Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bevor Sie Amazon Macie in Macie integrieren AWS Organizations und Ihre Organisation in Macie konfigurieren, sollten Sie die folgenden Anforderungen und Empfehlungen berücksichtigen. Stellen Sie außerdem sicher, dass Sie die Beziehung zwischen Macie-Administrator- und Mitgliedskonten verstehen.
Themen
Benennen eines Macie-Administratorkontos
Beachten Sie bei der Entscheidung, welches Konto das delegierte Macie-Administratorkonto für Ihre Organisation sein soll, Folgendes:
-
Eine Organisation kann nur über ein delegiertes Macie-Administratorkonto verfügen.
-
Ein Konto kann nicht gleichzeitig Macie-Administrator und Mitgliedskonto sein.
-
Nur das AWS Organizations Verwaltungskonto für eine Organisation kann das delegierte Macie-Administratorkonto für die Organisation festlegen. Nur das Verwaltungskonto kann diese Bezeichnung später ändern oder entfernen.
-
Das AWS Organizations Verwaltungskonto für eine Organisation kann auch das delegierte Macie-Administratorkonto für die Organisation sein. Wir empfehlen jedoch nicht, diese Konfiguration auf der Grundlage bewährter AWS Sicherheitsverfahren und des Prinzips der geringsten Rechte zu verwenden. Benutzer, die zu Abrechnungszwecken Zugriff auf das Verwaltungskonto haben, unterscheiden sich wahrscheinlich von Benutzern, die aus Gründen der Informationssicherheit Zugriff auf Macie benötigen.
Wenn Sie diese Konfiguration bevorzugen, müssen Sie Macie für das Verwaltungskonto der Organisation in mindestens einem aktivieren, AWS-Region bevor Sie das Konto als delegiertes Macie-Administratorkonto festlegen. Andernfalls kann das Konto nicht auf Macie-Einstellungen und Ressourcen für Mitgliedskonten zugreifen und diese verwalten.
-
Im AWS Organizations Gegensatz dazu ist Macie ein regionaler Dienst. Dies bedeutet, dass die Bezeichnung eines Macie-Administratorkontos eine regionale Bezeichnung ist. Dies bedeutet auch, dass die Verknüpfungen zwischen Macie-Administrator- und Mitgliedskonten regional sind. Wenn das Verwaltungskonto beispielsweise ein Macie-Administratorkonto in der Region USA Ost (Nord-Virginia) festlegt, kann der Macie-Administrator Macie nur für Mitgliedskonten in dieser Region verwalten.
Um Macie-Konten in mehreren Regionen zentral zu verwalten AWS-Regionen, muss sich das Verwaltungskonto in jeder Region anmelden, in der die Organisation Macie derzeit verwendet oder verwenden wird, und dann das Macie-Administratorkonto für jede dieser Regionen festlegen. Der Macie-Administrator kann dann die Organisation in jeder dieser Regionen konfigurieren. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz
-
Ein Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Wenn Ihre Organisation Macie in mehreren Regionen verwendet, muss das angegebene Macie-Administratorkonto in all diesen Regionen identisch sein. Das Verwaltungskonto Ihrer Organisation muss das Administratorkonto jedoch in jeder Region separat angeben.
-
Ein Konto kann das delegierte Macie-Administratorkonto für jeweils nur eine Organisation sein. Wenn Sie mehrere Organisationen in verwalten AWS Organizations, müssen Sie für jede Organisation ein anderes Macie-Administratorkonto einrichten. Dies ist auf eine AWS Organizations Anforderung zurückzuführen: Ein Konto kann jeweils nur Mitglied einer Organisation sein.
