As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Considerações para organizações baseadas em convites em Macie
nota
Recomendamos usar AWS Organizations em vez dos convites de Macie para gerenciar contas de membros. Para obter mais informações, consulte Gerenciando várias contas Macie com AWS Organizations.
Antes de criar ou começar a gerenciar uma organização baseada em convites no Amazon Macie, considere os seguintes requisitos e recomendações. Também certifique-se de entender a relação entre o administrador do Macie e as contas de membros.
Tópicos
Escolhendo uma conta de administrador do Macie
Ao determinar qual conta deve ser a conta de administrador do Macie para a organização, lembre-se do seguinte:
-
Uma organização só pode ter uma conta de administrador Macie.
-
Uma conta não pode ser administrador do Macie e conta de membro ao mesmo tempo.
-
Macie é um serviço regional. Isso significa que a associação entre uma conta de administrador do Macie e uma conta de membro é regional — a associação existe somente no Região da AWS que um convite é enviado e aceito. Por exemplo, se o administrador do Macie Service enviar convites na região Leste dos EUA (Norte da Virgínia) e esses convites forem aceitos, ele poderá gerenciar as contas de membros apenas nessa região.
-
Para gerenciar centralmente contas Macie em várias Regiões da AWS, o administrador do Macie deve entrar em cada região em que a organização atualmente usa ou planeja usar o Macie e enviar convites para as contas apropriadas em cada uma dessas regiões. Para obter uma lista das regiões em que o Macie está disponível atualmente, consulte os endpoints e cotas do Amazon Macie no Referência geral da AWS.
-
Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se sua organização usa o Macie em várias regiões, isso significa que a conta de administrador do Macie deve ser a mesma em todas essas regiões. No entanto, as contas de administrador e membro devem enviar e aceitar convites separadamente em cada região.
Se o administrador do Macie Conta da AWS está suspensa, isolada ou fechada, todas as contas de membros associadas são automaticamente removidas como contas de membros, mas o Macie continua ativado para as contas. As contas se tornam contas autônomas do Macie. Se a descoberta automática de dados confidenciais estiver ativada para uma conta de membro, ela será desativada para a conta. Isso também desativa o acesso a dados estatísticos, dados de inventário e outras informações que a Macie produziu e forneceu diretamente ao realizar a descoberta automatizada da conta. Após 30 dias, esses dados expiram e o Macie os exclui permanentemente. Para restaurar o acesso aos dados antes que eles expirem, restaure os dados do administrador do Macie Conta da AWS e, em seguida, use essa conta para criar e configurar a organização novamente.
Enviando convites e gerenciando contas de membros do Macie
Como administrador do Macie de uma organização baseada em convites, lembre-se do seguinte ao enviar convites e gerenciar contas na organização:
-
Se você enviar um convite, os dados relacionados poderão ser transferidos entre Regiões da AWS. Esse é o caso porque o Macie verifica o endereço de e-mail da conta de recebimento usando um serviço de verificação de e-mail que opera somente na região Leste dos EUA (Norte da Virgínia).
-
Você pode enviar um convite para qualquer pessoa ativa Conta da AWS, incluindo contas que não habilitaram o Macie. No entanto, para aceitar ou recusar um convite, a conta receptora deve habilitar o Macie na região de onde o convite foi enviado.
-
Em cada Região da AWS, uma conta de administrador do Macie pode ser associada a no máximo 1.000 contas por convite. Isso inclui contas que ainda não responderam aos convites. Se sua conta atingir essa cota, você não poderá adicionar ou convidar outras contas. Para determinar quantas contas estão atualmente associadas à sua conta, você pode usar a página Contas no console do Amazon Macie ou a ListMembersoperação do Amazon Macie. API Para obter mais informações, consulte Analisando as contas do Macie para uma organização baseada em convites.
Para reduzir o número de contas associadas, você pode: excluir associações com contas que não são contas de membros no momento, remover o número necessário de contas de membros ou uma combinação das duas. Se uma conta se demitir da sua organização ou recusar um convite que você enviou, isso também reduzirá o número de contas associadas à sua conta.
-
Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Isso significa que uma conta não pode aceitar seu convite se já estiver associada a outra conta de administrador do Macie. A conta deve primeiro se desassociar de sua conta atual de administrador do Macie.
