Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Hubungan administrator dan akun anggota Macie
Jika Anda mengelola beberapa akun Amazon Macie secara terpusat sebagai organisasi, administrator Macie memiliki akses ke data inventaris Amazon Simple Storage Service (Amazon S3), temuan kebijakan, serta setelan serta sumber daya Macie tertentu untuk akun anggota terkait. Administrator juga dapat mengaktifkan penemuan data sensitif otomatis dan menjalankan pekerjaan penemuan data sensitif untuk mendeteksi data sensitif di bucket S3 yang dimiliki akun anggota. Support untuk tugas-tugas tertentu bervariasi berdasarkan apakah akun administrator Macie dikaitkan dengan akun anggota melalui AWS Organizations atau melalui undangan.
Tabel berikut memberikan detail tentang hubungan antara akun administrator Macie dengan anggota. Ini menunjukkan izin default untuk setiap jenis akun. Untuk lebih membatasi akses ke fitur dan operasi Macie, Anda dapat menggunakan kebijakan custom AWS Identity and Access Management (IAM).
Di tabel:
-
Self menunjukkan bahwa akun tidak dapat melakukan tugas untuk akun terkait apa pun.
-
Setiap menunjukkan bahwa akun dapat melakukan tugas untuk akun terkait individu.
-
Semua menunjukkan bahwa akun dapat melakukan tugas dan tugas berlaku untuk semua akun terkait.
Tanda hubung (—) menunjukkan bahwa akun tidak dapat melakukan tugas.
| Tugas | Melalui AWS Organizations | Dengan undangan | ||
|---|---|---|---|---|
| Administrator | Anggota | Administrator | Anggota | |
| Aktifkan Macie | Setiap | – | Mandiri | Mandiri |
| Tinjau inventaris akun organisasi 1 | Semua | – | Semua | – |
| Menambahkan akun anggota | Setiap | – | Setiap | – |
| Tinjau statistik dan metadata untuk bucket S3 | Semua | Diri Sendiri | Semua | Diri Sendiri |
| Tinjau temuan kebijakan | Semua | Diri Sendiri | Semua | Diri Sendiri |
| Menekan (arsip) temuan kebijakan 2 | Semua | – | Semua | – |
| Publikasikan temuan kebijakan 3 | Mandiri | Mandiri | Mandiri | Mandiri |
| Konfigurasikan repositori untuk hasil penemuan data sensitif 4 | Mandiri | Mandiri | Mandiri | Mandiri |
| Membuat dan menggunakan daftar izinkan | Mandiri | Mandiri | Mandiri | Mandiri |
| Membuat dan menggunakan pengenal data kustom | Mandiri | Mandiri | Mandiri | Mandiri |
| Konfigurasikan pengaturan penemuan data sensitif otomatis | Semua | – | Semua | – |
| Mengaktifkan atau menonaktifkan penemuan data sensitif otomatis | Setiap | – | Setiap | – |
| Tinjau statistik penemuan data sensitif otomatis, data, dan hasil 5 | Semua | Diri Sendiri | Semua | Diri Sendiri |
| Membuat dan menjalankan pekerjaan penemuan data sensitif 6 | Setiap | Mandiri | Setiap | Mandiri |
| Tinjau detail pekerjaan penemuan data sensitif 7 | Mandiri | Mandiri | Mandiri | Mandiri |
| Tinjau temuan data sensitif 8 | Mandiri | Mandiri | Mandiri | Mandiri |
| Menekan (arsipkan) temuan data sensitif 8 | Mandiri | Mandiri | Mandiri | Mandiri |
| Publikasikan temuan data sensitif 8 | Mandiri | Mandiri | Mandiri | Mandiri |
| Konfigurasikan Macie untuk mengambil sampel data sensitif untuk temuan | Mandiri | Mandiri | Mandiri | Mandiri |
| Ambil sampel data sensitif untuk temuan 9 | Mandiri | Mandiri | Mandiri | Mandiri |
| Konfigurasikan tujuan publikasi untuk temuan | Mandiri | Mandiri | Mandiri | Mandiri |
| Atur frekuensi publikasi untuk temuan | Semua | Diri Sendiri | Semua | Diri Sendiri |
| Buat temuan sampel | Mandiri | Mandiri | Mandiri | Mandiri |
| Tinjau kuota akun dan perkiraan biaya penggunaan | Semua | Diri Sendiri | Semua | Diri Sendiri |
| Tangguhkan Macie 10 | Setiap | – | Setiap | Mandiri |
| Nonaktifkan Macie 11 | Mandiri | Mandiri | Mandiri | Mandiri |
| Menghapus (memisahkan) akun anggota | Setiap | – | Setiap | – |
| Putus hubungan dari akun administrator | – | – | – | Mandiri |
| Hapus asosiasi dengan akun lain 12 | Setiap | – | Setiap | Mandiri |
-
Administrator untuk organisasi AWS Organizations dapat meninjau semua akun di organisasi, termasuk akun yang belum mengaktifkan Macie. Administrator untuk organisasi berbasis undangan hanya dapat meninjau akun yang mereka tambahkan ke inventaris mereka.