Wenn das Konto des Macie-Administrators gesperrt, isoliert oder geschlossen AWS-Konto wird, werden alle zugehörigen Macie-Mitgliedskonten automatisch als Macie-Mitgliedskonten entfernt, Macie bleibt jedoch weiterhin für die Konten aktiviert. Wenn die automatische Erkennung sensibler Daten für ein oder mehrere Mitgliedskonten aktiviert wurde, ist sie für die Konten deaktiviert. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung der Konten erstellt und direkt bereitgestellt hat. Um den Zugriff auf diese Daten wiederherzustellen, muss innerhalb von 30 Tagen Folgendes geschehen:
-
Die des Macie-Administrators AWS-Konto ist wiederhergestellt.
-
Das AWS Organizations Verwaltungskonto weist das Konto wieder als Macie-Administratorkonto aus.
-
Der Macie-Administrator konfiguriert die Organisation und aktiviert wieder die automatische Erkennung der entsprechenden Konten.
Nach 30 Tagen löscht Macie Daten, die es zuvor erstellt und direkt bereitgestellt hat, dauerhaft und führt gleichzeitig eine automatische Erkennung der entsprechenden Konten durch.
Änderung oder Entfernung der Bezeichnung eines Macie-Administratorkontos
Nur das AWS Organizations Verwaltungskonto für eine Organisation kann die Bezeichnung eines delegierten Macie-Administratorkontos für die Organisation ändern oder entfernen.
Wenn das Verwaltungskonto die Bezeichnung ändert oder entfernt:
-
Alle zugehörigen Mitgliedskonten werden als Macie-Mitgliedskonten entfernt, Macie ist jedoch weiterhin für die Konten aktiviert. Die Konten werden zu eigenständigen Macie-Konten. Um die Nutzung von Macie zu pausieren oder zu beenden, muss ein Nutzer eines Mitgliedskontos Macie für das Konto sperren (pausieren) oder deaktivieren (beenden).
-
Die automatische Erkennung sensibler Daten ist für jedes Konto, für das sie aktiviert wurde, deaktiviert. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung für jedes Konto erstellt und direkt bereitgestellt hat. Um den Zugriff auf diese Daten wiederherzustellen, muss das Verwaltungskonto innerhalb von 30 Tagen erneut dasselbe Macie-Administratorkonto angeben. Darüber hinaus muss der Macie-Administrator die Organisation erneut konfigurieren und die automatische Erkennung für jedes Konto innerhalb von 30 Tagen erneut aktivieren. Nach 30 Tagen laufen die Daten ab und Macie löscht sie dauerhaft.
Hinzufügen und Entfernen von Macie-Mitgliedskonten
Beachten Sie beim Hinzufügen, Entfernen und anderweitigen Verwalten von Mitgliedskonten für Ihre Organisation Folgendes:
-
Ein Macie-Administratorkonto kann jeweils nicht mehr als 10.000 Macie-Mitgliedskonten zugeordnet werden. AWS-Region Wenn Ihre Organisation dieses Kontingent überschreitet, kann der Macie-Administrator erst dann Mitgliedskonten hinzufügen, wenn er die erforderliche Anzahl vorhandener Mitgliedskonten in der Region entfernt hat. Wenn eine Organisation dieses Kontingent erreicht, benachrichtigen wir den Macie-Administrator, indem wir ein AWS Health Ereignis für sein Konto erstellen. Wir senden auch E-Mails an die Adresse, die mit ihrem Konto verknüpft ist.
Wenn Sie der Macie-Administrator einer Organisation sind, können Sie mithilfe der Kontoseite in der Amazon Macie-Konsole oder mithilfe der Amazon Macie Macie-API feststellen, wie viele Mitgliedskonten derzeit mit Ihrem Konto verknüpft sind. ListMembers Weitere Informationen finden Sie unter Macie-Konten für eine Organisation überprüfen.
-
Ein Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Das bedeutet, dass ein Konto keine Macie-Einladung von einem anderen Konto annehmen kann, wenn es bereits mit dem Macie-Administratorkonto für eine Organisation in verknüpft ist. AWS Organizations
Ebenso AWS Organizations kann der Macie-Administrator einer Organisation das Konto nicht als Macie-Mitgliedskonto hinzufügen, wenn ein Konto bereits eine Einladung angenommen hat. Das Konto muss zuerst von seinem aktuellen Administratorkonto getrennt werden, das auf Einladung basiert.
