Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Antes de integrar Amazon Macie AWS Organizations y configurar su organización en Macie, tenga en cuenta los siguientes requisitos y recomendaciones. Asegúrese también de que entiende la relación entre las cuentas de administrador y de miembro de Macie.
Temas
Designación de una cuenta de administrador de Macie
Al determinar qué cuenta debe ser la cuenta de administrador de Macie delegada para su organización, tenga en cuenta lo siguiente:
-
Una organización solo puede tener una cuenta de administrador de Macie delegada.
-
Una cuenta no puede ser cuenta de administrador de Macie y cuenta de miembro al mismo tiempo.
-
Solo la cuenta AWS Organizations de administración de una organización puede designar la cuenta de administrador delegado de Macie para la organización. Solo la cuenta de administrador puede cambiar o eliminar esa designación posteriormente.
-
La cuenta AWS Organizations de administración de una organización también puede ser la cuenta de administrador delegado de Macie para la organización. Sin embargo, no recomendamos esta configuración basándonos en las mejores prácticas AWS de seguridad y en el principio del privilegio mínimo. Es probable que los usuarios que tienen acceso a la cuenta de administración para fines de facturación no sean los mismos que los usuarios que necesitan acceder a Macie por motivos de seguridad de la información.
Si prefiere esta configuración, debe habilitar Macie para la cuenta de administración de la organización en al menos una Región de AWS antes de designar la cuenta como cuenta de administrador delegado de Macie. De lo contrario, la cuenta no podrá acceder a la configuración y los recursos de Macie para las cuentas de miembros y administrarlos.
-
A diferencia de AWS Organizations esto, Macie es un servicio regional. Esto significa que la designación de una cuenta de administrador de Macie es una designación Regional. También significa que las asociaciones entre las cuentas de administrador y miembro de Macie son Regionales. Por ejemplo, si la cuenta de administración designa una cuenta de administrador de Macie en la región del Este de EE. UU. (Norte de Virginia), el administrador de Macie solo podrá gestionar Macie para las cuentas de los miembros de esa Región.
Para gestionar de forma centralizada varias cuentas de Macie Regiones de AWS, la cuenta de administración debe iniciar sesión en cada región en la que la organización utilice o vaya a utilizar Macie y, a continuación, designar la cuenta de administrador de Macie en cada una de esas regiones. De esa forma, la cuenta de administrador de Macie puede configurar la organización en cada una de esas regiones. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie en Referencia general de AWS.
-
Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Si su organización utiliza Macie en varias Regiones, la cuenta de administrador de Macie designada debe ser la misma en todas esas Regiones. Sin embargo, la cuenta de administración de su organización debe designar la cuenta de administrador por separado en cada región.
-
Una cuenta solo puede ser la cuenta de administrador delegado de Macie de una organización a la vez. Si administra varias organizaciones AWS Organizations, debe designar una cuenta de administrador de Macie diferente para cada organización. Esto se debe a un requisito de AWS Organizations : una cuenta solo puede pertenecer a una organización a la vez.
Si Cuenta de AWS se suspende, aísla o cierra la cuenta del administrador de Macie, todas las cuentas de miembros de Macie asociadas se eliminarán automáticamente como cuentas de miembros de Macie, pero Macie seguirá habilitada para esas cuentas. Si se había habilitado la detección de datos confidenciales automatizada para una o más cuentas de miembro, se deshabilita para las cuentas. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para las cuentas. Para restablecer el acceso a estos datos, debe ocurrir lo siguiente en un plazo de 30 días:
-
Se restablece la del administrador de Macie. Cuenta de AWS
-
La cuenta AWS Organizations de administración vuelve a designar la cuenta como la cuenta de administrador de Macie.
-
El administrador de Macie configura la organización y vuelve a habilitar la detección automatizada en las cuentas correspondientes.
Después de 30 días, Macie elimina de forma permanente los datos que generaba y proporcionaba directamente antes mientras realizaba la detección automatizada de las cuentas correspondientes.
Cambiar o eliminar la designación de una cuenta de administrador de Macie
Solo la cuenta AWS Organizations de administración de una organización puede cambiar o eliminar la designación de una cuenta de administrador delegada de Macie para la organización.
Si la cuenta de administración cambia o elimina la designación:
-
Todas las cuentas de miembro asociadas se eliminan como cuentas de miembro de Macie, pero Macie sigue estando activado para las cuentas. Las cuentas se convierten en cuentas de Macie independientes. Para pausar o dejar de usar Macie, el usuario de una cuenta de miembro debe suspender (pausar) o deshabilitar (detener) Macie para la cuenta.
