Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Relazioni tra amministratore e account membro di Macie
Se gestisci centralmente più account Amazon Macie come organizzazione, l'amministratore Macie ha accesso ai dati di inventario di Amazon Simple Storage Service (Amazon S3), ai risultati delle policy e ad alcune impostazioni e risorse di Macie per gli account membro associati. L'amministratore può anche abilitare il rilevamento automatico dei dati sensibili ed eseguire processi di rilevamento di dati sensibili per rilevare i dati sensibili nei bucket S3 di proprietà degli account membri. Il supporto per attività specifiche varia a seconda che un account amministratore Macie sia associato a un account membro tramite AWS Organizations o su invito.
La tabella seguente fornisce dettagli sulla relazione tra l'amministratore di Macie e gli account dei membri. Indica le autorizzazioni predefinite per ogni tipo di account. Per limitare ulteriormente l'accesso alle funzionalità e alle operazioni di Macie, puoi utilizzare criteri personalizzati AWS Identity and Access Management (IAM).
Nella tabella:
-
Self indica che l'account non può eseguire l'operazione per nessun account associato.
-
Qualsiasi indica che l'account può eseguire l'operazione per un singolo account associato.
-
Tutto indica che l'account può eseguire l'operazione e l'attività si applica a tutti gli account associati.
Un trattino (—) indica che l'account non può eseguire l'operazione.
| Attività | Tramite AWS Organizations | Su invito | ||
|---|---|---|---|---|
| Amministratore | Membro | Amministratore | Membro | |
| Abilita Macie | Qualsiasi | – | Personale | Personale |
| Esamina l'inventario degli account dell'organizzazione 1 | Tutti | – | Tutti | – |
| Aggiungi un account membro | Qualsiasi | – | Qualsiasi | – |
| Rivedi le statistiche e i metadati per i bucket S3 | Tutti | Personale | Tutti | Personale |
| Esamina i risultati delle politiche | Tutti | Personale | Tutti | Personale |
| Sopprimere (archiviare) i risultati delle politiche 2 | Tutti | – | Tutti | – |
| Pubblica i risultati delle politiche 3 | Personale | Personale | Personale | Personale |
| Configurare un repository per i risultati del rilevamento di dati sensibili 4 | Personale | Personale | Personale | Personale |
| Creare e utilizzare elenchi di autorizzazioni | Personale | Personale | Personale | Personale |
| Crea e utilizza identificatori di dati personalizzati | Personale | Personale | Personale | Personale |
| Configura le impostazioni di rilevamento automatico dei dati sensibili | Tutti | – | Tutti | – |
| Abilita o disabilita il rilevamento automatico dei dati sensibili | Qualsiasi | – | Qualsiasi | – |
| Rivedi le statistiche, i dati e i risultati automatizzati sull'individuazione dei dati sensibili 5 | Tutti | Personale | Tutti | Personale |
| Crea ed esegui processi di rilevamento di dati sensibili 6 | Qualsiasi | Personale | Qualsiasi | Personale |
| Esamina i dettagli dei processi di rilevamento di dati sensibili 7 | Personale | Personale | Personale | Personale |
| Esamina i risultati relativi ai dati sensibili 8 | Personale | Personale | Personale | Personale |
| Elimina (archivia) i risultati relativi ai dati sensibili 8 | Personale | Personale | Personale | Personale |
| Pubblica i risultati relativi ai dati sensibili 8 | Personale | Personale | Personale | Personale |
| Configura Macie per recuperare campioni di dati sensibili a fini di individuazione | Personale | Personale | Personale | Personale |
| Recupera campioni di dati sensibili per i risultati 9 | Personale | Personale | Personale | Personale |
| Configura le destinazioni di pubblicazione per i risultati | Personale | Personale | Personale | Personale |
| Imposta la frequenza di pubblicazione dei risultati | Tutti | Personale | Tutti | Personale |
| Crea risultati di esempio | Personale | Personale | Personale | Personale |
| Rivedi le quote degli account e i costi di utilizzo stimati | Tutti | Personale | Tutti | Personale |
| Sospendere Macie 10 | Qualsiasi | – | Qualsiasi | Personale |
| Disattiva Macie 11 | Personale | Personale | Personale | Personale |
| Rimuovi (dissocia) un account membro | Qualsiasi | – | Qualsiasi | – |
| Dissociarsi da un account amministratore | – | – | – | Personale |
| Eliminare un'associazione con un altro account 12 | Qualsiasi | – | Qualsiasi | Personale |
-
L'amministratore di un'organizzazione AWS Organizations può esaminare tutti gli account dell'organizzazione, inclusi gli account che non hanno abilitato Macie. L'amministratore di un'organizzazione basata su invito può esaminare solo gli account che aggiunge al proprio inventario.
