Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Relations entre l'administrateur Macie et le compte membre
Si vous gérez de manière centralisée plusieurs comptes Amazon Macie en tant qu'organisation, l'administrateur Macie a accès aux données d'inventaire Amazon Simple Storage Service (Amazon S3), aux conclusions des politiques, ainsi qu'à certains paramètres et ressources Macie pour les comptes membres associés. L'administrateur peut également activer la découverte automatique des données sensibles et exécuter des tâches de découverte de données sensibles pour détecter les données sensibles dans les compartiments S3 détenus par les comptes membres. Support pour des tâches spécifiques varie selon qu'un compte administrateur Macie est associé à un compte membre via AWS Organizations ou sur invitation.
Le tableau suivant fournit des détails sur la relation entre les comptes administrateur et membre de Macie. Il indique les autorisations par défaut pour chaque type de compte. Pour restreindre davantage l'accès aux fonctionnalités et aux opérations de Macie, vous pouvez utiliser des politiques custom AWS Identity and Access Management (IAM).
Dans le tableau :
-
Self indique que le compte ne peut effectuer la tâche pour aucun compte associé.
-
Tout indique que le compte peut effectuer la tâche pour un compte associé individuel.
-
Tout indique que le compte peut exécuter la tâche et que celle-ci s'applique à tous les comptes associés.
Un tiret (—) indique que le compte ne peut pas effectuer la tâche.
| Tâche | À travers AWS Organizations | Sur invitation | ||
|---|---|---|---|---|
| Administrateur | Membre | Administrateur | Membre | |
| Activer Macie | N’importe quel compte | – | Auto-utilisateur | Auto-utilisateur |
| Consulter l'inventaire des comptes de l'organisation 1 | Tous | – | Tous | – |
| Ajouter un compte membre | N’importe quel compte | – | N’importe quel compte | – |
| Consultez les statistiques et les métadonnées des compartiments S3 | Tous | Auto-utilisateur | Tous | Auto-utilisateur |
| Examiner les conclusions des politiques | Tous | Auto-utilisateur | Tous | Auto-utilisateur |
| Supprimer (archiver) les résultats des politiques 2 | Tous | – | Tous | – |
| Publier les conclusions des politiques 3 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Configuration d'un référentiel pour les résultats de découverte de données sensibles 4 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Création et utilisation de listes d'autorisation | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Création et utilisation d'identifiants de données personnalisés | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Configuration des paramètres de découverte automatique des données sensibles | Tous | – | Tous | – |
| Activer ou désactiver la découverte automatique des données sensibles | N’importe quel compte | – | N’importe quel compte | – |
| Passez en revue les statistiques, les données et les résultats de découverte automatique de données sensibles 5 | Tous | Auto-utilisateur | Tous | Auto-utilisateur |
| Création et exécution de tâches de découverte de données sensibles 6 | N’importe quel compte | Auto-utilisateur | N’importe quel compte | Auto-utilisateur |
| Consultez les détails des tâches de découverte de données sensibles 7 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Examiner les résultats relatifs aux données sensibles 8 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Supprimer (archiver) les résultats de données sensibles 8 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Publier les résultats relatifs aux données sensibles 8 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Configurer Macie pour récupérer des échantillons de données sensibles pour les résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Récupérez des échantillons de données sensibles pour les résultats 9 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Configuration des destinations de publication pour les résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Définir la fréquence de publication des résultats | Tous | Auto-utilisateur | Tous | Auto-utilisateur |
| Créez des exemples de résultats | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Vérifiez les quotas de compte et les coûts d'utilisation estimés | Tous | Auto-utilisateur | Tous | Auto-utilisateur |
| Suspendez Macie 10 | N’importe quel compte | – | N’importe quel compte | Auto-utilisateur |
| Désactiver Macie 11 | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur | Auto-utilisateur |
| Supprimer (dissocier) un compte membre | N’importe quel compte | – | N’importe quel compte | – |
| Dissocier d'un compte administrateur | – | – | – | Auto-utilisateur |
| Supprimer une association avec un autre compte 12 | N’importe quel compte | – | N’importe quel compte | Auto-utilisateur |
-
L'administrateur d'une organisation AWS Organizations peut consulter tous les comptes de l'organisation, y compris les comptes pour lesquels Macie n'est pas activé. L'administrateur d'une organisation basée sur des invitations ne peut consulter que les comptes qu'il ajoute à son inventaire.
