Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beziehungen zwischen Macie-Administrator und Mitgliedskonto
Wenn Sie als Organisation mehrere Amazon Macie Macie-Konten zentral verwalten, hat der Macie-Administrator Zugriff auf Inventardaten, Richtlinienfeststellungen und bestimmte Macie-Einstellungen und Ressourcen für zugehörige Mitgliedskonten von Amazon Simple Storage Service (Amazon S3). Der Administrator kann auch die automatische Erkennung sensibler Daten aktivieren und Aufgaben zur Erkennung sensibler Daten ausführen, um sensible Daten in S3-Buckets zu erkennen, die Mitgliedskonten gehören. Die Support bestimmter Aufgaben hängt davon ab, ob ein Macie-Administratorkonto über AWS Organizations oder auf Einladung mit einem Mitgliedskonto verknüpft ist.
Die folgende Tabelle enthält Einzelheiten zur Beziehung zwischen Macie-Administrator- und Mitgliedskonten. Sie gibt die Standardberechtigungen für jeden Kontotyp an. Um den Zugriff auf Macie-Funktionen und -Operationen weiter einzuschränken, können Sie benutzerdefinierte AWS Identity and Access Management (IAM) Richtlinien verwenden.
In der Tabelle:
-
Self gibt an, dass das Konto die Aufgabe für keine verknüpften Konten ausführen kann.
-
Any bedeutet, dass das Konto die Aufgabe für ein einzelnes zugeordnetes Konto ausführen kann.
-
All bedeutet, dass das Konto die Aufgabe ausführen kann und dass die Aufgabe für alle zugehörigen Konten gilt.
Ein Bindestrich (—) bedeutet, dass das Konto die Aufgabe nicht ausführen kann.
Aufgabe | Durch AWS Organizations | Auf Einladung | ||
---|---|---|---|---|
Administrator | Mitglied | Administrator | Mitglied | |
Aktiviere Macie | Any | – | Selbst | Selbst |
Überprüfe den Kontobestand der Organisation 1 | Alle | – | Alle | – |
Fügen Sie ein Mitgliedskonto hinzu | Any | – | Any | – |
Überprüfen Sie die Statistiken und Metadaten für S3-Buckets | Alle | Selbst | Alle | Selbst |
Überprüfen Sie die politischen Ergebnisse | Alle | Selbst | Alle | Selbst |
Politische Ergebnisse unterdrücken (archivieren) 2 | Alle | – | Alle | – |
Veröffentlichen Sie die politischen Ergebnisse 3 | Selbst | Selbst | Selbst | Selbst |
Konfigurieren Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten 4 | Selbst | Selbst | Selbst | Selbst |
Erstelle und verwende Zulassungslisten | Selbst | Selbst | Selbst | Selbst |
Erstellen und verwenden Sie benutzerdefinierte Datenbezeichner | Selbst | Selbst | Selbst | Selbst |
Konfigurieren Sie die Einstellungen für die automatische Erkennung sensibler Daten | Alle | – | Alle | – |
Aktivieren oder deaktivieren Sie die automatische Erkennung sensibler Daten | Any | – | Any | – |
Sehen Sie sich Statistiken, Daten und Ergebnisse zur automatisierten Erkennung sensibler Daten an 5 | Alle | Selbst | Alle | Selbst |
Discovery-Jobs für sensible Daten erstellen und ausführen 6 | Any | Selbst | Any | Selbst |
Überprüfen Sie die Einzelheiten der Aufgaben zur Erkennung sensibler Daten 7 | Selbst | Selbst | Selbst | Selbst |
Überprüfen Sie die Ergebnisse sensibler Daten 8 | Selbst | Selbst | Selbst | Selbst |
Ergebnisse sensibler Daten unterdrücken (archivieren) 8 | Selbst | Selbst | Selbst | Selbst |
Veröffentlichen Sie die Ergebnisse sensibler Daten 8 | Selbst | Selbst | Selbst | Selbst |
Konfigurieren Sie Macie so, dass Stichproben sensibler Daten für Ergebnisse abgerufen werden | Selbst | Selbst | Selbst | Selbst |
Rufen Sie Stichproben sensibler Daten für Ergebnisse ab 9 | Selbst | Selbst | Selbst | Selbst |
Konfigurieren Sie Veröffentlichungsziele für Ergebnisse | Selbst | Selbst | Selbst | Selbst |
Legen Sie die Veröffentlichungshäufigkeit für Ergebnisse fest | Alle | Selbst | Alle | Selbst |
Erstellen Sie Beispielergebnisse | Selbst | Selbst | Selbst | Selbst |
Prüfen Sie die Kontokontingente und die geschätzten Nutzungskosten | Alle | Selbst | Alle | Selbst |
Macie 10 sperren | Any | – | Any | Selbst |
Deaktiviere Macie 11 | Selbst | Selbst | Selbst | Selbst |
Ein Mitgliedskonto entfernen (die Zuordnung aufheben) | Any | – | Any | – |
Trennen Sie die Verbindung zu einem Administratorkonto | – | – | – | Selbst |
Löschen Sie eine Verknüpfung mit einem anderen Konto 12 | Any | – | Any | Selbst |
-
Der Administrator einer Organisation in AWS Organizations kann alle Konten in der Organisation überprüfen, auch Konten, für die Macie nicht aktiviert wurde. Der Administrator einer Organisation, die auf Einladung basiert, kann nur die Konten überprüfen, die er seinem Inventar hinzugefügt hat.
