Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pertimbangan untuk menggunakan Macie dengan AWS Organizations
Sebelum Anda mengintegrasikan Amazon Macie dengan AWS Organizations dan konfigurasikan organisasi Anda di Macie, pertimbangkan persyaratan dan rekomendasi berikut. Pastikan juga bahwa Anda memahami hubungan antara administrator Macie dan akun anggota.
Topik
Menunjuk akun administrator Macie
Saat Anda menentukan akun mana yang harus menjadi akun administrator Macie yang didelegasikan untuk organisasi Anda, ingatlah hal berikut:
-
Sebuah organisasi hanya dapat memiliki satu akun administrator Macie yang didelegasikan.
-
Akun tidak dapat menjadi administrator Macie dan akun anggota secara bersamaan.
-
Hanya AWS Organizations akun manajemen untuk organisasi dapat menunjuk akun administrator Macie yang didelegasikan untuk organisasi. Hanya akun manajemen yang selanjutnya dapat mengubah atau menghapus penunjukan itu.
-
Bagian AWS Organizations akun manajemen untuk suatu organisasi juga dapat menjadi akun administrator Macie yang didelegasikan untuk organisasi. Namun, kami tidak merekomendasikan konfigurasi ini berdasarkan AWS praktik terbaik keamanan dan prinsip hak istimewa paling sedikit. Pengguna yang memiliki akses ke akun manajemen untuk tujuan penagihan cenderung berbeda dari pengguna yang membutuhkan akses ke Macie untuk tujuan keamanan informasi.
Jika Anda lebih suka konfigurasi ini, Anda harus mengaktifkan Macie untuk akun manajemen organisasi setidaknya dalam satu Wilayah AWS sebelum Anda menetapkan akun sebagai akun administrator Macie yang didelegasikan. Jika tidak, akun tidak akan dapat mengakses dan mengelola pengaturan dan sumber daya Macie untuk akun anggota.
-
Tidak seperti AWS Organizations, Macie adalah layanan Regional. Ini berarti bahwa penunjukan akun administrator Macie adalah penunjukan Regional. Ini juga berarti bahwa asosiasi antara administrator Macie dan akun anggota bersifat Regional. Misalnya, jika akun manajemen menunjuk akun administrator Macie di Wilayah AS Timur (Virginia N.), administrator Macie dapat mengelola Macie untuk akun anggota hanya di Wilayah tersebut.
Untuk mengelola akun Macie secara terpusat dalam beberapa Wilayah AWS, akun manajemen harus masuk ke setiap Wilayah tempat organisasi saat ini menggunakan atau akan menggunakan Macie, dan kemudian menunjuk akun administrator Macie di masing-masing Wilayah tersebut. Administrator Macie kemudian dapat mengonfigurasi organisasi di masing-masing Wilayah tersebut. Untuk daftar Wilayah di mana Macie saat ini tersedia, lihat titik akhir dan kuota Amazon Macie di Referensi Umum AWS.
-
Akun hanya dapat dikaitkan dengan satu akun administrator Macie pada satu waktu. Jika organisasi Anda menggunakan Macie di beberapa Wilayah, akun administrator Macie yang ditunjuk harus sama di semua Wilayah tersebut. Namun, akun manajemen organisasi Anda harus menunjuk akun administrator secara terpisah di setiap Wilayah.
-
Akun dapat berupa akun administrator Macie yang didelegasikan hanya untuk satu organisasi pada satu waktu. Jika Anda mengelola beberapa organisasi di AWS Organizations, Anda harus menunjuk akun administrator Macie yang berbeda untuk setiap organisasi. Hal ini disebabkan oleh sebuah AWS Organizations Persyaratan — akun dapat menjadi anggota hanya satu organisasi pada satu waktu.
Jika administrator Macie Akun AWS ditangguhkan, diisolasi, atau ditutup, semua akun anggota Macie terkait secara otomatis dihapus sebagai akun anggota Macie tetapi Macie terus diaktifkan untuk akun tersebut. Jika penemuan data sensitif otomatis diaktifkan untuk satu atau beberapa akun anggota, itu dinonaktifkan untuk akun tersebut. Ini juga menonaktifkan akses ke data statistik, data inventaris, dan informasi lain yang diproduksi dan diberikan secara langsung oleh Macie saat melakukan penemuan otomatis untuk akun tersebut. Untuk memulihkan akses ke data ini, berikut ini harus terjadi dalam 30 hari:
-
Administrator Macie Akun AWS dipulihkan.
-
Bagian AWS Organizations akun manajemen menunjuk akun sebagai akun administrator Macie lagi.
-
Administrator Macie mengonfigurasi organisasi dan mengaktifkan penemuan otomatis untuk akun yang sesuai lagi.
Setelah 30 hari, Macie secara permanen menghapus data yang sebelumnya diproduksi dan diberikan secara langsung saat melakukan penemuan otomatis untuk akun yang berlaku.
Mengubah atau menghapus penunjukan akun administrator Macie
Hanya AWS Organizations akun manajemen untuk suatu organisasi dapat mengubah atau menghapus penunjukan akun administrator Macie yang didelegasikan untuk organisasi.
Jika akun manajemen mengubah atau menghapus penunjukan:
-
Semua akun anggota terkait dihapus sebagai akun anggota Macie tetapi Macie terus diaktifkan untuk akun tersebut. Akun tersebut menjadi akun Macie mandiri. Untuk menjeda atau berhenti menggunakan Macie, pengguna akun anggota harus menangguhkan (menjeda) atau menonaktifkan (menghentikan) Macie untuk akun tersebut.
