Überlegungen für auf Einladung basierende Organisationen in Macie - Amazon Macie
Auswahl eines AdministratorkontosEinladungen versenden und Mitgliedskonten verwaltenBeantwortung und Verwaltung von MitgliedschaftseinladungenÜbergang zu AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen für auf Einladung basierende Organisationen in Macie

Anmerkung

Wir empfehlen die Verwendung AWS Organizations anstelle von Macie-Einladungen zur Verwaltung von Mitgliedskonten. Weitere Informationen finden Sie unter Verwaltung mehrerer Macie-Konten mit AWS Organizations.

Bevor Sie eine Organisation auf Einladung in Amazon Macie erstellen oder mit der Verwaltung beginnen, sollten Sie die folgenden Anforderungen und Empfehlungen berücksichtigen. Stellen Sie außerdem sicher, dass Sie die Beziehung zwischen Macie-Administrator - und Mitgliedskonten verstehen.

Auswahl eines Macie-Administratorkontos

Beachten Sie bei der Entscheidung, welches Konto das Macie-Administratorkonto für die Organisation sein soll, Folgendes:

  • Eine Organisation kann nur ein Macie-Administratorkonto haben.

  • Ein Konto kann nicht gleichzeitig Macie-Administrator und Mitgliedskonto sein.

  • Macie ist ein regionaler Dienst. Das bedeutet, dass die Zuordnung zwischen einem Macie-Administratorkonto und einem Mitgliedskonto regional ist — die Zuordnung besteht nur in AWS-Region dass eine Einladung von gesendet und angenommen wird. Wenn der Macie-Administrator beispielsweise Einladungen in der Region USA Ost (Nord-Virginia) versendet und diese Einladungen akzeptiert werden, kann der Macie-Administrator die Mitgliedskonten nur in dieser Region verwalten.

  • Zur zentralen Verwaltung von Macie-Konten in mehreren AWS-Regionen, muss sich der Macie-Administrator in jeder Region anmelden, in der die Organisation Macie derzeit nutzt oder nutzen will, und Einladungen an die entsprechenden Konten in jeder dieser Regionen senden. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der Allgemeine AWS-Referenz.

  • Ein Mitgliedskonto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Wenn Ihre Organisation Macie in mehreren Regionen verwendet, bedeutet dies, dass das Macie-Administratorkonto in all diesen Regionen identisch sein muss. Administrator- und Mitgliedskonten müssen Einladungen jedoch in jeder Region getrennt versenden und annehmen.

Wenn der Macie-Administrator AWS-Konto gesperrt, isoliert oder geschlossen ist, werden alle zugehörigen Mitgliedskonten automatisch als Mitgliedskonten entfernt, aber Macie ist weiterhin für die Konten aktiviert. Die Konten werden zu eigenständigen Macie-Konten. Wenn die automatische Erkennung sensibler Daten für ein Mitgliedskonto aktiviert wurde, ist sie für das Konto deaktiviert. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung des Kontos erstellt und direkt bereitgestellt hat. Nach 30 Tagen laufen diese Daten ab und Macie löscht sie dauerhaft. Um den Zugriff auf die Daten wiederherzustellen, bevor sie ablaufen, stellen Sie den Macie-Administrator wieder her AWS-Konto, und verwenden Sie dann dieses Konto, um die Organisation erneut zu erstellen und zu konfigurieren.

Einladungen versenden und Macie-Mitgliedskonten verwalten

Als Macie-Administrator einer Organisation, die auf Einladungen basiert, sollten Sie Folgendes beachten, wenn Sie Einladungen versenden und Konten in der Organisation verwalten:

  • Wenn Sie eine Einladung versenden, werden die zugehörigen Daten möglicherweise zwischen AWS-Regionen. Dies ist der Fall, weil Macie die E-Mail-Adresse des Empfängerkontos mithilfe eines E-Mail-Bestätigungsdienstes verifiziert, der nur in der Region USA Ost (Nord-Virginia) verfügbar ist.

