Administración de las cuentas de los miembros de Macie para una organización - Amazon Macie
Adición de cuentas de miembroSuspensión de Macie para cuentas de miembroEliminación de cuentas de miembro

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de las cuentas de los miembros de Macie para una organización

Una vez integrada y configurada una AWS Organizations organización en Amazon Macie, el administrador de Macie delegado de la organización puede acceder a determinados ajustes, datos y recursos de Macie para las cuentas de los miembros. Como administrador de Macie de una organización, puede usar Macie para realizar determinadas tareas de administración y administración de cuentas de forma centralizada. Por ejemplo, puede hacer lo siguiente:

  • Agregar y eliminar cuentas como cuentas de miembro de Macie.

  • Administre el estado de Macie para cuentas individuales, por ejemplo, habilite o suspenda Macie para una cuenta.

  • Supervisar las cuotas de Macie y los costos de uso estimados de las cuentas individuales y de la organización en general.

También puede consultar los datos de inventario de Amazon Simple Storage Service (Amazon S3) y los resultados de las políticas de las cuentas de los miembros de Macie. Además, puede encontrar datos confidenciales en los buckets de S3 que son propiedad de las cuentas. Para obtener una lista detallada de las tareas que puede realizar, consulte Relaciones entre el administrador y la cuenta miembro de Macie.

De forma predeterminada, Macie le ofrece visibilidad de los datos y recursos relevantes de todas las cuentas de miembros de Macie de su organización. También puede profundizar para revisar los datos y los recursos de las cuentas individuales. Por ejemplo, si utiliza el panel Resumen para evaluar la postura de seguridad de Amazon S3 de su organización, puede filtrar los datos por cuenta. Del mismo modo, si monitoriza los costos de uso estimados, puede acceder a los desgloses de los costos estimados de las cuentas de los miembros individuales.

Además de las tareas que son comunes a las cuentas de administrador y de miembros, puede realizar diversas tareas administrativas para su organización.

Como administrador de Macie de una organización, puede realizar estas tareas mediante la consola de Amazon Macie o la API de Amazon Macie. Si prefieres usar la consola, debes poder realizar la siguiente AWS Organizations acción:. organizations:ListAccounts Esta acción le permite recuperar y mostrar información sobre cuentas que forman parte de su organización en AWS Organizations.

Adición de cuentas de miembro de Macie a una organización

En algunos casos, es posible que tenga que agregar manualmente una cuenta como cuenta de miembro de Amazon Macie. Este es el caso de las cuentas que previamente eliminó (desasoció) como cuentas de miembro. Este también es el caso si no ha configurado Macie para que habilite y agregue automáticamente nuevas cuentas de miembro cuando se agreguen cuentas a su organización en AWS Organizations.

Al agregar una cuenta como cuenta de miembro de Macie:

  • Macie está habilitado para la cuenta actual Región de AWS, si aún no lo está en la región.

  • La cuenta está asociada a su cuenta de administrador de Macie como cuenta de miembro en la región. La cuenta de miembro no recibe ninguna invitación ni ninguna otra notificación en la que se indique que usted ha establecido esta relación entre sus cuentas.

  • La detección de datos confidenciales automatizada podría estar habilitada para la cuenta en la región. Esto depende de los ajustes de configuración que haya especificado para la organización. Para obtener más información, consulte Configuración de la detección de datos confidenciales automatizada.

Tenga en cuenta que no puede añadir una cuenta que ya esté asociada a otra cuenta de administrador de Macie. La cuenta primero debe desasociarse de su cuenta de administrador actual. Además, no puedes añadir la cuenta de AWS Organizations administración como cuenta de miembro a menos que Macie ya esté habilitada para ella. Para obtener más información sobre los requisitos adicionales, consulte Consideraciones para usar Macie con AWS Organizations..

Añadir una cuenta de miembro de Macie a una organización

Para añadir una o más cuentas de miembros de Macie a su organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

Console

Siga estos pasos para añadir una o más cuentas de miembro de Macie mediante la consola de Amazon Macie.

Añadir una cuenta de miembro de Macie

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir una cuenta de miembro.

  3. En el panel de navegación, elija Cuentas. Se abre la página Cuentas y muestra una tabla con las cuentas asociadas a su cuenta.

