Considerações sobre o uso do Macie com AWS Organizations

Uma organização só pode ter uma conta de administrador do Macie delegada.

Uma conta não pode ser uma conta de administrador do Macie e uma conta-membro ao mesmo tempo.

Somente o AWS Organizations A conta de gerenciamento de uma organização pode designar a conta de administrador delegada do Macie para a organização. Somente a conta de gerenciamento pode posteriormente alterar ou remover essa designação.

A ferramenta AWS Organizations A conta de gerenciamento de uma organização também pode ser a conta delegada de administrador do Macie para a organização. No entanto, não recomendamos essa configuração com base em AWS melhores práticas de segurança e o princípio do menor privilégio. Os usuários que têm acesso à conta de gerenciamento para fins de cobrança provavelmente são diferentes dos usuários que precisam acessar o Macie para fins de segurança da informação.

Se você preferir essa configuração, deverá habilitar o Macie para a conta de gerenciamento da organização em pelo menos uma Região da AWS antes de designar a conta como a conta delegada de administrador do Macie. Caso contrário, a conta não conseguirá acessar e gerenciar configurações e recursos do Macie para contas de membros.

Ao contrário AWS Organizations, Macie é um serviço regional. Isso significa que a designação de uma conta de administrador do Macie é uma designação regional. Isso também significa que as associações entre contas de administrador e de membros do Macie são regionais. Por exemplo, se a conta de gerenciamento designar uma conta de administrador do Macie na região Leste dos EUA (Norte da Virgínia), o administrador do Macie poderá gerenciar o Macie para contas de membros somente nessa região.

Para gerenciar centralmente contas Macie em várias Regiões da AWS, a conta de gerenciamento deve entrar em cada região em que a organização atualmente usa ou usará o Macie e, em seguida, designar a conta de administrador do Macie em cada uma dessas regiões. O administrador do Macie pode então configurar a organização em cada uma dessas regiões. Para obter uma lista das regiões em que o Macie está disponível atualmente, consulte os endpoints e cotas do Amazon Macie no Referência geral da AWS.

Uma conta pode ser associada apenas a uma conta de administrador do Macie por vez. Se a sua organização usa o Macie em várias regiões, a conta de administrador designado do Macie deve ser a mesma em todas essas regiões. No entanto, a conta de gerenciamento da sua organização deve designar a conta de administrador separadamente em cada região.

Uma conta pode ser a conta delegada de administrador do Macie para apenas uma organização por vez. Se você gerencia várias organizações em AWS Organizations, você deve designar uma conta de administrador do Macie diferente para cada organização. Isso se deve a um AWS Organizations requisito — uma conta só pode ser membro de uma organização por vez.

Todas as contas de membros associadas são removidas como contas de membros do Macie, mas o Macie continua ativado para as contas. As contas se tornam contas autônomas do Macie. Para pausar ou parar de usar o Macie, um usuário de uma conta de membro deve suspender (pausar) ou desativar (parar) o Macie da conta.

A descoberta automática de dados confidenciais está desativada para cada conta para a qual ela foi ativada. Isso também desativa o acesso a dados estatísticos, dados de inventário e outras informações que a Macie produziu e forneceu diretamente ao realizar a descoberta automatizada de cada conta. Para restaurar o acesso a esses dados, a conta de gerenciamento deve designar a mesma conta de administrador do Macie novamente dentro de 30 dias. Além disso, o administrador do Macie deve configurar a organização novamente e reativar a descoberta automática para cada conta em 30 dias. Depois de 30 dias, os dados expiram e o Macie os exclui permanentemente.

Uma conta de administrador do Macie pode ser associada a no máximo 10.000 contas de membros do Macie em cada Região da AWS. Se sua organização exceder essa cota, o administrador do Macie não poderá adicionar contas de membros até remover o número necessário de contas de membros existentes na região. Quando uma organização atinge essa cota, notificamos o administrador do Macie criando um AWS Health evento para sua conta. Também enviamos um e-mail para o endereço de e-mail do cliente associado à sua conta.

Se você for o administrador do Macie de uma organização, poderá determinar quantas contas membros estão atualmente associadas à sua conta usando a página Contas no console do Amazon Macie ou ListMembersa operação do Amazon Macie. API Para obter mais informações, consulte Analisando as contas do Macie para uma organização.

Uma conta pode ser associada apenas a uma conta de administrador do Macie por vez. Isso significa que uma conta não pode aceitar um convite do Macie de outra conta se já estiver associada à conta de administrador do Macie de uma organização no AWS Organizations.

Da mesma forma, se uma conta já aceitou um convite, o administrador do Macie de uma organização em AWS Organizations não consigo adicionar a conta como conta de membro do Macie. A conta deve primeiro ser desassociada de sua conta de administrador atual, baseada em convite.

Para adicionar o AWS Organizations Como conta de membro do Macie, um usuário da conta de gerenciamento deve primeiro habilitar o Macie para a conta. O administrador do Macie não tem permissão para habilitar o Macie para a conta de gerenciamento.

Se o administrador do Macie remover uma conta de membro do Macie:

Uma conta-membro não pode se desassociar da conta de administrador do Macie. Somente o administrador do Macie pode remover uma conta como conta de membro do Macie.