  • Sie können eine Einladung an alle aktiven Personen senden AWS-Konto, einschließlich Konten, für die Macie nicht aktiviert wurde. Um eine Einladung anzunehmen oder abzulehnen, muss das Empfängerkonto Macie jedoch in der Region aktivieren, aus der die Einladung gesendet wurde.

  • In jedem AWS-Region, ein Macie-Administratorkonto kann auf Einladung mit nicht mehr als 1.000 Konten verknüpft werden. Dies schließt Konten ein, die noch nicht auf Einladungen geantwortet haben. Wenn Ihr Konto dieses Kontingent erfüllt, können Sie keine weiteren Konten hinzufügen oder einladen. Um festzustellen, wie viele Konten derzeit mit Ihrem Konto verknüpft sind, können Sie die Seite Konten auf der Amazon Macie-Konsole oder den ListMembersBetrieb von Amazon API Macie verwenden. Weitere Informationen finden Sie unter Überprüfung der Macie-Konten für eine Organisation, die auf Einladung basiert.

    Um die Anzahl der verknüpften Konten zu reduzieren, können Sie: Verknüpfungen mit Konten löschen, die derzeit keine Mitgliedskonten sind, die erforderliche Anzahl von Mitgliedskonten entfernen oder eine Kombination aus beidem. Wenn ein Konto aus Ihrer Organisation austritt oder eine von Ihnen gesendete Einladung ablehnt, wird dadurch auch die Anzahl der Konten reduziert, die mit Ihrem Konto verknüpft sind.

  • Ein Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Das bedeutet, dass ein Konto Ihre Einladung nicht annehmen kann, wenn es bereits mit einem anderen Macie-Administratorkonto verknüpft ist. Das Konto muss zuerst von seinem aktuellen Macie-Administratorkonto getrennt werden.

  • In einer Organisation, die auf Einladung basiert, kann ein Mitgliedskonto jederzeit die Verbindung zu seinem Macie-Administratorkonto trennen. In diesem Fall ist Macie weiterhin für das Konto aktiviert, aber das Konto wird zu einem eigenständigen Macie-Konto. Macie benachrichtigt Sie nicht, wenn ein Mitgliedskonto von Ihrem Administratorkonto getrennt wird. Das Konto erscheint jedoch weiterhin in Ihrem Kontoinventar und hat den Status Mitglied gekündigt.

  • Wenn Sie ein Mitgliedskonto aus Ihrer Organisation entfernen, ist Macie weiterhin für das Konto aktiviert. Das Konto wird zu einem eigenständigen Macie-Konto.

Beantwortung und Verwaltung von Mitgliedschaftseinladungen

Als Empfänger einer Einladung oder als Mitglied einer Organisation, die auf Einladungen basiert, sollten Sie Folgendes beachten, wenn Sie auf Einladungen antworten und diese verwalten:

  • Bevor Sie eine Einladung annehmen, stellen Sie sicher, dass Sie die Beziehung zwischen Macie-Administrator- und Mitgliedskonten verstehen.

  • Ihr Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Wenn Sie eine Einladung annehmen und anschließend einer anderen Organisation beitreten möchten (auf Einladung oder über AWS Organizations), müssen Sie zuerst Ihr Konto von seinem aktuellen Macie-Administratorkonto trennen. Sie können dann der anderen Organisation beitreten.

  • Um eine Einladung anzunehmen oder abzulehnen, müssen Sie Macie in der AWS-Region von dem die Einladung gesendet wurde. Das Konto, das die Einladung gesendet hat, kann Macie in dieser Region nicht für Sie aktivieren. Das Ablehnen einer Einladung ist optional. Wenn Sie eine Einladung ablehnen, können Sie Macie optional in der entsprechenden Region deaktivieren, nachdem Sie die Einladung abgelehnt haben.

  • Wenn Sie ein Macie-Administrator sind, können Sie eine Einladung, ein Mitgliedskonto zu werden, nicht annehmen. Ein Konto kann nicht gleichzeitig Macie-Administrator und Mitgliedskonto sein. Um ein Mitgliedskonto zu werden, müssen Sie zunächst Ihr Konto von allen Mitgliedskonten trennen, indem Sie alle Mitgliedskonten aus Ihrer aktuellen Organisation entfernen.

