Considérations relatives aux organisations basées sur des invitations à Macie - Amazon Macie
Choix d'un compte administrateurEnvoyer des invitations et gérer les comptes des membresRépondre aux invitations aux membres et les gérerTransition vers AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives aux organisations basées sur des invitations à Macie

Note

Nous vous recommandons d'utiliser AWS Organizations au lieu d'invitations Macie à gérer les comptes des membres. Pour de plus amples informations, veuillez consulter Gérer plusieurs comptes Macie avec AWS Organizations.

Avant de créer ou de commencer à gérer une organisation basée sur des invitations dans Amazon Macie, tenez compte des exigences et recommandations suivantes. Assurez-vous également de bien comprendre la relation entre les comptes administrateur et membre de Macie.

Choisir un compte administrateur Macie

Lorsque vous déterminez quel compte doit être le compte administrateur Macie de l'organisation, gardez les points suivants à l'esprit :

  • Une organisation ne peut avoir qu'un seul compte administrateur Macie.

  • Un compte ne peut pas être un compte administrateur Macie et un compte membre à la fois.

  • Macie est un service régional. Cela signifie que l'association entre un compte administrateur Macie et un compte membre est régionale : l'association n'existe que dans Région AWS depuis lequel une invitation est envoyée et acceptée. Par exemple, si l'administrateur Macie envoie des invitations dans la région USA Est (Virginie du Nord) et que ces invitations sont acceptées, l'administrateur Macie ne peut gérer les comptes des membres que dans cette région.

  • Pour gérer de manière centralisée plusieurs comptes Macie Régions AWS, l'administrateur de Macie doit se connecter à chaque région dans laquelle l'organisation utilise actuellement ou prévoit d'utiliser Macie, et envoyer des invitations aux comptes appropriés dans chacune de ces régions. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible, consultez la section Points de terminaison et quotas Amazon Macie dans le Références générales AWS.

  • Un compte membre ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si votre organisation utilise Macie dans plusieurs régions, cela signifie que le compte administrateur Macie doit être le même dans toutes ces régions. Toutefois, les comptes administrateur et membre doivent envoyer et accepter les invitations séparément dans chaque région.

Si l'administrateur Macie est Compte AWS est suspendu, isolé ou fermé, tous les comptes de membre associés sont automatiquement supprimés en tant que comptes de membre, mais Macie continue d'être activé pour les comptes. Les comptes deviennent des comptes Macie autonomes. Si la découverte automatique des données sensibles a été activée pour le compte d'un membre, elle est désactivée pour le compte. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte. Au bout de 30 jours, ces données expirent et Macie les supprime définitivement. Pour rétablir l'accès aux données avant leur expiration, restaurez le Compte AWS, puis utilisez ce compte pour créer et configurer à nouveau l'organisation.

Envoyer des invitations et gérer les comptes des membres Macie

En tant qu'administrateur Macie d'une organisation basée sur des invitations, gardez à l'esprit les points suivants lorsque vous envoyez des invitations et gérez des comptes au sein de l'organisation :

  • Si vous envoyez une invitation, les données associées peuvent être transférées Régions AWS. C'est le cas car Macie vérifie l'adresse e-mail du compte destinataire à l'aide d'un service de vérification des e-mails qui fonctionne uniquement dans la région de l'est des États-Unis (Virginie du Nord).

  • Vous pouvez envoyer une invitation à n'importe quel actif Compte AWS, y compris les comptes sur lesquels Macie n'est pas activé. Toutefois, pour accepter ou refuser une invitation, le compte destinataire doit activer Macie dans la région d'où l'invitation a été envoyée.

  • Dans chaque Région AWS, un compte administrateur Macie peut être associé à un maximum de 1 000 comptes sur invitation. Cela inclut les comptes qui n'ont pas encore répondu aux invitations. Si votre compte atteint ce quota, vous ne pouvez pas ajouter ni inviter de comptes supplémentaires. Pour déterminer le nombre de comptes actuellement associés à votre compte, vous pouvez utiliser la page Comptes de la console Amazon Macie ou le ListMembersfonctionnement d'Amazon Macie. API Pour de plus amples informations, veuillez consulter Révision des comptes Macie pour une organisation basée sur des invitations.

    Pour réduire le nombre de comptes associés, vous pouvez : supprimer les associations avec des comptes qui ne sont pas actuellement des comptes membres, supprimer le nombre nécessaire de comptes membres ou une combinaison des deux. Si un compte quitte votre organisation ou refuse une invitation que vous avez envoyée, cela réduit également le nombre de comptes associés à votre compte.

  • Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Cela signifie qu'un compte ne peut pas accepter votre invitation s'il est déjà associé à un autre compte administrateur Macie. Le compte doit d'abord se dissocier de son compte administrateur Macie actuel.