-
Penemuan data sensitif otomatis dinonaktifkan untuk setiap akun yang diaktifkan. Ini juga menonaktifkan akses ke data statistik, data inventaris, dan informasi lain yang diproduksi dan diberikan secara langsung oleh Macie saat melakukan penemuan otomatis untuk setiap akun. Untuk memulihkan akses ke data ini, akun manajemen harus menunjuk akun administrator Macie yang sama lagi dalam waktu 30 hari. Selain itu, administrator Macie harus mengonfigurasi organisasi lagi dan mengaktifkan kembali penemuan otomatis untuk setiap akun dalam waktu 30 hari. Setelah 30 hari, data kedaluwarsa dan Macie menghapusnya secara permanen.
Menambahkan dan menghapus akun anggota Macie
Saat Anda menambahkan, menghapus, dan mengelola akun anggota untuk organisasi Anda, ingatlah hal berikut:
-
Akun administrator Macie dapat dikaitkan dengan tidak lebih dari 10.000 akun anggota Macie di masing-masing Wilayah AWS. Jika organisasi Anda melebihi kuota ini, administrator Macie tidak akan dapat menambahkan akun anggota hingga mereka menghapus jumlah akun anggota yang diperlukan di Wilayah. Ketika sebuah organisasi memenuhi kuota ini, kami memberi tahu administrator Macie dengan membuat AWS Health event untuk akun mereka. Kami juga mengirim email ke alamat yang terkait dengan akun mereka.
Jika Anda administrator Macie untuk suatu organisasi, Anda dapat menentukan berapa banyak akun anggota yang saat ini dikaitkan dengan akun Anda dengan menggunakan halaman Akun di konsol Amazon Macie atau ListMemberspengoperasian Amazon Macie. API Untuk informasi selengkapnya, lihat Meninjau akun Macie untuk suatu organisasi.
-
Akun hanya dapat dikaitkan dengan satu akun administrator Macie pada satu waktu. Ini berarti bahwa akun tidak dapat menerima undangan Macie dari akun lain jika sudah dikaitkan dengan akun administrator Macie untuk organisasi di AWS Organizations.
Demikian pula, jika akun sudah menerima undangan, administrator Macie untuk sebuah organisasi di AWS Organizations tidak dapat menambahkan akun sebagai akun anggota Macie. Akun harus terlebih dahulu memisahkan diri dari akun administrator berbasis undangan saat ini.
-
Untuk menambahkan AWS Organizations akun manajemen sebagai akun anggota Macie, pengguna akun manajemen harus terlebih dahulu mengaktifkan Macie untuk akun tersebut. Administrator Macie tidak diizinkan untuk mengaktifkan Macie untuk akun manajemen.
-
Jika administrator Macie menghapus akun anggota Macie:
-
Macie terus diaktifkan untuk akun tersebut. Akun tersebut menjadi akun Macie mandiri. Untuk menjeda atau berhenti menggunakan Macie, pengguna akun harus menangguhkan (menjeda) atau menonaktifkan (menghentikan) Macie untuk akun tersebut.
-
Penemuan data sensitif otomatis dinonaktifkan untuk akun, jika diaktifkan. Ini juga menonaktifkan akses ke data statistik, data inventaris, dan informasi lain yang diproduksi dan diberikan secara langsung oleh Macie saat melakukan penemuan otomatis untuk akun tersebut.
-
-
Akun anggota tidak dapat memisahkan diri dari akun administrator Macie-nya. Hanya administrator Macie yang dapat menghapus akun sebagai akun anggota Macie.
Transisi dari organisasi berbasis undangan
Jika Anda telah mengaitkan akun administrator Macie dengan akun anggota menggunakan undangan keanggotaan Macie, sebaiknya Anda menetapkan akun tersebut sebagai akun administrator Macie yang didelegasikan untuk organisasi Anda di AWS Organizations. Ini menyederhanakan transisi dari organisasi berbasis undangan.
Jika Anda melakukan ini, semua akun anggota yang saat ini terkait terus menjadi anggota. Jika akun anggota adalah bagian dari organisasi Anda di AWS Organizations, asosiasi akun secara otomatis berubah dari Melalui undangan ke Via AWS Organizationsdi Macie. Jika akun anggota bukan bagian dari organisasi Anda di AWS Organizations, asosiasi akun terus menjadi Dengan undangan. Dalam kedua kasus, akun terus dikaitkan dengan akun administrator Macie yang didelegasikan sebagai akun anggota.
Kami merekomendasikan pendekatan ini karena akun tidak dapat dikaitkan dengan lebih dari satu akun administrator Macie secara bersamaan. Jika Anda menetapkan akun lain sebagai akun administrator Macie untuk organisasi Anda AWS Organizations, administrator yang ditunjuk tidak akan dapat mengelola akun yang sudah dikaitkan dengan akun administrator Macie lain dengan undangan. Setiap akun anggota harus terlebih dahulu memisahkan diri dari akun administrator berbasis undangan saat ini. Administrator Macie untuk organisasi Anda di AWS Organizations kemudian dapat menambahkan akun sebagai akun anggota Macie dan mulai mengelola akun.
Setelah Anda mengintegrasikan Macie dengan AWS Organizations dan Anda mengonfigurasi organisasi Anda di Macie, Anda dapat secara opsional menunjuk akun administrator Macie yang berbeda untuk organisasi tersebut. Anda juga dapat terus menggunakan undangan untuk mengaitkan dan mengelola akun anggota yang bukan bagian dari organisasi AWS Organizations.
