Consideraciones para las organizaciones basadas en invitaciones en Macie - Amazon Macie
Creación de una cuenta de administrador Envío de invitaciones y administración de las cuentas de miembrosResponder y administrar invitaciones de membresíaTransitando a AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones para las organizaciones basadas en invitaciones en Macie

nota

Recomendamos usar AWS Organizations en lugar de las invitaciones de Macie para gestionar las cuentas de los miembros. Para obtener más información, consulte Administrar varias cuentas de Macie con AWS Organizations.

Antes de crear o comenzar a administrar una organización basada en invitaciones en Amazon Macie, tenga en cuenta los siguientes requisitos y recomendaciones. Asegúrese también de que entiende la relación entre las cuentas de administrador y de miembro de Macie.

Elegir una cuenta de administrador de Macie

Al determinar qué cuenta debe ser la cuenta de administrador de Macie para la organización, tenga en cuenta lo siguiente:

  • Una organización solo puede tener una cuenta de administrador de Macie.

  • Una cuenta no puede ser cuenta de administrador de Macie y cuenta de miembro al mismo tiempo.

  • Macie es un servicio regional. Esto significa que la asociación entre una cuenta de administrador de Macie y una cuenta de miembro es regional; la asociación solo existe en Región de AWS desde donde se envía una invitación y se acepta en. Por ejemplo, si el administrador de Macie envía invitaciones a la región Este de EE. UU. (Norte de Virginia) y esas invitaciones son aceptadas, el administrador de Macie solo podrá administrar las cuentas de los miembros en esa región.

  • Administrar de forma centralizada las cuentas de Macie en múltiples Regiones de AWS, el administrador de Macie debe iniciar sesión en cada región en la que la organización utilice o tenga previsto utilizar Macie y enviar invitaciones a las cuentas correspondientes de cada una de esas regiones. Para obtener una lista de las regiones en las que Macie está disponible actualmente, consulte los puntos de destino y las cuotas de Amazon Macie en la Referencia general de AWS.

  • Una cuenta de miembro solo se puede asociar a una cuenta de administrador de Macie a la vez. Si su organización utiliza Macie en varias regiones, significa que la cuenta de administrador de Macie debe ser la misma en todas esas regiones. Sin embargo, las cuentas de administrador y de miembro deben enviar y aceptar las invitaciones por separado en cada región.

Si el administrador de Macie es Cuenta de AWS si se suspende, aísla o cierra, todas las cuentas de miembros asociadas se eliminan automáticamente como cuentas de miembros, pero Macie sigue habilitando las cuentas. Las cuentas se convierten en cuentas Macie independientes. Si la detección automática de datos confidenciales estaba habilitada para la cuenta de un miembro, se deshabilita para la cuenta. Esto también inhabilita el acceso a los datos estadísticos, los datos de inventario y otra información que Macie produjo y proporcionó directamente al realizar la detección automática de la cuenta. Transcurridos 30 días, estos datos caducan y Macie los borra permanentemente. Para restablecer el acceso a los datos antes de que caduquen, restaure los datos del administrador de Macie Cuenta de AWS y, a continuación, utilice esa cuenta para volver a crear y configurar la organización.

Envío de invitaciones y administración de las cuentas de miembros de Macie

Como administrador de Macie de una organización basada en invitaciones, tenga en cuenta lo siguiente al enviar invitaciones y administrar las cuentas de la organización:

  • Si envías una invitación, es posible que los datos relacionados se transfieran de un lado a otro Regiones de AWS. Esto se debe a que Macie verifica la dirección de correo electrónico de la cuenta receptora mediante un servicio de verificación de correo electrónico que opera únicamente en la región de EE. UU. Este (Virginia del Norte).

  • Puedes enviar una invitación a cualquier persona activa Cuenta de AWS, incluidas las cuentas que no han activado a Macie. Para aceptar o rechazar una invitación, debe activar Macie en la región desde la que se envió la invitación.

  • En cada Región de AWS, una cuenta de administrador de Macie no puede asociarse a más de 1000 cuentas por invitación. Esto incluye las cuentas que aún no hayan respondido a las invitaciones. Si tu cuenta cumple con este límite, no puedes añadir ni invitar a más cuentas. Para determinar cuántas cuentas están asociadas actualmente a su cuenta, puede utilizar la página Cuentas de la consola Amazon Macie o el ListMembersfuncionamiento de Amazon Macie. API Para obtener más información, consulte Revisión de las cuentas de Macie para una organización basada en invitaciones.

    Para reducir la cantidad de cuentas asociadas, puede: eliminar las asociaciones con cuentas que actualmente no son cuentas de miembros, eliminar la cantidad necesaria de cuentas de miembros o una combinación de ambas. Si una cuenta se retira de tu organización o rechaza una invitación que tú le has enviado, también se reduce el número de cuentas asociadas a tu cuenta.

  • Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Esto significa que una cuenta no puede aceptar una invitación si ya está asociada a otra cuenta de administrador de Macie. La cuenta primero debe desasociarse de su cuenta de administrador de Macie actual.

