account. Il proprietario dell'account deve prima riattivare Macie per l'account. Infine, se desideri aggiungere l'account di AWS Organizations gestione come account membro, un utente di quell'account deve prima abilitare Macie per l'account.

**Per abilitare e aggiungere account aziendali esistenti come account membri di Macie**  
Per abilitare e aggiungere account aziendali esistenti come account membri di Macie, puoi utilizzare la console Amazon Macie o l'API Amazon Macie. Solo l'amministratore Macie delegato dell'organizzazione può eseguire questa operazione.

------
#### [ Console ]

Per eseguire questa operazione utilizzando la console, è necessario disporre del permesso di eseguire la seguente AWS Organizations azione:. `organizations:ListAccounts` Questa azione consente di recuperare e visualizzare informazioni sugli account della propria organizzazione. Se disponi di queste autorizzazioni, segui questi passaggi per abilitare e aggiungere account esistenti come account membri di Macie.

**Per abilitare e aggiungere account aziendali esistenti**

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri abilitare e aggiungi gli account esistenti come account membri di Macie.

1. Dal riquadro di navigazione, selezionare **Accounts (Account)**. La pagina **Account** si apre e mostra una tabella degli account associati al tuo account Macie.

   Se un account fa parte della tua organizzazione in AWS Organizations, il **tipo** è **Via AWS Organizations**. Se un account è già membro di Macie, il suo **stato** è **Attivato** o In **pausa (sospeso)**.

1. Nella tabella **Account esistenti**, seleziona la casella di controllo per ogni account che desideri aggiungere come account membro Macie.

1. Nel menu **Azioni**, scegli **Aggiungi** membro.

1. Conferma di voler aggiungere gli account selezionati come account membro.

Dopo aver confermato l'aggiunta degli account selezionati, lo stato degli account cambia **in Attivazione in corso** e quindi **Attivato**. Dopo aver aggiunto un account membro, puoi anche abilitare l'individuazione automatica dei dati sensibili per l'account: nella tabella **Account esistenti**, seleziona la casella di controllo relativa a ciascun account per cui abilitarlo, quindi scegli **Abilita il rilevamento automatico dei dati sensibili** nel menu **Azioni**. Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti campione dai bucket S3 dell'account e li analizza per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta [Esecuzione del rilevamento automatico di dati sensibili](discovery-asdd.md).

Ripeti i passaggi precedenti in ogni regione aggiuntiva in cui desideri configurare la tua organizzazione in Macie.

------
#### [ API ]

Per abilitare e aggiungere a livello di codice uno o più account esistenti come account membri di Macie, utilizza il [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funzionamento dell'API Amazon Macie. Quando invii la richiesta, utilizza i parametri supportati per specificare l'ID dell'account a 12 cifre e l'indirizzo e-mail di ciascuno da abilitare e aggiungere. Account AWS Specificate anche la regione a cui si riferisce la richiesta. Per abilitare e aggiungere account esistenti in altre regioni, invia la richiesta per ogni regione aggiuntiva.

Per recuperare l'ID account e l'indirizzo e-mail di un account Account AWS da abilitare e aggiungere, puoi opzionalmente utilizzare il [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funzionamento dell'API Amazon Macie. Questa operazione fornisce dettagli sugli account associati al tuo account Macie, inclusi gli account che non sono account membri di Macie. Se il valore della `relationshipStatus` proprietà di un account non è `Enabled` o `Paused` l'account non è un account membro Macie.

Per abilitare e aggiungere uno o più account esistenti utilizzando AWS CLI, esegui il comando [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilizzate il `region` parametro per specificare la regione in cui abilitare e aggiungere gli account. Utilizzate i `account` parametri per specificare l'ID dell'account e l'indirizzo e-mail per ciascuno Account AWS di essi da aggiungere. Esempio:

```
C:\> aws macie2 create-member --region {{us-east-1}} --account={\"accountId\":\"{{123456789012}}\",\"email\":\"{{janedoe@example.com}}\"}
```

{{us-east-1}}Dov'è la regione in cui abilitare e aggiungere l'account come account membro Macie (regione Stati Uniti orientali (Virginia settentrionale)) e `account` i parametri specificano l'ID dell'account ({{123456789012}}) e l'indirizzo e-mail ({{janedoe@example.com}}) per l'account.

Se la richiesta ha esito positivo, lo stato (`relationshipStatus`) dell'account specificato diventa `Enabled` nell'inventario dell'account.

Per abilitare anche l'individuazione automatica dei dati sensibili per uno o più account, utilizza l'[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)operazione o, se utilizzi il AWS CLI, esegui il comando [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Se abiliti questa funzionalità per un account, Macie seleziona continuamente oggetti di esempio dai bucket S3 dell'account e analizza gli oggetti per determinare se contengono dati sensibili. Per ulteriori informazioni, consulta [Esecuzione del rilevamento automatico di dati sensibili](discovery-asdd.md).

------