Beziehungen zwischen Macie-Administrator und Mitgliedskonto - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beziehungen zwischen Macie-Administrator und Mitgliedskonto

Wenn Sie als Organisation mehrere Amazon Macie Macie-Konten zentral verwalten, hat der Macie-Administrator Zugriff auf Inventardaten, Richtlinienfeststellungen und bestimmte Macie-Einstellungen und Ressourcen für zugehörige Mitgliedskonten von Amazon Simple Storage Service (Amazon S3). Der Administrator kann auch die automatische Erkennung sensibler Daten aktivieren und Aufgaben zur Erkennung sensibler Daten ausführen, um sensible Daten in S3-Buckets zu erkennen, die Mitgliedskonten gehören. Die Support bestimmter Aufgaben hängt davon ab, ob ein Macie-Administratorkonto über AWS Organizations oder auf Einladung mit einem Mitgliedskonto verknüpft ist.

Die folgende Tabelle enthält Einzelheiten zur Beziehung zwischen Macie-Administrator- und Mitgliedskonten. Sie gibt die Standardberechtigungen für jeden Kontotyp an. Um den Zugriff auf Macie-Funktionen und -Operationen weiter einzuschränken, können Sie benutzerdefinierte AWS Identity and Access Management (IAM) Richtlinien verwenden.

In der Tabelle:

  • Self gibt an, dass das Konto die Aufgabe für keine verknüpften Konten ausführen kann.

  • Any bedeutet, dass das Konto die Aufgabe für ein einzelnes zugeordnetes Konto ausführen kann.

  • All bedeutet, dass das Konto die Aufgabe ausführen kann und dass die Aufgabe für alle zugehörigen Konten gilt.

Ein Bindestrich (—) bedeutet, dass das Konto die Aufgabe nicht ausführen kann.

Aufgabe Durch AWS Organizations Auf Einladung
Administrator Mitglied Administrator Mitglied
Aktiviere Macie Any Selbst Selbst
Überprüfe den Kontobestand der Organisation 1 Alle Alle
Fügen Sie ein Mitgliedskonto hinzu Any Any
Überprüfen Sie die Statistiken und Metadaten für S3-Buckets Alle Selbst Alle Selbst
Überprüfen Sie die politischen Ergebnisse Alle Selbst Alle Selbst
Politische Ergebnisse unterdrücken (archivieren) 2 Alle Alle
Veröffentlichen Sie die politischen Ergebnisse 3 Selbst Selbst Selbst Selbst
Konfigurieren Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten 4 Selbst Selbst Selbst Selbst
Erstelle und verwende Zulassungslisten Selbst Selbst Selbst Selbst
Erstellen und verwenden Sie benutzerdefinierte Datenbezeichner Selbst Selbst Selbst Selbst
Konfigurieren Sie die Einstellungen für die automatische Erkennung sensibler Daten Alle Alle
Aktivieren oder deaktivieren Sie die automatische Erkennung sensibler Daten Any Any
Sehen Sie sich Statistiken, Daten und Ergebnisse zur automatisierten Erkennung sensibler Daten an 5 Alle Selbst Alle Selbst
Discovery-Jobs für sensible Daten erstellen und ausführen 6 Any Selbst Any Selbst
Überprüfen Sie die Einzelheiten der Aufgaben zur Erkennung sensibler Daten 7 Selbst Selbst Selbst Selbst
Überprüfen Sie die Ergebnisse sensibler Daten 8 Selbst Selbst Selbst Selbst
Ergebnisse sensibler Daten unterdrücken (archivieren) 8 Selbst Selbst Selbst Selbst
Veröffentlichen Sie die Ergebnisse sensibler Daten 8 Selbst Selbst Selbst Selbst
Konfigurieren Sie Macie so, dass Stichproben sensibler Daten für Ergebnisse abgerufen werden Selbst Selbst Selbst Selbst
Rufen Sie Stichproben sensibler Daten für Ergebnisse ab 9 Selbst Selbst Selbst Selbst
Konfigurieren Sie Veröffentlichungsziele für Ergebnisse Selbst Selbst Selbst Selbst
Legen Sie die Veröffentlichungshäufigkeit für Ergebnisse fest Alle Selbst Alle Selbst
Erstellen Sie Beispielergebnisse Selbst Selbst Selbst Selbst
Prüfen Sie die Kontokontingente und die geschätzten Nutzungskosten Alle Selbst Alle Selbst
Macie 10 sperren Any Any Selbst
Deaktiviere Macie 11 Selbst Selbst Selbst Selbst
Ein Mitgliedskonto entfernen (die Zuordnung aufheben) Any Any
Trennen Sie die Verbindung zu einem Administratorkonto Selbst
Löschen Sie eine Verknüpfung mit einem anderen Konto 12 Any Any Selbst
  1. Der Administrator einer Organisation in AWS Organizations kann alle Konten in der Organisation überprüfen, auch Konten, für die Macie nicht aktiviert wurde. Der Administrator einer Organisation, die auf Einladung basiert, kann nur die Konten überprüfen, die er seinem Inventar hinzugefügt hat.