  • Dans une organisation basée sur des invitations, un compte membre peut se dissocier de son compte administrateur Macie à tout moment. Dans ce cas, Macie continue d'être activé pour le compte, mais celui-ci devient un compte Macie autonome. Macie ne vous avertit pas si le compte d'un membre se dissocie de votre compte d'administrateur. Cependant, le compte continue d'apparaître dans l'inventaire de votre compte et il a le statut de membre démissionnaire.

  • Si vous supprimez un compte membre de votre organisation, Macie continue d'être activé pour ce compte. Le compte devient un compte Macie autonome.

Répondre aux invitations aux membres et les gérer

En tant que destinataire d'une invitation ou membre d'une organisation basée sur des invitations, gardez à l'esprit les points suivants lorsque vous répondez aux invitations que vous recevez et que vous les gérez :

  • Avant d'accepter une invitation, assurez-vous de bien comprendre la relation entre les comptes administrateur et membre de Macie.

  • Votre compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si vous acceptez une invitation et souhaitez par la suite rejoindre une autre organisation (sur invitation ou via AWS Organizations), vous devez d'abord dissocier votre compte administrateur Macie actuel. Vous pouvez ensuite rejoindre l'autre organisation.

  • Pour accepter ou refuser une invitation, vous devez activer Macie dans Région AWS à partir duquel l'invitation a été envoyée. Le compte qui a envoyé l'invitation ne peut pas activer Macie dans cette région pour vous. Le refus d'une invitation est facultatif. Si vous refusez une invitation, vous pouvez éventuellement désactiver Macie dans la région applicable après avoir décliné l'invitation.

  • Si vous êtes administrateur Macie, vous ne pouvez pas accepter une invitation à devenir un compte membre. Un compte ne peut pas être à la fois administrateur et compte membre Macie. Pour devenir un compte membre, vous devez d'abord dissocier votre compte de tous ses comptes membres en supprimant tous les comptes membres de votre organisation actuelle.

  • Macie est un service régional. Si vous acceptez une invitation, l'association entre votre compte et le compte administrateur Macie est régionale : l'association n'existe que dans Région AWS depuis lequel l'invitation a été envoyée et acceptée.

  • Si vous utilisez Macie dans plusieurs régions, le compte administrateur Macie de votre compte doit être le même dans toutes ces régions. Cependant, l'administrateur Macie doit vous envoyer des invitations séparément dans chaque région, et vous devez accepter les invitations séparément dans chaque région.

  • Vous pouvez dissocier votre compte d'un compte administrateur Macie à tout moment. De même, votre administrateur Macie peut supprimer votre compte de son organisation à tout moment. Si l'un ou l'autre se produit :

    • Macie est toujours activé pour votre compte. Votre compte devient un compte Macie autonome.

    • La découverte automatique des données sensibles est désactivée pour votre compte, si elle a été activée. Cela désactive également l'accès aux données statistiques existantes, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de votre compte. Vous pouvez réactiver la découverte automatique pour votre compte. Toutefois, cela ne rétablit pas l'accès aux données existantes. Au lieu de cela, Macie génère et gère de nouvelles données tout en effectuant la découverte automatique de votre compte.

Transition vers AWS Organizations

Après avoir créé une organisation basée sur des invitations dans Macie, vous pouvez passer à l'utilisation AWS Organizations à la place. Pour simplifier la transition, nous vous recommandons de désigner le compte administrateur existant basé sur des invitations comme compte administrateur Macie pour l'organisation dans AWS Organizations.

Dans ce cas, tous les comptes de membres actuellement associés restent membres. Si un compte de membre fait partie de l'organisation dans AWS Organizations, l'association du compte passe automatiquement de Par invitation à Via AWS Organizationsà Macie. Si le compte d'un membre ne fait pas partie de l'organisation dans AWS Organizations, l'association du compte continue d'être sur invitation. Dans les deux cas, les comptes continuent d'être associés au compte administrateur Macie en tant que comptes de membre.

Nous recommandons cette approche car un compte membre ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si vous désignez un autre compte comme compte administrateur Macie pour une organisation dans AWS Organizations, l'administrateur désigné ne pourra pas gérer les comptes déjà associés à un autre compte administrateur Macie sur invitation. Chaque compte membre doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations. Ce n'est qu'alors que l'administrateur Macie pourra AWS Organizations l'organisation ajoute le compte du membre à son organisation et commence à gérer Macie pour le compte.

Après avoir intégré Macie à AWS Organizations et configurez votre organisation dans Macie, vous pouvez éventuellement désigner un compte administrateur Macie différent pour l'organisation. Vous pouvez également continuer à utiliser des invitations pour associer et gérer des comptes de membres qui ne font pas partie de votre organisation dans AWS Organizations.

Pour plus d'informations sur l'intégration de Macie à AWS Organizations, voir Gérer plusieurs comptes Macie avec AWS Organizations.