  4. (Opcional) Para identificar más fácilmente las cuentas que forman parte de su organización en AWS Organizations y no son cuentas de miembro de Macie, utilice el cuadro de filtro situado encima de la tabla Cuentas existentes para añadir las siguientes condiciones de filtrado:

    • Tipo: Organization

    • Estado: No es miembro

    Para mostrar también las cuentas que ha eliminado anteriormente y que tal vez desee añadir como cuentas de miembro, añada también la condición de filtro Estado = Eliminado.

  5. En la tabla de cuentas existentes, selecciona la casilla de verificación de cada cuenta que quieras añadir como cuenta de miembro.

  6. En el menú Acciones, elija Añadir miembro.

  7. Confirme que desea añadir como cuentas de miembro el número de cuentas seleccionadas.

Tras confirmar las selecciones, el estado de las cuentas seleccionadas cambia a Habilitación en proceso y, a continuación, a Activado en el inventario de cuentas.

Para añadir una cuenta de miembro en otras regiones, repita los pasos anteriores en cada región adicional.

API

Para añadir una o más cuentas de miembros de Macie mediante programación, utilice la CreateMemberoperación de la API de Amazon Macie.

Cuando envíe su solicitud, utilice los parámetros admitidos para especificar el ID de cuenta de 12 dígitos y la dirección de correo electrónico de cada una de ellas Cuenta de AWS que desee añadir. Especifica también la región a la que se aplica la solicitud. Para añadir una cuenta en regiones adicionales, envíe su solicitud en cada región adicional.

Para recuperar el ID de cuenta y la dirección de correo electrónico de la cuenta que desee añadir, puede correlacionar el resultado de la ListAccountsoperación de la AWS Organizations API y el ListMembersfuncionamiento de la API de Amazon Macie. Para la operación ListMembers de la API de Macie, incluya el parámetro onlyAssociated en su solicitud y defina el valor del parámetro en false. Si la operación se realiza correctamente, Macie devuelve una matriz members que proporciona detalles sobre todas las cuentas asociadas a su cuenta de administrador de Macie en la región especificada, incluidas las cuentas que actualmente no son cuentas de miembros. En la matriz, anote lo siguiente:

  • Si el valor de la propiedad relationshipStatus de una cuenta no es Enabled o Paused, la cuenta está asociada a la suya, pero no es una cuenta de miembro de Macie.

  • Si una cuenta no está incluida en la matriz, pero sí en el resultado de la operación ListAccounts de la API de AWS Organizations , la cuenta forma parte de su organización en AWS Organizations , pero no está asociada a ella y, por lo tanto, no es una cuenta de miembro de Macie.

Para añadir una cuenta de miembro mediante AWS Command Line Interface (AWS CLI), ejecute el comando create-member. Utilice el parámetro region para especificar la región en la que se va a añadir la cuenta. Utilice los parámetros account para especificar el ID de cuenta y la dirección de correo electrónico de cada cuenta que desee añadir. Por ejemplo:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Dónde us-east-1 está la región en la que se va a añadir la cuenta como cuenta de miembro (la región EE.UU. Este (Virginia del Norte)) y account los parámetros especifican el identificador de la cuenta (123456789012) y la dirección de correo electrónico (janedoe@example.com) de la cuenta.

Si la solicitud se aprueba, el estado (relationshipStatus) de la cuenta especificada cambia a Enabled en el inventario de su cuenta.

Suspensión de Macie para las cuentas de los miembros de una organización

Como administrador de Amazon Macie de una organización en AWS Organizations, puedes suspender a Macie para una cuenta de miembro de tu organización. Si lo hace, también podrá volver a habilitar Macie para la cuenta más adelante.

Cuando se suspende Macie de una cuenta de miembro:

  • Macie pierde el acceso y deja de proporcionar metadatos sobre los datos Amazon S3 de la cuenta en el actual Región de AWS.

  • Macie deja de realizar todas las actividades para la cuenta en la región. Esto incluye la supervisión de los buckets de S3 para garantizar la seguridad y el control de acceso, la detección automática de datos confidenciales y la ejecución de las tareas de detección de datos confidenciales que se estén realizando actualmente.