  2. Nur ein Administrator kann Richtlinienfeststellungen unterdrücken. Wenn ein Administrator eine Unterdrückungsregel erstellt, wendet Macie die Regel auf die Richtlinienergebnisse für alle Konten in der Organisation an, sofern die Regel nicht so konfiguriert ist, dass bestimmte Konten ausgeschlossen werden. Wenn ein Mitglied eine Unterdrückungsregel erstellt, wendet Macie die Regel nicht auf die Richtlinienfeststellungen für das Konto des Mitglieds an.

  3. Nur das Konto, dem eine betroffene Ressource gehört, kann Richtlinienergebnisse für die Ressource veröffentlichen. AWS Security Hub Sowohl Administrator- als auch Mitgliedskonten veröffentlichen automatisch Richtlinienergebnisse für eine betroffene Ressource auf Amazon EventBridge.

  4. Wenn ein Administrator die automatische Erkennung sensibler Daten aktiviert oder einen Job zur Analyse von Objekten in S3-Buckets konfiguriert, die einem Mitgliedskonto gehören, speichert Macie die Ergebnisse der Erkennung sensibler Daten im Repository für das Administratorkonto.

  5. Nur ein Administrator kann auf die Ergebnisse zugreifen, die durch die automatische Erkennung sensibler Daten gewonnen werden. Sowohl ein Administrator als auch ein Mitglied können andere Arten von Daten überprüfen, die durch die automatische Erkennung sensibler Daten für das Konto des Mitglieds generiert werden.

  6. Ein Mitglied kann einen Job so konfigurieren, dass nur Objekte in S3-Buckets analysiert werden, die seinem Konto gehören. Ein Administrator kann einen Job zur Analyse von Objekten in Buckets konfigurieren, die seinem Konto oder einem Mitgliedskonto gehören. Informationen zur Anwendung von Kontingenten und zur Berechnung der Kosten für Jobs mit mehreren Konten finden Sie unter. Grundlegendes zu den geschätzten Nutzungskosten

  7. Nur das Konto, das einen Job erstellt, kann auf die Details des Jobs zugreifen. Dazu gehören auftragsbezogene Details im S3-Bucket-Inventar.

  8. Nur das Konto, das einen Job erstellt, kann auf die Ergebnisse sensibler Daten, die der Job generiert, zugreifen, diese unterdrücken oder veröffentlichen. Nur ein Administrator kann auf die Ergebnisse sensibler Daten zugreifen, diese unterdrücken oder veröffentlichen, die durch die automatische Erkennung sensibler Daten gewonnen werden.

  9. Wenn ein Ergebnis vertraulicher Daten auf ein S3-Objekt zutrifft, das einem Mitgliedskonto gehört, kann der Administrator möglicherweise Stichproben sensibler Daten abrufen, die im Rahmen des Ergebnisses gemeldet wurden. Dies hängt von der Quelle des Ergebnisses sowie von den Konfigurationseinstellungen und Ressourcen im Administratorkonto und im Mitgliedskonto ab. Weitere Informationen finden Sie unter Konfigurationsoptionen für das Abrufen vertraulicher Datenproben.

  10. Damit ein Administrator Macie für sein eigenes Konto sperren kann, muss er zunächst sein Konto von allen Mitgliedskonten trennen.

  11. Damit ein Administrator Macie für sein eigenes Konto deaktivieren kann, muss er zunächst sein Konto von allen Mitgliedskonten trennen und die Verknüpfungen zwischen seinem Konto und all diesen Konten löschen. Der Administrator einer Organisation in AWS Organizations kann dies tun, indem er mit dem Verwaltungskonto der Organisation ein anderes Konto als Administratorkonto festlegt.

    Damit ein Mitglied einer AWS Organizations Organisation Macie deaktivieren kann, muss der Administrator zuerst das Konto des Mitglieds von seinem Administratorkonto trennen. In einer Organisation, die auf Einladung basiert, kann das Mitglied sein Konto von seinem Administratorkonto trennen und dann Macie deaktivieren.

  12. Der Administrator einer Organisation in AWS Organizations kann eine Verknüpfung mit einem Mitgliedskonto löschen, nachdem er das Konto von seinem Administratorkonto getrennt hat. Das Konto wird weiterhin im Kontoinventar des Administrators angezeigt, sein Status gibt jedoch an, dass es sich nicht um ein Mitgliedskonto handelt. In einer Organisation, die auf Einladung basiert, können ein Administrator und ein Mitglied eine Verknüpfung mit einem anderen Konto löschen, nachdem sie ihr Konto von dem anderen Konto getrennt haben. Das andere Konto wird dann nicht mehr in seinem Kontoinventar angezeigt.