Considerações para usar o Macie com o AWS Organizations

Uma organização só pode ter uma conta de administrador do Macie delegada.

Uma conta não pode ser uma conta de administrador do Macie e uma conta-membro ao mesmo tempo.

Somente a conta AWS Organizations de gerenciamento de uma organização pode designar a conta de administrador delegada do Macie para a organização. Somente a conta de gerenciamento pode alterar ou remover essa designação posteriormente.

A conta AWS Organizations de gerenciamento de uma organização também pode ser a conta delegada de administrador do Macie para a organização. No entanto, não recomendamos essa configuração com base nas melhores práticas AWS de segurança e no princípio do privilégio mínimo. Os usuários que têm acesso à conta de gerenciamento para fins de cobrança provavelmente são diferentes dos usuários que precisam acessar o Macie para fins de segurança da informação.

Se preferir essa configuração, você deve habilitar o Macie para a conta de gerenciamento da organização em pelo menos uma Região da AWS antes de designar a conta como a conta delegada de administrador do Macie. Caso contrário, a conta não conseguirá acessar e gerenciar configurações e recursos do Macie para contas de membros.

Ao contrário AWS Organizations, o Macie é um serviço regional. Isso significa que a designação de uma conta de administrador do Macie é uma designação regional. Isso também significa que as associações entre contas de administrador e de membros do Macie são regionais. Por exemplo, se a conta de gerenciamento designar uma conta de administrador do Macie na região Leste dos EUA (Norte da Virgínia), o administrador do Macie poderá gerenciar o Macie para contas de membros somente nessa região.

Para gerenciar centralmente contas do Macie em várias Regiões da AWS, a conta de gerenciamento deve entrar em cada região em que a organização atualmente usa ou usará o Macie e, em seguida, designar a conta de administrador do Macie em cada uma dessas regiões. O administrador do Macie pode então configurar a organização em cada uma dessas regiões. Para obter uma lista de todas as regiões onde o está disponível no momento, consulte os endpoints e quotas do Amazon Macie no Referência geral da AWS.

Uma conta pode ser associada apenas a uma conta de administrador do Macie por vez. Se a sua organização usa o Macie em várias regiões, a conta de administrador designado do Macie deve ser a mesma em todas essas regiões. No entanto, a conta de gerenciamento da sua organização deve designar a conta de administrador separadamente em cada região.

Uma conta só pode ter uma conta delegada de administrador do Macie para uma organização por vez. Se você gerencia várias organizações em AWS Organizations, deverá designar uma conta de administrador do Macie diferente para cada organização. Isso se deve a uma exigência do AWS Organizations : uma conta só pode ser membro de uma organização por vez.

Todas as contas de membros associadas serão removidas como contas de membros do Macie, mas o Macie continuará habilitado para as contas. As contas se tornam contas autônomas do Macie. Para pausar ou parar de usar o Macie, um usuário da conta de membro deverá suspender (pausar) ou desabilitar (parar) o Macie para a conta.

A descoberta automatizada de dados confidenciais é desabilitada para cada conta para a qual ela foi habilitada. Isso também desabilita o acesso a dados estatísticos, dados de inventário e outras informações que o Macie produziu e forneceu diretamente ao realizar a descoberta automatizada de cada conta. Para restaurar o acesso a esses dados, a conta de gerenciamento deve designar a mesma conta de administrador do Macie novamente dentro de 30 dias. Além disso, o administrador do Macie deve configurar a organização novamente e reabilitar a descoberta automatizada para cada conta em 30 dias. Depois de 30 dias, os dados expiram e o Macie os exclui de forma permanente.

Uma conta de administrador do Macie pode ser associada a no máximo 10.000 contas de membros em cada Região da AWS. Se a organização exceder essa cota, o administrador do Macie não poderá adicionar contas de membros até remover o número necessário de contas de membros existentes na região. Quando uma organização atinge essa cota, notificamos o administrador do Macie criando um AWS Health evento para sua conta. Também enviamos um e-mail para o endereço de e-mail do cliente associado à sua conta.

Se você for o administrador do Macie de uma organização, poderá determinar quantas contas membros estão atualmente associadas à sua conta usando a página Contas no console do Amazon Macie ou ListMembersa operação da API do Amazon Macie. Para obter mais informações, consulte Como analisar contas do Macie para uma organização.

Uma conta pode ser associada apenas a uma conta de administrador do Macie por vez. Isso significa que uma conta não pode aceitar um convite do Macie de outra conta se já estiver associada à conta de administrador do Macie de uma organização em AWS Organizations.

Da mesma forma, se uma conta já aceitou um convite, o administrador do Macie de uma organização não AWS Organizations poderá adicionar a conta como conta de membro do Macie. A conta deve primeiro ser desassociada de sua conta de administrador atual, baseada em convite.

Para adicionar a conta AWS Organizations de gerenciamento como uma conta de membro do Macie, um usuário da conta de gerenciamento deve primeiro habilitar o Macie para a conta. O administrador do Macie não tem permissão para habilitar o Macie para a conta de gerenciamento.

Se o administrador do Macie remover uma conta de membro:

Uma conta de membro não pode se desassociar da conta de administrador do Macie. Somente o administrador do Macie pode remover uma conta como conta de membro do Macie.