  • Macie cancela todos los trabajos de detección de datos confidenciales creados por la cuenta en la región. Un trabajo no se puede reanudar ni reiniciar después de cancelarse. Si ha creado trabajos para analizar los datos que son propiedad de la cuenta de miembro, Macie no los cancela. En su lugar, los trabajos omiten los recursos que son propiedad de la cuenta.

Mientras esté suspendida, Macie conserva el identificador de sesión, la configuración y los recursos que almacena o mantiene para la cuenta en la región correspondiente. Macie también conserva determinados datos de la cuenta en la región. Por ejemplo, los resultados de la cuenta permanecen intactos y no se ven afectados durante un máximo de 90 días. Si se habilitó la detección automática de datos confidenciales para la cuenta, los resultados existentes también permanecerán intactos y no se verán afectados durante un máximo de 30 días. Su organización no incurre en cargos de Macie por la cuenta de esa región mientras Macie esté suspendida por la cuenta de la región.

Suspender Macie para una cuenta de miembro de una organización

Para suspender a Macie de una cuenta de miembro de una organización, puede usar la consola de Amazon Macie o la API de Amazon Macie.

Console

Siga estos pasos para suspender Macie de una cuenta de miembro mediante la consola de Amazon Macie.

Para suspender Macie de una cuenta de miembro

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee suspender a Macie para una cuenta de miembro.

  3. En el panel de navegación, elija Cuentas. Se abre la página Cuentas y muestra una tabla con las cuentas asociadas a su cuenta.

  4. En la tabla de cuentas existentes, selecciona la casilla de verificación de la cuenta por la que deseas suspender a Macie.

  5. En el menú Acciones, seleccione Suspender Macie.

  6. Confirme que desea suspender Macie de la cuenta.

Tras confirmar la suspensión, el estado de la cuenta cambiará a En pausa (suspendido) en el inventario de la cuenta. Para suspender la cuenta de Macie en otras regiones, repita los pasos anteriores en cada región adicional.

Para volver a activar Macie en la cuenta más adelante, vuelve a la página de cuentas de la consola. Selecciona la casilla de verificación de la cuenta y, a continuación, selecciona Activar Macie en el menú Acciones. Para volver a habilitar Macie para la cuenta en otras regiones, repite estos pasos en cada región adicional.

API

Para suspender a Macie de una cuenta de miembro mediante programación, utilice la API de UpdateMemberSessionAmazon Macie. También puede utilizar esta operación para volver a habilitar Macie en la cuenta más adelante.

Cuando envíes tu solicitud, usa el id parámetro para especificar el ID de cuenta de 12 dígitos de la cuenta por la Cuenta de AWS que deseas suspender a Macie. En el parámetro status, especifique PAUSED. Especifica también la región a la que se aplica la solicitud. Para suspender la cuenta de Macie en otras regiones, envía tu solicitud en cada región adicional.

Para recuperar el identificador de la cuenta, puede utilizar el ListMembersfuncionamiento de la API de Amazon Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro onlyAssociated en su solicitud. Si establece el valor de este parámetro en true, Macie devolverá una matriz members que proporciona detalles únicamente sobre las cuentas que actualmente son cuentas de miembros.

Para suspender a Macie de una cuenta de miembro mediante el comando AWS CLI, ejecute el update-member-sessioncomando. Utilice el region parámetro para especificar la región en la que desea suspender a Macie para la cuenta. Utilice el id parámetro para especificar el identificador de la cuenta. En el parámetro status, especifique PAUSED. Por ejemplo:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

Dónde us-east-1 está la región en la que se va a suspender a Macie (la región EE.UU. Este (Virginia del Norte)), 123456789012 es el identificador de la cuenta por la que se va a suspender a Macie y PAUSED es el nuevo estado de Macie para la cuenta.

Si su solicitud se aprueba, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia a Paused en el inventario de cuentas. Para volver a activar Macie en la cuenta más adelante, ejecute de nuevo el update-member-session comando y especifique el parámetro. ENABLED status

Eliminación de cuentas de miembro de Macie de una organización

Si quiere dejar de acceder a la configuración, los datos y los recursos de Amazon Macie para una cuenta de miembro, puede eliminar la cuenta como cuenta de miembro de Macie. Puede hacerlo desvinculando la cuenta de su cuenta de administrador de Macie. Tenga en cuenta que solo usted puede hacer esto con una cuenta de miembro. La cuenta de un AWS Organizations miembro no se puede desvincular de su cuenta de administrador de Macie.