-
Seul un administrateur peut supprimer les résultats des politiques. Si un administrateur crée une règle de suppression, Macie l'applique aux conclusions des politiques pour tous les comptes de l'organisation, sauf si la règle est configurée pour exclure des comptes spécifiques. Si un membre crée une règle de suppression, Macie ne l'applique pas aux conclusions de politique relatives au compte du membre.
-
Seul le compte propriétaire d'une ressource affectée peut publier les conclusions des politiques relatives à la ressource AWS Security Hub. Les comptes administrateur et membre publient automatiquement sur Amazon les conclusions des politiques relatives à une ressource affectée EventBridge.
-
Si un administrateur active la découverte automatique des données sensibles ou configure une tâche pour analyser des objets dans des compartiments S3 détenus par un compte membre, Macie stocke les résultats de la découverte de données sensibles dans le référentiel du compte administrateur.
-
Seul un administrateur peut accéder aux résultats relatifs aux données sensibles produits par la découverte automatique des données sensibles. Un administrateur et un membre peuvent examiner d'autres types de données produites par la découverte automatique de données sensibles pour le compte du membre.
-
Un membre peut configurer une tâche pour analyser des objets uniquement dans les compartiments S3 détenus par son compte. Un administrateur peut configurer une tâche pour analyser des objets dans des compartiments appartenant à son compte ou à un compte membre. Pour plus d'informations sur la manière dont les quotas sont appliqués et les coûts calculés pour les tâches impliquant plusieurs comptes, consultez. Comprendre les coûts d'utilisation estimés
-
Seul le compte qui crée une tâche peut accéder aux détails de la tâche. Cela inclut les détails relatifs aux tâches dans l'inventaire des compartiments S3.
-
Seul le compte qui crée une tâche peut accéder aux données sensibles issues de la tâche, les supprimer ou les publier. Seul un administrateur peut accéder aux données sensibles issues de la découverte automatique des données sensibles, les supprimer ou les publier.
-
Si une découverte de données sensibles s'applique à un objet S3 détenu par un compte membre, l'administrateur peut être en mesure de récupérer des échantillons de données sensibles signalées par la découverte. Cela dépend de la source de la recherche, ainsi que des paramètres de configuration et des ressources du compte administrateur et du compte membre. Pour plus d'informations, consultez la section Options de configuration pour récupérer des échantillons de données sensibles.
-
Pour qu'un administrateur puisse suspendre Macie pour son propre compte, il doit d'abord dissocier son compte de tous les comptes des membres.
-
Pour qu'un administrateur puisse désactiver Macie pour son propre compte, il doit d'abord dissocier son compte de tous les comptes des membres, puis supprimer les associations entre son compte et tous ces comptes. L'administrateur d'une organisation AWS Organizations peut le faire en utilisant le compte de gestion de l'organisation pour désigner un autre compte en tant que compte administrateur.
Pour qu'un membre d'une AWS Organizations organisation puisse désactiver Macie, l'administrateur doit d'abord dissocier le compte du membre de son compte administrateur. Dans une organisation basée sur une invitation, le membre peut dissocier son compte de son compte administrateur, puis désactiver Macie.
-
L'administrateur d'une organisation AWS Organizations peut supprimer une association avec un compte membre après avoir dissocié le compte de son compte administrateur. Le compte continue d'apparaître dans l'inventaire des comptes de l'administrateur, mais son statut indique qu'il ne s'agit pas d'un compte de membre. Dans une organisation basée sur une invitation, un administrateur et un membre peuvent supprimer une association avec un autre compte après avoir dissocié leur compte de l'autre compte. L'autre compte cesse alors d'apparaître dans l'inventaire de son compte.