-
Hanya administrator yang dapat menekan temuan kebijakan. Jika administrator membuat aturan penindasan, Macie menerapkan aturan tersebut pada temuan kebijakan untuk semua akun di organisasi kecuali aturan tersebut dikonfigurasi untuk mengecualikan akun tertentu. Jika anggota membuat aturan penindasan, Macie tidak menerapkan aturan tersebut pada temuan kebijakan untuk akun anggota tersebut.
-
Hanya akun yang memiliki sumber daya yang terpengaruh yang dapat mempublikasikan temuan kebijakan untuk AWS Security Hub sumber daya tersebut. Akun administrator dan anggota secara otomatis mempublikasikan temuan kebijakan untuk sumber daya yang terpengaruh ke Amazon EventBridge.
-
Jika administrator mengaktifkan penemuan data sensitif otomatis atau mengonfigurasi pekerjaan untuk menganalisis objek dalam bucket S3 yang dimiliki akun anggota, Macie menyimpan hasil penemuan data sensitif di repositori untuk akun administrator.
-
Hanya administrator yang dapat mengakses temuan data sensitif yang dihasilkan oleh penemuan data sensitif otomatis. Baik administrator maupun anggota dapat meninjau jenis data lain yang dihasilkan oleh penemuan data sensitif otomatis untuk akun anggota.
-
Anggota dapat mengonfigurasi pekerjaan untuk menganalisis objek hanya di bucket S3 yang dimiliki akun mereka. Administrator dapat mengonfigurasi pekerjaan untuk menganalisis objek dalam ember yang dimiliki akun mereka atau akun anggota. Untuk informasi tentang bagaimana kuota diterapkan dan biaya dihitung untuk pekerjaan multi-akun, lihat. Memahami perkiraan biaya penggunaan
-
Hanya akun yang membuat pekerjaan yang dapat mengakses detail pekerjaan. Hal ini mencakup detail terkait tugas dalam inventaris bucket S3.
-
Hanya akun yang menciptakan pekerjaan yang dapat mengakses, menekan, atau mempublikasikan temuan data sensitif yang dihasilkan pekerjaan tersebut. Hanya administrator yang dapat mengakses, menekan, atau mempublikasikan temuan data sensitif yang dihasilkan oleh penemuan data sensitif otomatis.
-
Jika temuan data sensitif berlaku untuk objek S3 yang dimiliki akun anggota, administrator mungkin dapat mengambil sampel data sensitif yang dilaporkan oleh temuan tersebut. Ini tergantung pada sumber temuan, dan pengaturan konfigurasi dan sumber daya di akun administrator dan akun anggota. Untuk informasi selengkapnya, lihat Opsi konfigurasi untuk mengambil sampel data sensitif.
-
Agar administrator menangguhkan Macie untuk akun mereka sendiri, administrator harus terlebih dahulu memisahkan akun mereka dari semua akun anggota.
-
Agar administrator menonaktifkan Macie untuk akun mereka sendiri, administrator harus terlebih dahulu memisahkan akun mereka dari semua akun anggota, dan menghapus asosiasi antara akun mereka dan semua akun tersebut. Administrator untuk organisasi AWS Organizations dapat melakukan ini dengan bekerja dengan akun manajemen organisasi untuk menunjuk akun yang berbeda sebagai akun administrator.
Agar anggota AWS Organizations organisasi dapat menonaktifkan Macie, administrator harus terlebih dahulu memisahkan akun anggota dari akun administrator mereka. Dalam organisasi berbasis undangan, anggota dapat memisahkan akun mereka dari akun administrator, dan kemudian menonaktifkan Macie.
-
Administrator untuk organisasi AWS Organizations dapat menghapus asosiasi dengan akun anggota setelah mereka memisahkan akun dari akun administrator mereka. Akun terus muncul di inventaris akun administrator, tetapi statusnya menunjukkan bahwa itu bukan akun anggota. Dalam organisasi berbasis undangan, administrator dan anggota dapat menghapus asosiasi dengan akun lain setelah mereka memisahkan akun mereka dari akun lain. Akun lain kemudian berhenti muncul di inventaris akun mereka.