-
Solo un amministratore può eliminare i risultati delle politiche. Se un amministratore crea una regola di soppressione, Macie la applica ai risultati delle politiche per tutti gli account dell'organizzazione, a meno che la regola non sia configurata per escludere account specifici. Se un membro crea una regola di soppressione, Macie non applica la regola ai risultati delle policy per l'account del membro.
-
Solo l'account che possiede una risorsa interessata può pubblicare i risultati delle politiche relative alla risorsa. AWS Security Hub Sia gli account amministratore che quelli membri pubblicano automaticamente su Amazon i risultati delle politiche per una risorsa interessata EventBridge.
-
Se un amministratore abilita il rilevamento automatico di dati sensibili o configura un processo per analizzare gli oggetti nei bucket S3 di proprietà di un account membro, Macie archivia i risultati del rilevamento dei dati sensibili nell'archivio dell'account amministratore.
-
Solo un amministratore può accedere ai risultati di dati sensibili prodotti dal rilevamento automatico di dati sensibili. Sia un amministratore che un membro possono esaminare altri tipi di dati generati dall'individuazione automatica di dati sensibili per l'account del membro.
-
Un membro può configurare un processo per analizzare gli oggetti solo nei bucket S3 di proprietà del proprio account. Un amministratore può configurare un processo per analizzare gli oggetti nei bucket di proprietà del proprio account o di un account membro. Per informazioni su come vengono applicate le quote e vengono calcolati i costi per i lavori con più account, vedere. Comprendere i costi di utilizzo stimati
-
Solo l'account che crea un lavoro può accedere ai dettagli del lavoro. Ciò include i dettagli relativi al lavoro nell'inventario del bucket S3.
-
Solo l'account che crea un lavoro può accedere, eliminare o pubblicare i risultati dei dati sensibili prodotti dal lavoro. Solo un amministratore può accedere, eliminare o pubblicare i risultati di dati sensibili prodotti dal rilevamento automatico di dati sensibili.
-
Se un rilevamento di dati sensibili si applica a un oggetto S3 di proprietà di un account membro, l'amministratore potrebbe essere in grado di recuperare campioni di dati sensibili segnalati dal risultato. Ciò dipende dall'origine del risultato e dalle impostazioni e dalle risorse di configurazione nell'account amministratore e nell'account membro. Per ulteriori informazioni, consulta Opzioni di configurazione per il recupero di campioni di dati sensibili.
-
Affinché un amministratore possa sospendere Macie per il proprio account, deve prima dissociare il proprio account da tutti gli account dei membri.
-
Affinché un amministratore possa disattivare Macie per il proprio account, deve prima dissociare il proprio account da tutti gli account membri ed eliminare le associazioni tra il proprio account e tutti gli account. L'amministratore di un'organizzazione AWS Organizations può farlo collaborando con l'account di gestione dell'organizzazione per designare un account diverso come account amministratore.
Affinché un membro di un' AWS Organizations organizzazione possa disattivare Macie, l'amministratore deve prima dissociare l'account del membro dal suo account amministratore. In un'organizzazione basata su inviti, il membro può dissociare il proprio account dall'account amministratore e quindi disattivare Macie.
-
L'amministratore di un'organizzazione AWS Organizations può eliminare un'associazione con un account membro dopo aver dissociato l'account dal proprio account amministratore. L'account continua a comparire nell'inventario degli account dell'amministratore, ma il suo stato indica che non è un account membro. In un'organizzazione basata su inviti, un amministratore e un membro possono eliminare un'associazione con un altro account dopo aver dissociato il proprio account dall'altro account. L'altro account smette quindi di apparire nell'inventario dell'account.