-
Nur ein Administrator kann Richtlinienfeststellungen unterdrücken. Wenn ein Administrator eine Unterdrückungsregel erstellt, wendet Macie die Regel auf die Richtlinienergebnisse für alle Konten in der Organisation an, sofern die Regel nicht so konfiguriert ist, dass bestimmte Konten ausgeschlossen werden. Wenn ein Mitglied eine Unterdrückungsregel erstellt, wendet Macie die Regel nicht auf die Richtlinienfeststellungen für das Konto des Mitglieds an.
-
Nur das Konto, dem eine betroffene Ressource gehört, kann Richtlinienergebnisse für die Ressource veröffentlichen. AWS Security Hub Sowohl Administrator- als auch Mitgliedskonten veröffentlichen automatisch Richtlinienergebnisse für eine betroffene Ressource auf Amazon EventBridge.
-
Wenn ein Administrator die automatische Erkennung sensibler Daten aktiviert oder einen Job zur Analyse von Objekten in S3-Buckets konfiguriert, die einem Mitgliedskonto gehören, speichert Macie die Ergebnisse der Erkennung sensibler Daten im Repository für das Administratorkonto.
-
Nur ein Administrator kann auf die Ergebnisse zugreifen, die durch die automatische Erkennung sensibler Daten gewonnen werden. Sowohl ein Administrator als auch ein Mitglied können andere Arten von Daten überprüfen, die durch die automatische Erkennung sensibler Daten für das Konto des Mitglieds generiert werden.
-
Ein Mitglied kann einen Job so konfigurieren, dass nur Objekte in S3-Buckets analysiert werden, die seinem Konto gehören. Ein Administrator kann einen Job zur Analyse von Objekten in Buckets konfigurieren, die seinem Konto oder einem Mitgliedskonto gehören. Informationen zur Anwendung von Kontingenten und zur Berechnung der Kosten für Jobs mit mehreren Konten finden Sie unter. Grundlegendes zu den geschätzten Nutzungskosten
-
Nur das Konto, das einen Job erstellt, kann auf die Details des Jobs zugreifen. Dazu gehören auftragsbezogene Details im S3-Bucket-Inventar.
-
Nur das Konto, das einen Job erstellt, kann auf die Ergebnisse sensibler Daten, die der Job generiert, zugreifen, diese unterdrücken oder veröffentlichen. Nur ein Administrator kann auf die Ergebnisse sensibler Daten zugreifen, diese unterdrücken oder veröffentlichen, die durch die automatische Erkennung sensibler Daten gewonnen werden.
-
Wenn ein Ergebnis vertraulicher Daten auf ein S3-Objekt zutrifft, das einem Mitgliedskonto gehört, kann der Administrator möglicherweise Stichproben sensibler Daten abrufen, die im Rahmen des Ergebnisses gemeldet wurden. Dies hängt von der Quelle des Ergebnisses sowie von den Konfigurationseinstellungen und Ressourcen im Administratorkonto und im Mitgliedskonto ab. Weitere Informationen finden Sie unter Konfigurationsoptionen für das Abrufen vertraulicher Datenproben.
-
Damit ein Administrator Macie für sein eigenes Konto sperren kann, muss er zunächst sein Konto von allen Mitgliedskonten trennen.
-
Damit ein Administrator Macie für sein eigenes Konto deaktivieren kann, muss er zunächst sein Konto von allen Mitgliedskonten trennen und die Verknüpfungen zwischen seinem Konto und all diesen Konten löschen. Der Administrator einer Organisation in AWS Organizations kann dies tun, indem er mit dem Verwaltungskonto der Organisation ein anderes Konto als Administratorkonto festlegt.
Damit ein Mitglied einer AWS Organizations Organisation Macie deaktivieren kann, muss der Administrator zuerst das Konto des Mitglieds von seinem Administratorkonto trennen. In einer Organisation, die auf Einladung basiert, kann das Mitglied sein Konto von seinem Administratorkonto trennen und dann Macie deaktivieren.
-
Der Administrator einer Organisation in AWS Organizations kann eine Verknüpfung mit einem Mitgliedskonto löschen, nachdem er das Konto von seinem Administratorkonto getrennt hat. Das Konto wird weiterhin im Kontoinventar des Administrators angezeigt, sein Status gibt jedoch an, dass es sich nicht um ein Mitgliedskonto handelt. In einer Organisation, die auf Einladung basiert, können ein Administrator und ein Mitglied eine Verknüpfung mit einem anderen Konto löschen, nachdem sie ihr Konto von dem anderen Konto getrennt haben. Das andere Konto wird dann nicht mehr in seinem Kontoinventar angezeigt.