  • Macie ist ein regionaler Dienst. Wenn Sie eine Einladung annehmen, ist die Zuordnung zwischen Ihrem Konto und dem Macie-Administratorkonto regional — die Zuordnung besteht nur in AWS-Region von dem die Einladung gesendet und angenommen wurde.

  • Wenn Sie Macie in mehreren Regionen verwenden, muss das Macie-Administratorkonto für Ihr Konto in all diesen Regionen identisch sein. Der Macie-Administrator muss Ihnen jedoch Einladungen in jeder Region separat senden, und Sie müssen die Einladungen in jeder Region separat annehmen.

  • Sie können Ihr Konto jederzeit von einem Macie-Administratorkonto trennen. Ebenso kann Ihr Macie-Administrator Ihr Konto jederzeit aus seiner Organisation entfernen. Falls einer der beiden Fälle eintritt:

    • Macie ist weiterhin für Ihr Konto aktiviert. Ihr Konto wird zu einem eigenständigen Macie-Konto.

    • Die automatische Erkennung sensibler Daten ist für Ihr Konto deaktiviert, sofern sie aktiviert wurde. Dadurch wird auch der Zugriff auf bestehende statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung Ihres Kontos erstellt und direkt bereitgestellt hat. Sie können die automatische Erkennung für Ihr Konto wieder aktivieren. Dadurch wird der Zugriff auf die vorhandenen Daten jedoch nicht wiederhergestellt. Stattdessen generiert und verwaltet Macie neue Daten und führt gleichzeitig eine automatische Erkennung für Ihr Konto durch.

Übergang zu AWS Organizations

Nachdem Sie in Macie eine Organisation erstellt haben, die auf Einladung basiert, können Sie auf Folgendes umsteigen AWS Organizations stattdessen. Um den Übergang zu vereinfachen, empfehlen wir, dass Sie das bestehende, auf Einladung basierende Administratorkonto als Macie-Administratorkonto für die Organisation in festlegen AWS Organizations.

Wenn Sie dies tun, bleiben alle derzeit verknüpften Mitgliedskonten weiterhin Mitglieder. Wenn ein Mitgliedskonto Teil der Organisation ist in AWS Organizations, ändert sich die Zuordnung des Kontos automatisch von „Auf Einladung“ zu „Via“ AWS Organizationsbei Macie. Wenn ein Mitgliedskonto nicht Teil der Organisation ist in AWS Organizations, die Zuordnung des Kontos erfolgt weiterhin auf Einladung. In beiden Fällen werden die Konten weiterhin als Mitgliedskonten mit dem Macie-Administratorkonto verknüpft.

Wir empfehlen diesen Ansatz, da ein Mitgliedskonto jeweils nur einem Macie-Administratorkonto zugeordnet werden kann. Wenn Sie ein anderes Konto als Macie-Administratorkonto für eine Organisation in festlegen AWS Organizations, kann der angegebene Administrator auf Einladung keine Konten verwalten, die bereits mit einem anderen Macie-Administratorkonto verknüpft sind. Jedes Mitgliedskonto muss zunächst von seinem aktuellen Administratorkonto getrennt werden, das auf Einladung basiert. Erst dann kann der Macie-Administrator für AWS Organizations Organisation fügt das Mitgliedskonto zu ihrer Organisation hinzu und beginnt mit der Verwaltung von Macie für das Konto.

Nachdem Sie Macie integriert haben AWS Organizations und Ihre Organisation in Macie konfigurieren, können Sie optional ein anderes Macie-Administratorkonto für die Organisation festlegen. Sie können Einladungen auch weiterhin verwenden, um Mitgliedskonten zuzuordnen und zu verwalten, die nicht Teil Ihrer Organisation sind AWS Organizations.

Für Informationen zur Integration von Macie mit AWS Organizations, finden Sie unter Verwaltung mehrerer Macie-Konten mit AWS Organizations.