-
La detección de datos confidenciales automatizada está deshabilitada en todas las cuentas en las que estaba habilitada. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para cada cuenta. Para restablecer el acceso a estos datos, la cuenta de administración debe volver a designar la misma cuenta de administrador de Macie en un plazo de 30 días. Además, el administrador de Macie debe volver a configurar la organización y volver a activar la detección automatizada para cada cuenta en un plazo de 30 días. Transcurridos 30 días, los datos caducan y Macie los borra permanentemente.
Agregar y eliminar cuentas de miembro de Macie
A la hora de agregar, eliminar y administrar cuentas de miembro de una organización, tenga en cuenta lo siguiente:
-
Una cuenta de administrador de Macie puede estar asociada a un máximo de 10 000 cuentas de miembro de Macie en cada Región de AWS. Si su organización supera esta cuota, el administrador de Macie no podrá añadir cuentas de miembro hasta que elimine el número necesario de cuentas de miembros existentes en la región. Cuando una organización alcanza esta cuota, se lo notificamos al administrador de Macie mediante la creación de un AWS Health evento para su cuenta. También enviamos un correo electrónico a la dirección de correo asociada a su cuenta.
Si es el administrador de Macie de una organización, puede determinar cuántas cuentas de miembros están asociadas actualmente a su cuenta mediante la página Cuentas de la consola de Amazon Macie o mediante el funcionamiento de ListMembersla API de Amazon Macie. Para obtener más información, consulte Revisión de las cuentas de Macie para una organización.
-
Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Esto significa que una cuenta no puede aceptar una invitación de Macie desde otra cuenta si ya está asociada a la cuenta de administrador de Macie de una organización en AWS Organizations.
Del mismo modo, si una cuenta ya ha aceptado una invitación, el administrador de Macie de una organización no AWS Organizations podrá añadir la cuenta como cuenta de miembro de Macie. La cuenta primero debe desasociarse de su cuenta de administrador actual, basada en una invitación.
-
Para añadir la cuenta AWS Organizations de gestión como cuenta de miembro de Macie, un usuario de la cuenta de gestión debe habilitar primero Macie para la cuenta. El administrador de Macie no puede habilitar Macie para la cuenta de administración.
-
Si el administrador de Macie elimina una cuenta de miembro de Macie:
-
Macie sigue habilitado para la cuenta. La cuenta se convierte en una cuenta de Macie independiente. Para que una cuenta pueda pausar o dejar de usar Macie, el usuario de la cuenta debe suspender (pausar) o deshabilitar (detener) Macie para la cuenta.
-
La detección de datos confidenciales automatizada está deshabilitada para la cuenta, si es que estaba habilitada. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta.
-
-
Una cuenta de miembro no se puede desvincular de su cuenta de administrador de Macie. Solo el administrador de Macie puede eliminar una cuenta como cuenta de miembro de Macie.
Pasar de una organización basada en invitaciones
Si ya asoció una cuenta de administrador de Macie a las cuentas de los miembros mediante invitaciones de membresía de Macie, le recomendamos que designe esa cuenta como la cuenta de administrador de Macie delegada para su organización en AWS Organizations. Esto simplifica la transición desde una organización basada en invitaciones.
Si lo hace, todas las cuentas de miembros actualmente asociadas seguirán siendo miembros. Si una cuenta de miembro forma parte de su organización AWS Organizations, la asociación de la cuenta cambiará automáticamente de Por invitación a Via AWS Organizations in Macie. Si la cuenta de un miembro no forma parte de tu organización en AWS Organizations, la asociación de la cuenta seguirá siendo Por invitación. En ambos casos, las cuentas seguirán asociadas a la cuenta de administrador delegado de Macie como cuentas de miembros. En el caso del descubrimiento de datos confidenciales, esto también significa que las cuentas pueden seguir accediendo a los datos estadísticos y de otro tipo que Macie produjo y proporcionó directamente, a la vez que se procederá a la detección automática de los datos confidenciales de las cuentas. Además, si el administrador de Macie configuró tareas de detección de datos confidenciales para analizar los datos de las cuentas, las tareas posteriores seguirán incluyendo los recursos que son propiedad de las cuentas.
Recomendamos este enfoque porque una cuenta no se puede asociar a más de una cuenta de administrador de Macie al mismo tiempo. Si designa una cuenta diferente como cuenta de administrador de Macie para su organización AWS Organizations, el administrador designado no podrá gestionar las cuentas que ya estén asociadas a otra cuenta de administrador de Macie por invitación. Cada cuenta de miembro debe desvincularse primero de su cuenta de administrador actual, basada en una invitación. El administrador de Macie de su organización en AWS Organizations podrá entonces añadir la cuenta como cuenta de miembro de Macie y empezar a administrarla.
Tras integrar Macie AWS Organizations y configurar su organización en Macie, si lo desea, puede designar otra cuenta de administrador de Macie para la organización. También puede seguir utilizando las invitaciones para asociar y administrar cuentas de miembros que no formen parte de su organización en AWS Organizations.