Al eliminar una cuenta de miembro de Macie, Macie permanece habilitada para la cuenta actual Región de AWS. Sin embargo, la cuenta se disocia de su cuenta de administrador de Macie y pasa a ser una cuenta de Macie independiente. Esto significa que perderá el acceso a todos los ajustes, datos y recursos de Macie de la cuenta, incluidos los metadatos y las conclusiones de las políticas de los datos de Amazon S3 de la cuenta. Esto también significa que ya no puede usar Macie para detectar datos confidenciales en los buckets de S3 que son propiedad de la cuenta. Si ya ha creado tareas de detección de datos confidenciales para ello, estas tareas omiten los buckets que sean propiedad de la cuenta. Si ha habilitado la detección de datos confidenciales automatizada para la cuenta, tanto usted como la cuenta de miembro perderán el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta.

Tras eliminar una cuenta de miembro de Macie, la cuenta seguirá apareciendo en el inventario de cuentas. Macie no notifica al propietario de la cuenta que la ha eliminado. Por lo tanto, considere ponerse en contacto con el propietario de la cuenta para asegurarse de que comience a administrar la configuración y los recursos de su cuenta.

Puede volver a agregar la cuenta a la organización en un momento posterior. Si lo haces y vuelves a activar la detección automática de datos confidenciales de la cuenta en un plazo de 30 días, también recuperarás el acceso a los datos y la información que Macie recopiló anteriormente y proporcionó directamente al realizar la detección automática de la cuenta. Además, las sucesivas ejecuciones de sus trabajos actuales comenzarán a incluir de nuevo los buckets S3 de la cuenta.

Eliminación de una cuenta de miembro de una organización

Para eliminar una cuenta de miembro de Macie de su organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

Console

Siga estos pasos para eliminar una cuenta de miembro de Macie mediante la consola de Amazon Macie.

Eliminar una cuenta de miembro de Macie

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee eliminar la cuenta de un miembro.

  3. En el panel de navegación, elija Cuentas. Se abre la página Cuentas y muestra una tabla con las cuentas asociadas a su cuenta.

  4. En la tabla de cuentas existentes, selecciona la casilla de verificación de la cuenta que quieres eliminar como cuenta de miembro.

  5. En el menú Acciones, seleccione Desvincular cuenta.

  6. Confirme que desea eliminar la cuenta seleccionada como cuenta de miembro.

Tras confirmar su selección, el estado de la cuenta cambiará a Eliminada (desvinculada) en el inventario de su cuenta.

Para eliminar la cuenta de miembro en otras regiones, repita los pasos anteriores en cada región adicional.

API

Para eliminar una cuenta de miembro de Macie mediante programación, utilice el DisassociateMemberfuncionamiento de la API de Amazon Macie.

Cuando envíe su solicitud, utilice el id parámetro para especificar el Cuenta de AWS identificador de 12 dígitos que debe eliminar la cuenta de miembro. Especifica también la región a la que se aplica la solicitud. Para eliminar la cuenta en otras regiones, envíe la solicitud en cada región adicional.

Para recuperar el ID de la cuenta de miembro que va a eliminar, puede utilizar la ListMembersoperación de la API de Amazon Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro onlyAssociated en su solicitud. Si establece el valor de este parámetro en true, Macie devolverá una matriz members que proporciona detalles únicamente sobre las cuentas que actualmente son cuentas de miembros de Macie.

Para eliminar una cuenta de miembro de Macie mediante el comando AWS CLIdisassociate-member. Utilice el parámetro region para especificar la región en la que se va a eliminar la cuenta. Utilice el parámetro id para especificar el ID de cuenta de la cuenta de miembro que se va a eliminar. Por ejemplo:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

¿Dónde us-east-1 está la región en la que se va a eliminar la cuenta (la región EE.UU. Este (Virginia del Norte)) y el identificador de la cuenta que 123456789012 se va a eliminar?

Si tu solicitud se aprueba, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia al Removed de su inventario de cuentas.