  • En una organización basada en invitaciones, la cuenta de un miembro puede desvincularse de su cuenta de administrador de Macie en cualquier momento. Si esto ocurre, Macie seguirá habilitada para la cuenta, pero pasará a ser una cuenta de Macie independiente. Macie no le notifica si la cuenta de un miembro se desvincula de su cuenta de administrador. Sin embargo, la cuenta seguirá apareciendo en su inventario de cuentas y tendrá el estado de Miembro que ha renunciado.

  • Si eliminas la cuenta de un miembro de tu organización, Macie seguirá teniendo habilitada la cuenta. La cuenta pasa a ser una cuenta Macie independiente.

Responder y administrar invitaciones de membresía

Como destinatario de una invitación o miembro de una organización basada en invitaciones, tenga en cuenta lo siguiente al responder y administrar las invitaciones que reciba:

  • Antes de aceptar una invitación, asegúrese de entender la relación entre las cuentas de administrador y de miembro de Macie.

  • Las cuentas solo se pueden asociar a una cuenta de administrador de Macie a la vez. Si aceptas una invitación y posteriormente quieres unirte a otra organización (por invitación o a través de AWS Organizations), primero debe desvincular su cuenta de su cuenta de administrador actual de Macie. A continuación, podrá unirse a la otra organización.

  • Para aceptar o rechazar una invitación, tienes que habilitar a Macie en el Región de AWS desde el que se envió la invitación. La cuenta que envió la invitación no puede habilitar Macie en esa región para usted. Rechazar una invitación es opcional. Si rechaza una invitación puede, si lo desea, inhabilitar a Macie en la región correspondiente después de rechazarla.

  • Si es administrador de Macie, no puede aceptar una invitación para convertirse en una cuenta de miembro: una cuenta no puede ser de administrador de Macie y de miembro al mismo tiempo. Para convertirse en una cuenta de miembro, primero debe desvincular su cuenta de todas sus cuentas de miembro eliminando todas las cuentas de miembro de su organización actual.

  • Macie es un servicio regional. Si acepta una invitación, la asociación entre su cuenta y la cuenta de administrador de Macie es regional; la asociación solo existe en el Región de AWS desde el que se envió la invitación y se aceptó en.

  • Si utiliza Macie en varias regiones, la cuenta de administrador de Macie de su cuenta debe ser la misma en todas esas regiones. Sin embargo, el administrador de Macie debe enviarle las invitaciones por separado en cada región y usted debe aceptarlas por separado en cada región.

  • Puede desvincular su cuenta de una cuenta de administrador de Macie en cualquier momento. Del mismo modo, su administrador de Macie puede eliminar su cuenta de su organización en cualquier momento. Si ocurre alguna de las dos cosas:

    • Macie sigue habilitada para tu cuenta. Su cuenta pasa a ser una cuenta Macie independiente.

    • La detección automática de datos confidenciales está deshabilitada para su cuenta, si estaba habilitada. Esto también deshabilita el acceso a los datos estadísticos existentes, los datos de inventario y otra información que Macie produjo y proporcionó directamente al realizar la detección automática de su cuenta. Puedes volver a activar la detección automática en tu cuenta. Sin embargo, esto no restablece el acceso a los datos existentes. En cambio, Macie genera y mantiene nuevos datos mientras realiza la detección automática de tu cuenta.

¿Está haciendo la transición a AWS Organizations

Después de crear una organización basada en invitaciones en Macie, puede pasar a usar AWS Organizations en su lugar. Para simplificar la transición, le recomendamos que designe la cuenta de administrador existente, basada en una invitación, como la cuenta de administrador de Macie para la organización en AWS Organizations.

Si lo hace, todas las cuentas de miembros actualmente asociadas seguirán siendo miembros. Si la cuenta de un miembro forma parte de la organización en AWS Organizations, la asociación de la cuenta cambia automáticamente de Por invitación a Vía AWS Organizationsen Macie. Si la cuenta de un miembro no forma parte de la organización en AWS Organizations, la asociación de la cuenta sigue siendo Por invitación. En ambos casos, las cuentas seguirán asociadas a la cuenta de administrador de Macie como cuentas de miembros.

Recomendamos este enfoque porque una cuenta de miembro solo se puede asociar a una cuenta de administrador de Macie a la vez. Si designa una cuenta diferente como cuenta de administrador de Macie para una organización en AWS Organizations, el administrador designado no podrá gestionar las cuentas que ya estén asociadas a otra cuenta de administrador de Macie por invitación. Cada cuenta de miembro debe desvincularse primero de su cuenta de administrador actual, basada en una invitación. Solo entonces podrá el administrador de Macie para la AWS Organizations la organización agrega la cuenta de miembro a su organización y comienza a administrar Macie para la cuenta.

Después de integrar Macie con AWS Organizations y configurar su organización en Macie, si lo desea, puede designar una cuenta de administrador de Macie diferente para la organización. También puede seguir utilizando las invitaciones para asociar y gestionar cuentas de miembros que no formen parte de su organización en AWS Organizations.

Para obtener información sobre la integración de Macie con AWS Organizations, consulte Administrar varias cuentas de Macie con AWS Organizations.