-
Em uma organização baseada em convites, uma conta de membro pode se desassociar de sua conta de administrador do Macie a qualquer momento. Se isso acontecer, o Macie continuará ativado para a conta, mas a conta se tornará uma conta autônoma do Macie. Macie não notifica você se uma conta de membro se desassociar da sua conta de administrador. No entanto, a conta continua aparecendo no inventário da sua conta e tem o status de Membro desassociado.
-
Se você remover uma conta de membro da sua organização, o Macie continuará habilitado para a conta. A conta se torna uma conta independente do Macie.
Respondendo e gerenciando convites de associação
Como destinatário de um convite ou membro de uma organização baseada em convites, lembre-se do seguinte ao responder e gerenciar os convites recebidos:
-
Antes de enviar um convite, certifique-se de entender a relação entre o administrador do Macie e as contas dos membros.
-
Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se você aceitar um convite e, posteriormente, quiser se juntar a outra organização (por convite ou por meio de AWS Organizations), você deve primeiro desassociar sua conta da conta atual de administrador do Macie. Em seguida, você pode se juntar à outra organização.
-
Para aceitar ou recusar um convite, você precisa habilitar o Macie no Região da AWS de onde o convite foi enviado. A conta que enviou o convite não pode habilitar o Macie nessa região para você. Recusar um convite é opcional. Se recusar um convite, você pode, opcionalmente, desativar o Macie na região aplicável depois de recusar o convite.
-
Se você for administrador do Macie, não poderá aceitar um convite para se tornar uma conta de membro — uma conta não pode ser de administrador e conta de membro do Macie ao mesmo tempo. Para se tornar uma conta de membro, você deve primeiro desassociar sua conta de todas as contas de membros removendo todas as contas de membros de sua organização atual.
-
Macie é um serviço regional. Se você aceitar um convite, a associação entre sua conta e a conta de administrador do Macie será regional — a associação existe somente no Região da AWS de que o convite foi enviado e aceito.
-
Se você usa o Macie em várias regiões, a conta de administrador do Macie deve ser a mesma em todas essas regiões. No entanto, o administrador do Macie precisa enviar convites para você separadamente em cada região, e você precisa aceitar os convites separadamente em cada região.
-
Você pode desassociar sua conta de uma conta de administrador do Macie a qualquer momento. Da mesma forma, seu administrador do Macie pode remover sua conta da organização a qualquer momento. Se algum deles acontecer:
-
O Macie continua ativado para sua conta. Sua conta se torna uma conta independente do Macie.
-
A descoberta automática de dados confidenciais é desativada em sua conta, se estiver ativada. Isso também desativa o acesso aos dados estatísticos existentes, dados de inventário e outras informações que a Macie produziu e forneceu diretamente ao realizar a descoberta automatizada de sua conta. Você pode ativar a descoberta automática para sua conta novamente. No entanto, isso não restaura o acesso aos dados existentes. Em vez disso, o Macie gera e mantém novos dados enquanto realiza a descoberta automática da sua conta.
-
Fazendo a transição para AWS Organizations
Depois de criar uma organização baseada em convites no Macie, você pode fazer a transição para o uso AWS Organizations em vez disso. Para simplificar a transição, recomendamos que você designe a conta de administrador existente, baseada em convite, como a conta de administrador do Macie para a organização em AWS Organizations.
Se você fizer isso, todas as contas de membros atualmente associadas continuarão sendo membros. Se uma conta de membro fizer parte da organização em AWS Organizations, a associação da conta muda automaticamente de Por convite para Via AWS Organizationsem Macie. Se uma conta de membro não fizer parte da organização em AWS Organizations, a associação da conta continua sendo por convite. Em ambos os casos, as contas continuam associadas à conta de administrador do Macie como contas de membros.
Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se você designar uma conta diferente como a conta de administrador do Macie para uma organização no AWS Organizations, o administrador designado não poderá gerenciar contas que já estejam associadas a outra conta de administrador do Macie por convite. Cada conta de membro deve primeiro ser desassociada de sua conta de administrador atual, baseada em convite. Só então o administrador do Macie pode AWS Organizations A organização adiciona a conta do membro à sua organização e começa a gerenciar Macie para a conta.
Depois de integrar o Macie com AWS Organizations e configure sua organização no Macie, você pode, opcionalmente, designar uma conta de administrador do Macie diferente para a organização. Você também pode continuar usando convites para associar e gerenciar contas de membros que não fazem parte da sua organização no AWS Organizations.
Para obter informações sobre a integração do Macie com AWS Organizations, consulte Gerenciando várias contas Macie com AWS Organizations.