-
Um das AWS Organizations Verwaltungskonto als Macie-Mitgliedskonto hinzuzufügen, muss ein Benutzer des Verwaltungskontos zuerst Macie für das Konto aktivieren. Der Macie-Administrator darf Macie nicht für das Verwaltungskonto aktivieren.
-
Wenn der Macie-Administrator ein Macie-Mitgliedskonto entfernt:
-
Macie ist weiterhin für das Konto aktiviert. Das Konto wird zu einem eigenständigen Macie-Konto. Um die Nutzung von Macie zu pausieren oder zu beenden, muss ein Nutzer des Accounts Macie für das Konto sperren (pausieren) oder deaktivieren (beenden).
-
Die automatische Erkennung sensibler Daten ist für das Konto deaktiviert, sofern sie aktiviert wurde. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung des Kontos erstellt und direkt bereitgestellt hat.
-
-
Ein Mitgliedskonto kann nicht von seinem Macie-Administratorkonto getrennt werden. Nur der Macie-Administrator kann ein Konto als Macie-Mitgliedskonto entfernen.
Umstellung von einer Organisation, die auf Einladungen basiert
Wenn Sie mithilfe von Macie-Mitgliedschaftseinladungen bereits ein Macie-Administratorkonto mit Mitgliedskonten verknüpft haben, empfehlen wir Ihnen, dieses Konto als delegiertes Macie-Administratorkonto für Ihre Organisation in festzulegen. AWS Organizations Dies vereinfacht den Übergang von einer Organisation, die auf Einladungen basiert.
Wenn Sie dies tun, bleiben alle derzeit verknüpften Mitgliedskonten weiterhin Mitglieder. Wenn ein Mitgliedskonto Teil Ihrer Organisation ist AWS Organizations, ändert sich die Zuordnung des Kontos automatisch von Auf Einladung zu Via AWS Organizations in Macie. Wenn ein Mitgliedskonto nicht Teil Ihrer Organisation ist AWS Organizations, gilt die Zuordnung des Kontos weiterhin als Auf Einladung. In beiden Fällen werden die Konten weiterhin dem delegierten Macie-Administratorkonto als Mitgliedskonten zugeordnet. Für die Erkennung sensibler Daten bedeutet dies auch, dass die Konten weiterhin auf statistische und andere Daten zugreifen können, die Macie erstellt und direkt bereitgestellt hat, während gleichzeitig die automatische Erkennung sensibler Daten für die Konten durchgeführt wird. Wenn der Macie-Administrator außerdem Aufträge zur Erkennung sensibler Daten konfiguriert hat, um Daten für die Konten zu analysieren, werden nachfolgende Auftragsausführungen weiterhin Ressourcen umfassen, die den Konten gehören.
Wir empfehlen diesen Ansatz, da ein Konto nicht mit mehr als einem Macie-Administratorkonto gleichzeitig verknüpft werden kann. Wenn Sie in ein anderes Konto als Macie-Administratorkonto für Ihre Organisation festlegen AWS Organizations, kann der angegebene Administrator Konten, die bereits mit einem anderen Macie-Administratorkonto verknüpft sind, nicht per Einladung verwalten. Jedes Mitgliedskonto muss zunächst von seinem aktuellen Administratorkonto getrennt werden, das auf Einladung basiert. Der Macie-Administrator für Ihre Organisation in AWS Organizations kann das Konto dann als Macie-Mitgliedskonto hinzufügen und mit der Verwaltung des Kontos beginnen.
Nachdem Sie Macie in Macie integriert AWS Organizations und Ihre Organisation dort konfiguriert haben, können Sie optional ein anderes Macie-Administratorkonto für die Organisation festlegen. Sie können auch weiterhin Einladungen verwenden, um Mitgliedskonten zuzuordnen und zu verwalten, die nicht Teil Ihrer Organisation sind. AWS Organizations
